Acceso inicial: Acceso exitoso a CloudDB desde la IP del proxy de anonimización

En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.

Descripción general

Se accedió correctamente a una instancia de base de datos desde una dirección IP de anonimización conocida. Estas direcciones de anonimización son nodos de Tor. Esto podría indicar que un atacante obtuvo acceso inicial a tu instancia.

Cómo responder

Para responder a este hallazgo, haz lo siguiente:

Paso 1: Revisa los detalles del hallazgo

1. Abre un resultado de Initial Access: CloudDB Successful login from Anonymizing Proxy IP, como se indica en Revisa los resultados.

2. En la pestaña Resumen del panel de detalles del hallazgo, revisa la información de las siguientes secciones:

   • Qué se detectó, especialmente los siguientes campos:
   • Dirección IP del indicador, la dirección IP de anonimización.
   • Nombre visible de la base de datos: Es el nombre de la base de datos en la instancia de Cloud SQL PostgreSQL, MySQL o AlloyDB que se vio afectada.
   • Nombre de usuario de la base de datos: El usuario.
   • Nombre completo del proyecto: Es el proyecto Google Cloud que contiene la instancia de Cloud SQL.

Paso 2: Investiga los métodos de ataque y respuesta

1. Revisa la entrada del framework de MITRE ATT&CK para este tipo de resultado: Acceso inicial.
2. Para determinar si se necesitan pasos de solución adicionales, combina los resultados de la investigación con la investigación del MITRE.

Paso 3: Implementa tu respuesta

El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.

• Revisa los usuarios que pueden conectarse a la base de datos.

  • En el caso de PostgreSQL, consulta Crea y administra usuarios.
  • En el caso de MySQL, consulta Administra usuarios con autenticación integrada.

• Considera cambiar la contraseña del usuario.

  • En el caso de PostgreSQL, consulta Cómo establecer la contraseña para el usuario predeterminado.

  • En el caso de MySQL, consulta Cómo establecer la contraseña para el usuario predeterminado.

  • Actualiza las credenciales de los clientes que se conectan a la instancia de Cloud SQL

¿Qué sigue?

• Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
• Consulta el Índice de resultados de amenazas.
• Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
• Obtén más información sobre los servicios que generan hallazgos de amenazas.