Akses Awal: Login berhasil ke CloudDB dari IP Anonymizing Proxy

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Login yang berhasil di instance database terjadi dari alamat IP anonim yang diketahui. Alamat anonim ini adalah node Tor. Hal ini dapat menunjukkan bahwa penyerang mendapatkan akses awal ke instance Anda.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Initial Access: CloudDB Successful login from Anonymizing Proxy IP, seperti yang diarahkan dalam Meninjau temuan.

  2. Di tab Ringkasan pada panel detail temuan, tinjau informasi di bagian berikut:

    • Apa yang terdeteksi, terutama kolom berikut:
    • Alamat IP indikator, alamat IP anonim.
    • Nama tampilan database: nama database di instance Cloud SQL PostgreSQL, MySQL, atau AlloyDB yang terpengaruh.
    • Nama pengguna database: pengguna.
    • Nama lengkap project: project Google Cloud yang berisi instance Cloud SQL.

Langkah 2: Meneliti metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akses Awal.
  2. Untuk menentukan apakah langkah-langkah perbaikan tambahan diperlukan, gabungkan hasil penyelidikan Anda dengan penelitian MITRE.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

Langkah berikutnya