Accesso iniziale: accesso riuscito a CloudDB dall'IP del proxy con anonimizzazione

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.

Panoramica

Si è verificato un accesso riuscito a un'istanza di database da un indirizzo IP con anonimizzazione noto. Questi indirizzi di anonimizzazione sono nodi Tor. Ciò potrebbe indicare che un malintenzionato ha ottenuto l'accesso iniziale alla tua istanza.

Come rispondere

Per rispondere a questo risultato:

Passaggio 1: esamina i dettagli del risultato

  1. Apri un risultato Initial Access: CloudDB Successful login from Anonymizing Proxy IP come indicato in Revisione dei risultati.

  2. Nella scheda Riepilogo del riquadro dei dettagli del risultato, esamina le informazioni nelle seguenti sezioni:

    • Che cosa è stato rilevato, in particolare i seguenti campi:
    • Indirizzo IP indicatore, l'indirizzo IP di anonimizzazione.
    • Nome visualizzato del database: il nome del database nell'istanza Cloud SQL PostgreSQL, MySQL o AlloyDB interessata.
    • Nome utente database: l'utente.
    • Nome completo del progetto: il progetto Google Cloud che contiene l'istanza di Cloud SQL.

Passaggio 2: ricerca di metodi di attacco e risposta

  1. Consulta la voce del framework MITRE ATT&CK per questo tipo di risultato: Accesso iniziale.
  2. Per determinare se sono necessari ulteriori passaggi di correzione, combina i risultati dell'indagine con la ricerca MITRE.

Passaggio 3: implementa la risposta

Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.

Passaggi successivi