Acesso inicial: login bem-sucedido do CloudDB a partir do IP de proxy de anonimização

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

Um login bem-sucedido em uma instância de banco de dados ocorreu de um endereço IP de anonimização conhecido. Esses endereços de anonimização são nós do Tor. Isso pode indicar que um invasor conseguiu acesso inicial à sua instância.

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

1. Abra uma descoberta Initial Access: CloudDB Successful login from Anonymizing Proxy IP, conforme direcionado em Como verificar descobertas.

2. Na guia Resumo do painel de detalhes da descoberta, revise as informações nas seguintes seções:

   • O que foi detectado, especialmente os seguintes campos:
   • Endereço IP do indicador, o endereço IP de anonimização.
   • Nome de exibição do banco de dados: o nome do banco de dados na instância do PostgreSQL, MySQL ou AlloyDB do Cloud SQL que foi afetada.
   • Nome de usuário do banco de dados: o usuário.
   • Nome completo do projeto: o projeto do Google Cloud que contém a instância do Cloud SQL.

Etapa 2: pesquisar métodos de ataque e resposta

1. Analise a entrada do framework MITRE ATT&CK para esse tipo de descoberta: Acesso inicial.
2. Para determinar se outras etapas de correção são necessárias, combine seus resultados da investigação com a pesquisa do MITRE.

Etapa 3: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

• Analise os usuários autorizados a se conectar ao banco de dados.

  • Para o PostgreSQL, consulte Criar e gerenciar usuários
  • Para o MySQL, consulte Gerenciar usuários com a autenticação integrada

• Considere mudar a senha do usuário.

  • Para PostgreSQL, consulte Definir a senha do usuário padrão

  • Para o MySQL, consulte Definir a senha do usuário padrão

  • Atualize as credenciais dos clientes que se conectam à instância do Cloud SQL.

A seguir

• Saiba como trabalhar com descobertas de ameaças no Security Command Center.
• Consulte o índice de descobertas de ameaças.
• Saiba como analisar uma descoberta no console Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.