Pemindahan Tidak Sah: Pemindahan Tidak Sah Data Cloud SQL

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Pencurian data dari Cloud SQL terdeteksi dengan memeriksa log audit untuk dua skenario:

• Data instance aktif diekspor ke bucket Cloud Storage di luar organisasi.
• Data instance aktif diekspor ke bucket Cloud Storage yang dimiliki oleh organisasi dan dapat diakses secara publik.

Semua jenis instance Cloud SQL didukung.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Exfiltration: Cloud SQL Data Exfiltration, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Summary, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama : akun yang digunakan untuk mengeksfiltrasi data.
     • Sumber pemindahan tidak sah: detail tentang instance Cloud SQL yang datanya dipindahkan secara tidak sah.
     • Target eksfiltrasi: detail tentang bucket Cloud Storage tempat data diekspor.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama resource Cloud SQL yang datanya dieksfiltrasi.
     • Nama lengkap project: project Google Cloud yang berisi data Cloud SQL sumber.
   • Link terkait, termasuk:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

3. Klik tab JSON.

4. Dalam JSON untuk temuan, perhatikan kolom berikut:

   • sourceProperties:
     • evidence:
     • sourceLogId:
       • projectId: project Google Cloud yang berisi instance Cloud SQL sumber.
     • properties
     • bucketAccess: apakah bucket Cloud Storage dapat diakses secara publik atau eksternal untuk organisasi
     • exportScope: seberapa banyak data yang diekspor, seperti, seluruh instance, satu atau beberapa database, satu atau beberapa tabel, atau subset yang ditentukan oleh kueri)

Langkah 2: Tinjau izin dan setelan

1. Di konsol Google Cloud , buka halaman IAM.

   Buka IAM

2. Jika perlu, pilih project instance yang tercantum di kolom projectId dalam JSON temuan (dari Langkah 1).

3. Di halaman yang muncul, di kotak Filter, masukkan alamat email yang tercantum di baris Email akun utama di tab Ringkasan pada detail temuan (dari Langkah 1). Periksa izin yang ditetapkan ke akun.

Langkah 3: Periksa log

1. Di konsol Google Cloud , buka Logs Explorer dengan mengklik link di Cloud Logging URI (dari Langkah 1). Halaman Logs Explorer mencakup semua log yang terkait dengan instance Cloud SQL yang relevan.

Langkah 4: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Exfiltration Over Web Service: Exfiltration to Cloud Storage.
2. Tinjau temuan terkait dengan mengklik link di baris Temuan terkait yang dijelaskan di Langkah 1). Temuan terkait memiliki jenis temuan yang sama pada instance Cloud SQL yang sama.
3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan penelitian MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project yang datanya dieksfiltrasi.
• Pertimbangkan untuk mencabut izin untuk access.principalEmail hingga penyelidikan selesai.
• Untuk menghentikan eksfiltrasi lebih lanjut, tambahkan kebijakan IAM yang ketat ke instance Cloud SQL yang terpengaruh.
  • MySQL
  • PostgreSQL
  • SQL Server
• Untuk membatasi akses ke dan ekspor dari Cloud SQL Admin API, gunakan Kontrol Layanan VPC.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Langkah berikutnya

• Pelajari cara menangani temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui konsol Google Cloud .
• Pelajari layanan yang menghasilkan temuan ancaman.