Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.
Ringkasan
Pencurian data dari cadangan Cloud SQL terdeteksi dengan memeriksa log audit untuk menentukan apakah data dari cadangan telah dipulihkan ke instance Cloud SQL di luar organisasi atau project. Semua jenis instance dan cadangan Cloud SQL didukung.
Cara merespons
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka temuan
Exfiltration: Cloud SQL Restore Backup to External Organization, seperti yang diarahkan dalam Meninjau temuan. Di tab Ringkasan pada panel detail temuan, tinjau informasi di bagian berikut:
- Apa yang terdeteksi, terutama kolom berikut:
- Email utama: akun yang digunakan untuk mengekstraksi data.
- Sumber eksfiltrasi: detail tentang instance Cloud SQL tempat cadangan dibuat.
- Target eksfiltrasi: detail tentang instance Cloud SQL tempat data cadangan dipulihkan.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama resource cadangan yang dipulihkan.
- Nama lengkap project: project Google Cloud yang berisi instance Cloud SQL tempat cadangan dibuat.
- Apa yang terdeteksi, terutama kolom berikut:
Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
Klik tab JSON.
Dalam JSON, perhatikan kolom berikut.
resource:parent_name: nama resource instance Cloud SQL tempat cadangan dibuat
evidence:sourceLogId:projectId: Google Cloud project yang berisi set data BigQuery sumber.
properties:restoreToExternalInstance:backupId: ID proses pencadangan yang dipulihkan
Langkah 2: Tinjau izin dan setelan
Di konsol Google Cloud , buka halaman IAM.
Jika perlu, pilih project instance yang tercantum di kolom
projectIddalam JSON temuan (dari Langkah 1).Di halaman yang muncul, di kotak Filter, masukkan alamat email yang tercantum di Email akun utama (dari Langkah 1) dan periksa izin yang ditetapkan ke akun tersebut.
Langkah 3: Periksa log
- Di konsol Google Cloud , buka Logs Explorer dengan mengklik link di Cloud Logging URI (dari Langkah 1). Halaman Logs Explorer mencakup semua log yang terkait dengan instance Cloud SQL yang relevan.
Langkah 4: Meneliti metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Exfiltration Over Web Service: Exfiltration to Cloud Storage.
- Tinjau temuan terkait dengan mengklik link di baris Temuan terkait. (dari Langkah 1). Temuan terkait memiliki jenis temuan yang sama di instance Cloud SQL yang sama.
- Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan penelitian MITRE.
Langkah 5: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.
- Hubungi pemilik project yang datanya dieksfiltrasi.
- Pertimbangkan untuk mencabut izin akun utama yang tercantum di baris Email akun utama di tab Ringkasan detail temuan hingga investigasi selesai.
- Untuk menghentikan eksfiltrasi lebih lanjut, tambahkan kebijakan IAM yang ketat ke instance Cloud SQL yang terpengaruh.
- Untuk membatasi akses ke Cloud SQL Admin API, gunakan Kontrol Layanan VPC.
- Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.
Langkah berikutnya
- Pelajari cara menangani temuan ancaman di Security Command Center.
- Lihat Indeks temuan ancaman.
- Pelajari cara meninjau temuan melalui konsol Google Cloud .
- Pelajari layanan yang menghasilkan temuan ancaman.