Exfiltración: restauración de copias de seguridad de Cloud SQL en una organización externa
Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.
Información general
La exfiltración de datos de una copia de seguridad de Cloud SQL se detecta examinando los registros de auditoría para determinar si los datos de la copia de seguridad se han restaurado en una instancia de Cloud SQL fuera de la organización o del proyecto. Se admiten todos los tipos de instancias y copias de seguridad de Cloud SQL.
Cómo responder
Para responder a esta observación, sigue estos pasos:
Paso 1: Revisa los detalles de la detección
Abre un Exfiltration: Cloud SQL Restore Backup to External Organization
tal como se indica en Revisar resultados.
En la pestaña Resumen del panel de detalles de la detección, consulta la información de las siguientes secciones:
Qué se detectó, especialmente los siguientes campos:
Correo principal: la cuenta que se ha usado para extraer los datos.
Fuentes de exfiltración: detalles sobre la instancia de Cloud SQL a partir de la que se creó la copia de seguridad.
Destinos de exfiltración: detalles sobre la instancia de Cloud SQL en la que se restauraron los datos de la copia de seguridad.
Recurso afectado, especialmente los siguientes campos:
Nombre completo del recurso: nombre del recurso de la copia de seguridad que se ha restaurado.
Nombre completo del proyecto: el Google Cloud proyecto que contiene
la instancia de Cloud SQL a partir de la que se creó la copia de seguridad.
Enlaces relacionados, especialmente los siguientes campos:
URI de Cloud Logging: enlace a las entradas de registro.
Método MITRE ATT&CK: enlace a la documentación de MITRE ATT&CK.
Hallazgos relacionados: enlaces a los hallazgos relacionados.
Haz clic en la pestaña JSON.
En el JSON, anota los siguientes campos.
resource:
parent_name: el nombre del recurso de la instancia de Cloud SQL a partir de la que se creó la copia de seguridad
evidence:
sourceLogId:
projectId: el proyecto Google Cloud que contiene el conjunto de datos de BigQuery de origen.
properties:
restoreToExternalInstance:
backupId: el ID de la ejecución de la copia de seguridad que se ha restaurado
Paso 2: Revisa los permisos y la configuración
En la consola, ve a la página Gestión de identidades y accesos. Google Cloud
Si es necesario, seleccione el proyecto de la instancia que aparece en el campo projectId del JSON del resultado (del paso 1).
En la página que aparece, en el cuadro Filtrar, introduce la dirección de correo que figura en Correo principal (del paso 1) y comprueba qué permisos se han asignado a la cuenta.
Paso 3: Consulta los registros
En la Google Cloud consola, ve a Explorador de registros haciendo clic en el enlace de URI de Cloud Logging (del paso 1).
La página Explorador de registros incluye todos los registros relacionados con la instancia de Cloud SQL correspondiente.
Paso 4: Investiga los métodos de ataque y respuesta
Consulte los hallazgos relacionados haciendo clic en el enlace de la fila Hallazgos relacionados. (del paso 1). Los hallazgos relacionados tienen el mismo tipo de hallazgo en la misma instancia de Cloud SQL.
Para desarrollar un plan de respuesta, combina los resultados de tu investigación con la investigación de MITRE.
Paso 5: Implementa tu respuesta
El siguiente plan de respuesta puede ser adecuado para este resultado, pero también puede afectar a las operaciones.
Evalúa detenidamente la información que recojas en tu investigación para determinar la mejor forma de resolver los resultados.
Ponte en contacto con el propietario del proyecto con datos filtrados.
Considera la posibilidad de revocar los permisos del principal que aparece en la fila Correo del principal de la pestaña Resumen de los detalles de la detección hasta que se complete la investigación.
Para detener la exfiltración, añade políticas de gestión de identidades y accesos restrictivas a las instancias de Cloud SQL afectadas.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-10 (UTC)."],[],[],null,["| Premium and Enterprise [service tiers](/security-command-center/docs/service-tiers)\n\nThis document describes a threat finding type in Security Command Center. Threat findings are generated by\n[threat detectors](/security-command-center/docs/concepts-security-sources#threats) when they detect\na potential threat in your cloud resources. For a full list of available threat findings, see [Threat findings index](/security-command-center/docs/threat-findings-index).\n\nOverview\n\nData exfiltration from a Cloud SQL backup is detected by examining\naudit logs to determine whether data from the backup has been restored to a\nCloud SQL instance outside the organization or project. All\nCloud SQL instance and backup types are supported.\n\nHow to respond\n\nTo respond to this finding, do the following:\n\nStep 1: Review finding details\n\n1. Open an `Exfiltration: Cloud SQL Restore Backup to External Organization` finding, as directed in [Reviewing findings](/security-command-center/docs/how-to-investigate-threats#reviewing_findings).\n2. On the **Summary** tab of the finding details panel, review the\n information in the following sections:\n\n - **What was detected** , especially the following fields:\n - **Principal email**: the account used to exfiltrate the data.\n - **Exfiltration sources**: details about the Cloud SQL instance the backup was created from.\n - **Exfiltration targets**: details about the Cloud SQL instance the backup data was restored to.\n - **Affected resource** , especially the following fields:\n - **Resource full name**: the resource name of the backup that was restored.\n - **Project full name**: the Google Cloud project that contains the Cloud SQL instance that the backup was created from.\n3. **Related links**, especially the following fields:\n\n - **Cloud Logging URI**: link to Logging entries.\n - **MITRE ATT\\&CK method**: link to the MITRE ATT\\&CK documentation.\n - **Related findings**: links to any related findings.\n4. Click the **JSON** tab.\n\n5. In the JSON, note the following fields.\n\n - `resource`:\n - `parent_name`: the resource name of the Cloud SQL instance the backup was created from\n - `evidence`:\n - `sourceLogId`:\n - `projectId`: the Google Cloud project that contains the source BigQuery dataset.\n - `properties`:\n - `restoreToExternalInstance`:\n - `backupId`: the ID of the backup run that was restored\n\nStep 2: Review permissions and settings\n\n1. In the Google Cloud console, go to the **IAM** page.\n\n \u003cbr /\u003e\n\n [Go to IAM](https://console.cloud.google.com/iam-admin/iam)\n\n \u003cbr /\u003e\n\n2. If necessary, select the project of the instance that is listed in the\n `projectId` field in the finding JSON\n (from [Step 1](#cloudsql_findings_backuprestore)).\n\n3. On the page that appears, in the **Filter** box, enter the email address\n listed in **Principal email** (from [Step 1](#cloudsql_findings)) and\n check what permissions are assigned to the account.\n\nStep 3: Check logs\n\n1. In the Google Cloud console, go to **Logs Explorer** by clicking the link in **Cloud Logging URI** (from [Step 1](#cloudsql_findings_backuprestore)). The **Logs Explorer** page includes all logs related to the relevant Cloud SQL instance.\n\nStep 4: Research attack and response methods\n\n1. Review the MITRE ATT\\&CK framework entry for this finding type: [Exfiltration Over Web Service: Exfiltration to Cloud Storage](https://attack.mitre.org/techniques/T1567/002/).\n2. Review related findings by clicking the link on the **Related findings** row. (from [Step 1](#cloudsql_findings_backuprestore)). Related findings have the same finding type on the same Cloud SQL instance.\n3. To develop a response plan, combine your investigation results with MITRE research.\n\nStep 5: Implement your response\n\n\nThe following response plan might be appropriate for this finding, but might also impact operations.\nCarefully evaluate the information you gather in your investigation to determine the best way to\nresolve findings.\n\n- Contact the owner of the project with exfiltrated data.\n- Consider [revoking permissions](/iam/docs/granting-changing-revoking-access#revoking-console) the principal that is listed on the **Principal email** row in the **Summary** tab of the finding details until the investigation is completed.\n- To stop further exfiltration, add restrictive IAM policies to the impacted Cloud SQL instances.\n - [MySQL](/sql/docs/mysql/instance-access-control)\n - [PostgreSQL](/sql/docs/postgres/instance-access-control)\n - [SQL Server](/sql/docs/sqlserver/instance-access-control)\n- To limit access to the Cloud SQL Admin API, [use\n VPC Service Controls](/vpc-service-controls/docs/overview).\n- To identify and fix overly permissive roles, use [IAM\n Recommender](/iam/docs/recommender-overview).\n\nWhat's next\n\n- Learn [how to work with threat\n findings in Security Command Center](/security-command-center/docs/how-to-investigate-threats).\n- Refer to the [Threat findings index](/security-command-center/docs/threat-findings-index).\n- Learn how to [review a\n finding](/security-command-center/docs/how-to-investigate-threats#reviewing_findings) through the Google Cloud console.\n- Learn about the [services that\n generate threat findings](/security-command-center/docs/concepts-security-sources#threats)."]]
