Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe
Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.
Présentation
L'exfiltration de données d'une sauvegarde Cloud SQL est détectée en examinant les journaux d'audit pour déterminer si les données de la sauvegarde ont été restaurées sur une instance Cloud SQL en dehors de l'organisation ou du projet. Tous les types d'instances et de sauvegardes Cloud SQL sont compatibles.
Comment répondre
Pour répondre à ce résultat, procédez comme suit :
Étape 1 : Examiner les détails du résultat
Ouvrez un résultat Exfiltration: Cloud SQL Restore Backup to External Organization, comme indiqué dans la section Examiner les résultats.
Dans l'onglet Récapitulatif du panneau "Détails du résultat", examinez les informations des sections suivantes :
Ce qui a été détecté, en particulier les champs suivants :
Adresse e-mail principale : compte utilisé pour exfiltrer les données.
Sources d'exfiltration : détails concernant l'instance Cloud SQL à partir de laquelle la sauvegarde a été créée.
Cibles d'exfiltration : détails concernant l'instance Cloud SQL dans laquelle les données de sauvegarde ont été restaurées.
Ressource concernée, en particulier les champs suivants :
Nom complet de la ressource : nom de ressource de la sauvegarde restaurée.
Nom complet du projet : projet Google Cloud contenant l'instance Cloud SQL à partir de laquelle la sauvegarde a été créée.
Liens associés, en particulier les champs suivants :
URI Cloud Logging : lien vers les entrées de journalisation.
Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.
Résultats associés : liens vers les résultats associés.
Cliquez sur l'onglet JSON.
Dans le fichier JSON, notez les champs suivants.
resource :
parent_name : nom de ressource de l'instance Cloud SQL à partir de laquelle la sauvegarde a été créée
evidence :
sourceLogId :
projectId : projet Google Cloud contenant l'ensemble de données BigQuery source.
properties :
restoreToExternalInstance :
backupId : ID de l'exécution de sauvegarde qui a été restaurée
Étape 2 : Vérifier les autorisations et les paramètres
Dans la console Google Cloud , accédez à la page IAM.
Si nécessaire, sélectionnez le projet de l'instance répertoriée dans le champ projectId du JSON du résultat (à l'étape 1).
Sur la page qui s'affiche, dans la zone Filtre, saisissez l'adresse e-mail répertoriée dans Adresse e-mail du compte principal (à l'étape 1) et vérifiez quelles autorisations sont attribuées au compte.
Étape 3 : Vérifier les journaux
Dans la console Google Cloud , accédez à l'explorateur de journaux en cliquant sur le lien URI Cloud Logging (à l'étape 1).
La page Explorateur de journaux inclut tous les journaux liés à l'instance Cloud SQL concernée.
Étape 4 : Rechercher des méthodes d'attaque et de réponse
Consultez les résultats associés en cliquant sur le lien dans la ligne Résultats associés. (à partir de l'étape 1). Le type des résultats associés est le même, sur la même instance Cloud SQL.
Pour élaborer un plan de réponse, combinez les résultats de vos enquêtes avec la recherche MITRE.
Étape 5 : Mettre en œuvre votre réponse
Le plan de réponse suivant peut être adapté à ce résultat, mais peut également avoir une incidence sur les opérations.
Évaluez soigneusement les informations que vous collectez dans votre enquête pour déterminer la meilleure façon de solutionner les menaces détectées.
Contactez le propriétaire du projet contenant les données exfiltrées.
Envisagez de révoquer les autorisations du compte principal listé dans la ligne Adresse e-mail principale de l'onglet Récapitulatif des détails du résultat jusqu'à la fin de l'enquête.
Pour mettre fin à toute exfiltration, ajoutez des stratégies IAM restrictives sur les instances Cloud SQL concernées.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/05 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/05 (UTC)."],[],[],null,["| Premium and Enterprise [service tiers](/security-command-center/docs/service-tiers)\n\nThis document describes a threat finding type in Security Command Center. Threat findings are generated by\n[threat detectors](/security-command-center/docs/concepts-security-sources#threats) when they detect\na potential threat in your cloud resources. For a full list of available threat findings, see [Threat findings index](/security-command-center/docs/threat-findings-index).\n\nOverview\n\nData exfiltration from a Cloud SQL backup is detected by examining\naudit logs to determine whether data from the backup has been restored to a\nCloud SQL instance outside the organization or project. All\nCloud SQL instance and backup types are supported.\n\nHow to respond\n\nTo respond to this finding, do the following:\n\nStep 1: Review finding details\n\n1. Open an `Exfiltration: Cloud SQL Restore Backup to External Organization` finding, as directed in [Reviewing findings](/security-command-center/docs/how-to-investigate-threats#reviewing_findings).\n2. On the **Summary** tab of the finding details panel, review the\n information in the following sections:\n\n - **What was detected** , especially the following fields:\n - **Principal email**: the account used to exfiltrate the data.\n - **Exfiltration sources**: details about the Cloud SQL instance the backup was created from.\n - **Exfiltration targets**: details about the Cloud SQL instance the backup data was restored to.\n - **Affected resource** , especially the following fields:\n - **Resource full name**: the resource name of the backup that was restored.\n - **Project full name**: the Google Cloud project that contains the Cloud SQL instance that the backup was created from.\n3. **Related links**, especially the following fields:\n\n - **Cloud Logging URI**: link to Logging entries.\n - **MITRE ATT\\&CK method**: link to the MITRE ATT\\&CK documentation.\n - **Related findings**: links to any related findings.\n4. Click the **JSON** tab.\n\n5. In the JSON, note the following fields.\n\n - `resource`:\n - `parent_name`: the resource name of the Cloud SQL instance the backup was created from\n - `evidence`:\n - `sourceLogId`:\n - `projectId`: the Google Cloud project that contains the source BigQuery dataset.\n - `properties`:\n - `restoreToExternalInstance`:\n - `backupId`: the ID of the backup run that was restored\n\nStep 2: Review permissions and settings\n\n1. In the Google Cloud console, go to the **IAM** page.\n\n \u003cbr /\u003e\n\n [Go to IAM](https://console.cloud.google.com/iam-admin/iam)\n\n \u003cbr /\u003e\n\n2. If necessary, select the project of the instance that is listed in the\n `projectId` field in the finding JSON\n (from [Step 1](#cloudsql_findings_backuprestore)).\n\n3. On the page that appears, in the **Filter** box, enter the email address\n listed in **Principal email** (from [Step 1](#cloudsql_findings)) and\n check what permissions are assigned to the account.\n\nStep 3: Check logs\n\n1. In the Google Cloud console, go to **Logs Explorer** by clicking the link in **Cloud Logging URI** (from [Step 1](#cloudsql_findings_backuprestore)). The **Logs Explorer** page includes all logs related to the relevant Cloud SQL instance.\n\nStep 4: Research attack and response methods\n\n1. Review the MITRE ATT\\&CK framework entry for this finding type: [Exfiltration Over Web Service: Exfiltration to Cloud Storage](https://attack.mitre.org/techniques/T1567/002/).\n2. Review related findings by clicking the link on the **Related findings** row. (from [Step 1](#cloudsql_findings_backuprestore)). Related findings have the same finding type on the same Cloud SQL instance.\n3. To develop a response plan, combine your investigation results with MITRE research.\n\nStep 5: Implement your response\n\n\nThe following response plan might be appropriate for this finding, but might also impact operations.\nCarefully evaluate the information you gather in your investigation to determine the best way to\nresolve findings.\n\n- Contact the owner of the project with exfiltrated data.\n- Consider [revoking permissions](/iam/docs/granting-changing-revoking-access#revoking-console) the principal that is listed on the **Principal email** row in the **Summary** tab of the finding details until the investigation is completed.\n- To stop further exfiltration, add restrictive IAM policies to the impacted Cloud SQL instances.\n - [MySQL](/sql/docs/mysql/instance-access-control)\n - [PostgreSQL](/sql/docs/postgres/instance-access-control)\n - [SQL Server](/sql/docs/sqlserver/instance-access-control)\n- To limit access to the Cloud SQL Admin API, [use\n VPC Service Controls](/vpc-service-controls/docs/overview).\n- To identify and fix overly permissive roles, use [IAM\n Recommender](/iam/docs/recommender-overview).\n\nWhat's next\n\n- Learn [how to work with threat\n findings in Security Command Center](/security-command-center/docs/how-to-investigate-threats).\n- Refer to the [Threat findings index](/security-command-center/docs/threat-findings-index).\n- Learn how to [review a\n finding](/security-command-center/docs/how-to-investigate-threats#reviewing_findings) through the Google Cloud console.\n- Learn about the [services that\n generate threat findings](/security-command-center/docs/concepts-security-sources#threats)."]]
