Eksfiltrasi: Memulihkan Cadangan Cloud SQL ke Organisasi Eksternal

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Pencurian data dari cadangan Cloud SQL terdeteksi dengan memeriksa log audit untuk menentukan apakah data dari cadangan telah dipulihkan ke instance Cloud SQL di luar organisasi atau project. Semua jenis instance dan cadangan Cloud SQL didukung.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Exfiltration: Cloud SQL Restore Backup to External Organization, seperti yang diarahkan dalam Meninjau temuan.

  2. Di tab Ringkasan pada panel detail temuan, tinjau informasi di bagian berikut:

    • Apa yang terdeteksi, terutama kolom berikut:
      • Email utama: akun yang digunakan untuk mengekstraksi data.
      • Sumber eksfiltrasi: detail tentang instance Cloud SQL tempat cadangan dibuat.
      • Target eksfiltrasi: detail tentang instance Cloud SQL tempat data cadangan dipulihkan.
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama lengkap resource: nama resource cadangan yang dipulihkan.
      • Nama lengkap project: project Google Cloud yang berisi instance Cloud SQL tempat cadangan dibuat.

  3. Link terkait, terutama kolom berikut:

    • Cloud Logging URI: link ke entri Logging.
    • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
    • Temuan terkait: link ke temuan terkait.

  4. Klik tab JSON.

  5. Dalam JSON, perhatikan kolom berikut.

    • resource:
      • parent_name: nama resource instance Cloud SQL tempat cadangan dibuat
    • evidence:
      • sourceLogId:
        • projectId: Google Cloud project yang berisi set data BigQuery sumber.
    • properties:
      • restoreToExternalInstance:
        • backupId: ID proses pencadangan yang dipulihkan

Langkah 2: Tinjau izin dan setelan

  1. Di konsol Google Cloud , buka halaman IAM.

    Buka IAM

  2. Jika perlu, pilih project instance yang tercantum di kolom projectId dalam JSON temuan (dari Langkah 1).

  3. Di halaman yang muncul, di kotak Filter, masukkan alamat email yang tercantum di Email akun utama (dari Langkah 1) dan periksa izin yang ditetapkan ke akun tersebut.

Langkah 3: Periksa log

  1. Di konsol Google Cloud , buka Logs Explorer dengan mengklik link di Cloud Logging URI (dari Langkah 1). Halaman Logs Explorer mencakup semua log yang terkait dengan instance Cloud SQL yang relevan.

Langkah 4: Meneliti metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Exfiltration Over Web Service: Exfiltration to Cloud Storage.
  2. Tinjau temuan terkait dengan mengklik link di baris Temuan terkait. (dari Langkah 1). Temuan terkait memiliki jenis temuan yang sama di instance Cloud SQL yang sama.
  3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan penelitian MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

  • Hubungi pemilik project yang datanya dieksfiltrasi.
  • Pertimbangkan untuk mencabut izin akun utama yang tercantum di baris Email akun utama di tab Ringkasan detail temuan hingga investigasi selesai.
  • Untuk menghentikan eksfiltrasi lebih lanjut, tambahkan kebijakan IAM yang ketat ke instance Cloud SQL yang terpengaruh.
  • Untuk membatasi akses ke Cloud SQL Admin API, gunakan Kontrol Layanan VPC.
  • Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Langkah berikutnya