Esfiltrazione: backup di ripristino Cloud SQL in un'organizzazione esterna
Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai
rilevatori di minacce quando rilevano
una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.
Panoramica
L'esfiltrazione di dati da un backup Cloud SQL viene rilevata esaminando
i log di controllo per determinare se i dati del backup sono stati ripristinati in un'istanza Cloud SQL al di fuori dell'organizzazione o del progetto. Sono supportati tutti i tipi di istanze e backup Cloud SQL.
Come rispondere
Per rispondere a questo risultato:
Passaggio 1: esamina i dettagli del risultato
Apri un risultato Exfiltration: Cloud SQL Restore Backup to External Organization
come indicato in Revisione dei risultati.
Nella scheda Riepilogo del riquadro dei dettagli del risultato, esamina le informazioni nelle seguenti sezioni:
Che cosa è stato rilevato, in particolare i seguenti campi:
Email principale: l'account utilizzato per estrarre i dati.
Origini dell'esfiltrazione: dettagli sull'istanza Cloud SQL
da cui è stato creato il backup.
Destinazioni di esfiltrazione: dettagli sull'istanza Cloud SQL
in cui sono stati ripristinati i dati di backup.
Risorsa interessata, in particolare i seguenti campi:
Nome completo della risorsa: il nome della risorsa del backup che è stato
ripristinato.
Nome completo del progetto: il progetto Google Cloud che contiene
l'istanza di Cloud SQL da cui è stato creato il backup.
Link correlati, in particolare i seguenti campi:
URI Cloud Logging: link alle voci di log.
Metodo MITRE ATT&CK: link alla documentazione MITRE ATT&CK.
Risultati correlati: link a eventuali risultati correlati.
Fai clic sulla scheda JSON.
Nel JSON, prendi nota dei seguenti campi.
resource:
parent_name: il nome della risorsa dell'istanza Cloud SQL da cui è stato creato il backup
evidence:
sourceLogId:
projectId: il progetto Google Cloud che
contiene il set di dati BigQuery di origine.
properties:
restoreToExternalInstance:
backupId: l'ID dell'esecuzione del backup ripristinato
Passaggio 2: rivedi le autorizzazioni e le impostazioni
Se necessario, seleziona il progetto dell'istanza elencata nel campo projectId del JSON del problema (dal passaggio 1).
Nella pagina visualizzata, inserisci l'indirizzo email
elencato in Email principale (dal passaggio 1) nella casella Filtro e
controlla quali autorizzazioni sono assegnate all'account.
Passaggio 3: controlla i log
Nella console Google Cloud , vai a Esplora log facendo clic sul link in URI Cloud Logging (dal passaggio 1).
La pagina Explorer log include tutti i log relativi all'istanza Cloud SQL pertinente.
Passaggio 4: ricerca di metodi di attacco e risposta
Esamina i risultati correlati facendo clic sul link nella riga Risultati correlati. (dal
passaggio 1). I risultati correlati hanno lo stesso tipo di risultato nella stessa istanza Cloud SQL.
Per sviluppare un piano di risposta, combina i risultati dell'indagine con la ricerca MITRE.
Passaggio 5: implementa la risposta
Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni.
Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.
Contatta il proprietario del progetto con i dati esfiltrati.
Valuta la possibilità di revocare le autorizzazioni dell'entità
elencata nella riga Email entità della scheda Riepilogo dei dettagli del risultato fino al completamento dell'indagine.
Per interrompere l'esfiltrazione, aggiungi policy IAM restrittive alle istanze Cloud SQL interessate.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-05 UTC."],[],[],null,["| Premium and Enterprise [service tiers](/security-command-center/docs/service-tiers)\n\nThis document describes a threat finding type in Security Command Center. Threat findings are generated by\n[threat detectors](/security-command-center/docs/concepts-security-sources#threats) when they detect\na potential threat in your cloud resources. For a full list of available threat findings, see [Threat findings index](/security-command-center/docs/threat-findings-index).\n\nOverview\n\nData exfiltration from a Cloud SQL backup is detected by examining\naudit logs to determine whether data from the backup has been restored to a\nCloud SQL instance outside the organization or project. All\nCloud SQL instance and backup types are supported.\n\nHow to respond\n\nTo respond to this finding, do the following:\n\nStep 1: Review finding details\n\n1. Open an `Exfiltration: Cloud SQL Restore Backup to External Organization` finding, as directed in [Reviewing findings](/security-command-center/docs/how-to-investigate-threats#reviewing_findings).\n2. On the **Summary** tab of the finding details panel, review the\n information in the following sections:\n\n - **What was detected** , especially the following fields:\n - **Principal email**: the account used to exfiltrate the data.\n - **Exfiltration sources**: details about the Cloud SQL instance the backup was created from.\n - **Exfiltration targets**: details about the Cloud SQL instance the backup data was restored to.\n - **Affected resource** , especially the following fields:\n - **Resource full name**: the resource name of the backup that was restored.\n - **Project full name**: the Google Cloud project that contains the Cloud SQL instance that the backup was created from.\n3. **Related links**, especially the following fields:\n\n - **Cloud Logging URI**: link to Logging entries.\n - **MITRE ATT\\&CK method**: link to the MITRE ATT\\&CK documentation.\n - **Related findings**: links to any related findings.\n4. Click the **JSON** tab.\n\n5. In the JSON, note the following fields.\n\n - `resource`:\n - `parent_name`: the resource name of the Cloud SQL instance the backup was created from\n - `evidence`:\n - `sourceLogId`:\n - `projectId`: the Google Cloud project that contains the source BigQuery dataset.\n - `properties`:\n - `restoreToExternalInstance`:\n - `backupId`: the ID of the backup run that was restored\n\nStep 2: Review permissions and settings\n\n1. In the Google Cloud console, go to the **IAM** page.\n\n \u003cbr /\u003e\n\n [Go to IAM](https://console.cloud.google.com/iam-admin/iam)\n\n \u003cbr /\u003e\n\n2. If necessary, select the project of the instance that is listed in the\n `projectId` field in the finding JSON\n (from [Step 1](#cloudsql_findings_backuprestore)).\n\n3. On the page that appears, in the **Filter** box, enter the email address\n listed in **Principal email** (from [Step 1](#cloudsql_findings)) and\n check what permissions are assigned to the account.\n\nStep 3: Check logs\n\n1. In the Google Cloud console, go to **Logs Explorer** by clicking the link in **Cloud Logging URI** (from [Step 1](#cloudsql_findings_backuprestore)). The **Logs Explorer** page includes all logs related to the relevant Cloud SQL instance.\n\nStep 4: Research attack and response methods\n\n1. Review the MITRE ATT\\&CK framework entry for this finding type: [Exfiltration Over Web Service: Exfiltration to Cloud Storage](https://attack.mitre.org/techniques/T1567/002/).\n2. Review related findings by clicking the link on the **Related findings** row. (from [Step 1](#cloudsql_findings_backuprestore)). Related findings have the same finding type on the same Cloud SQL instance.\n3. To develop a response plan, combine your investigation results with MITRE research.\n\nStep 5: Implement your response\n\n\nThe following response plan might be appropriate for this finding, but might also impact operations.\nCarefully evaluate the information you gather in your investigation to determine the best way to\nresolve findings.\n\n- Contact the owner of the project with exfiltrated data.\n- Consider [revoking permissions](/iam/docs/granting-changing-revoking-access#revoking-console) the principal that is listed on the **Principal email** row in the **Summary** tab of the finding details until the investigation is completed.\n- To stop further exfiltration, add restrictive IAM policies to the impacted Cloud SQL instances.\n - [MySQL](/sql/docs/mysql/instance-access-control)\n - [PostgreSQL](/sql/docs/postgres/instance-access-control)\n - [SQL Server](/sql/docs/sqlserver/instance-access-control)\n- To limit access to the Cloud SQL Admin API, [use\n VPC Service Controls](/vpc-service-controls/docs/overview).\n- To identify and fix overly permissive roles, use [IAM\n Recommender](/iam/docs/recommender-overview).\n\nWhat's next\n\n- Learn [how to work with threat\n findings in Security Command Center](/security-command-center/docs/how-to-investigate-threats).\n- Refer to the [Threat findings index](/security-command-center/docs/threat-findings-index).\n- Learn how to [review a\n finding](/security-command-center/docs/how-to-investigate-threats#reviewing_findings) through the Google Cloud console.\n- Learn about the [services that\n generate threat findings](/security-command-center/docs/concepts-security-sources#threats)."]]
