Exfiltração: backup de restauração do Cloud SQL para organização externa
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por
detectores de ameaças quando eles detectam
uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.
Visão geral
A exfiltração de dados de um backup do Cloud SQL é detectada por análise de
registros de auditoria para determinar se os dados do backup foram restaurados para uma
instância do Cloud SQL fora da organização ou projeto. Todos
os tipos de backup e instância do Cloud SQL são compatíveis.
Como responder
Para responder a essa descoberta, faça o seguinte:
Etapa 1: verificar os detalhes da descoberta
Abra uma descoberta
Exfiltration: Cloud SQL Restore Backup to External Organization, conforme direcionado em Como verificar descobertas.
Na guia Resumo do painel de detalhes da descoberta, revise as informações nas seguintes seções:
O que foi detectado, especialmente os seguintes campos:
E-mail principal: a conta usada para exfiltrar os dados.
Origens de exfiltração: detalhes sobre a instância do Cloud SQL
em que o backup foi criado.
Destinos de exfiltração: detalhes sobre a instância do Cloud SQL para a qual os dados de backup foram restaurados.
Recurso afetado, especialmente os seguintes campos:
Nome completo do recurso: o nome do recurso do backup que foi
restaurado.
Nome completo do projeto: o projeto Google Cloud que contém
a instância do Cloud SQL em que o backup foi criado.
Links relacionados, principalmente os seguintes campos:
URI do Cloud Logging: link para as entradas do Logging.
Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
Descobertas relacionadas: links para quaisquer descobertas relacionadas.
Clique na guia JSON.
No JSON, observe os seguintes campos.
resource:
parent_name: o nome do recurso da instância do Cloud SQL
em que o backup foi criado;
evidence:
sourceLogId:
projectId: o projeto do Google Cloud que
contém o conjunto de dados de origem do BigQuery.
properties:
restoreToExternalInstance:
backupId: o ID da execução de backup que foi restaurada;
Se necessário, selecione o projeto da instância listada no campo projectId no JSON de descoberta (da Etapa 1).
Na página exibida, na caixa Filtro, digite o endereço de e-mail
listado no e-mail principal (da Etapa 1)
e verifique as permissões que estão atribuídas à conta.
Etapa 3: verificar os registros
No console do Google Cloud , acesse o Explorador de registros clicando no link em URI do Cloud Logging (da Etapa 1).
A página Explorador de registros inclui todos os registros relacionados à instância
relevante do Cloud SQL.
Clique no link da linha Descobertas relacionadas para revisar as descobertas relacionadas. Na
Etapa 1. As descobertas relacionadas têm o mesmo tipo de descoberta na
mesma instância do Cloud SQL.
Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa
do MITRE.
Etapa 5: implementar a resposta
O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações.
Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de
resolver as descobertas.
Entre em contato a pessoa a quem o projeto pertence com dados exfiltrado.
Considere revogar as permissões que o principal
está listado na linha E-mail principal na guia Resumo dos detalhes da descoberta até que a investigação seja concluída.
Para interromper a exfiltração ainda mais, adicione políticas restritivas do IAM às
instâncias afetadas do Cloud SQL.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-05 UTC."],[],[],null,["| Premium and Enterprise [service tiers](/security-command-center/docs/service-tiers)\n\nThis document describes a threat finding type in Security Command Center. Threat findings are generated by\n[threat detectors](/security-command-center/docs/concepts-security-sources#threats) when they detect\na potential threat in your cloud resources. For a full list of available threat findings, see [Threat findings index](/security-command-center/docs/threat-findings-index).\n\nOverview\n\nData exfiltration from a Cloud SQL backup is detected by examining\naudit logs to determine whether data from the backup has been restored to a\nCloud SQL instance outside the organization or project. All\nCloud SQL instance and backup types are supported.\n\nHow to respond\n\nTo respond to this finding, do the following:\n\nStep 1: Review finding details\n\n1. Open an `Exfiltration: Cloud SQL Restore Backup to External Organization` finding, as directed in [Reviewing findings](/security-command-center/docs/how-to-investigate-threats#reviewing_findings).\n2. On the **Summary** tab of the finding details panel, review the\n information in the following sections:\n\n - **What was detected** , especially the following fields:\n - **Principal email**: the account used to exfiltrate the data.\n - **Exfiltration sources**: details about the Cloud SQL instance the backup was created from.\n - **Exfiltration targets**: details about the Cloud SQL instance the backup data was restored to.\n - **Affected resource** , especially the following fields:\n - **Resource full name**: the resource name of the backup that was restored.\n - **Project full name**: the Google Cloud project that contains the Cloud SQL instance that the backup was created from.\n3. **Related links**, especially the following fields:\n\n - **Cloud Logging URI**: link to Logging entries.\n - **MITRE ATT\\&CK method**: link to the MITRE ATT\\&CK documentation.\n - **Related findings**: links to any related findings.\n4. Click the **JSON** tab.\n\n5. In the JSON, note the following fields.\n\n - `resource`:\n - `parent_name`: the resource name of the Cloud SQL instance the backup was created from\n - `evidence`:\n - `sourceLogId`:\n - `projectId`: the Google Cloud project that contains the source BigQuery dataset.\n - `properties`:\n - `restoreToExternalInstance`:\n - `backupId`: the ID of the backup run that was restored\n\nStep 2: Review permissions and settings\n\n1. In the Google Cloud console, go to the **IAM** page.\n\n \u003cbr /\u003e\n\n [Go to IAM](https://console.cloud.google.com/iam-admin/iam)\n\n \u003cbr /\u003e\n\n2. If necessary, select the project of the instance that is listed in the\n `projectId` field in the finding JSON\n (from [Step 1](#cloudsql_findings_backuprestore)).\n\n3. On the page that appears, in the **Filter** box, enter the email address\n listed in **Principal email** (from [Step 1](#cloudsql_findings)) and\n check what permissions are assigned to the account.\n\nStep 3: Check logs\n\n1. In the Google Cloud console, go to **Logs Explorer** by clicking the link in **Cloud Logging URI** (from [Step 1](#cloudsql_findings_backuprestore)). The **Logs Explorer** page includes all logs related to the relevant Cloud SQL instance.\n\nStep 4: Research attack and response methods\n\n1. Review the MITRE ATT\\&CK framework entry for this finding type: [Exfiltration Over Web Service: Exfiltration to Cloud Storage](https://attack.mitre.org/techniques/T1567/002/).\n2. Review related findings by clicking the link on the **Related findings** row. (from [Step 1](#cloudsql_findings_backuprestore)). Related findings have the same finding type on the same Cloud SQL instance.\n3. To develop a response plan, combine your investigation results with MITRE research.\n\nStep 5: Implement your response\n\n\nThe following response plan might be appropriate for this finding, but might also impact operations.\nCarefully evaluate the information you gather in your investigation to determine the best way to\nresolve findings.\n\n- Contact the owner of the project with exfiltrated data.\n- Consider [revoking permissions](/iam/docs/granting-changing-revoking-access#revoking-console) the principal that is listed on the **Principal email** row in the **Summary** tab of the finding details until the investigation is completed.\n- To stop further exfiltration, add restrictive IAM policies to the impacted Cloud SQL instances.\n - [MySQL](/sql/docs/mysql/instance-access-control)\n - [PostgreSQL](/sql/docs/postgres/instance-access-control)\n - [SQL Server](/sql/docs/sqlserver/instance-access-control)\n- To limit access to the Cloud SQL Admin API, [use\n VPC Service Controls](/vpc-service-controls/docs/overview).\n- To identify and fix overly permissive roles, use [IAM\n Recommender](/iam/docs/recommender-overview).\n\nWhat's next\n\n- Learn [how to work with threat\n findings in Security Command Center](/security-command-center/docs/how-to-investigate-threats).\n- Refer to the [Threat findings index](/security-command-center/docs/threat-findings-index).\n- Learn how to [review a\n finding](/security-command-center/docs/how-to-investigate-threats#reviewing_findings) through the Google Cloud console.\n- Learn about the [services that\n generate threat findings](/security-command-center/docs/concepts-security-sources#threats)."]]
