竊取資料:將 Cloud SQL 備份還原至外部機構

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。

總覽

系統會檢查稽核記錄,判斷備份資料是否已還原至組織或專案外的 Cloud SQL 執行個體,藉此偵測 Cloud SQL 備份資料外洩事件。支援所有 Cloud SQL 執行個體和備份類型。

回應方式

如要回應這項發現,請按照下列步驟操作:

步驟 1:查看調查結果詳細資料

  1. 按照「查看結果」一文的說明,開啟 Exfiltration: Cloud SQL Restore Backup to External Organization 發現項目。

  2. 在調查結果詳細資料面板的「摘要」分頁中,查看下列各節的資訊:

    • 偵測到的內容,特別是下列欄位:
      • 主要電子郵件地址:用來外洩資料的帳戶。
      • 外洩來源:備份檔的建立來源 Cloud SQL 執行個體詳細資料。
      • 外洩目標:備份資料還原至 Cloud SQL 執行個體的詳細資料。
    • 受影響的資源,尤其是下列欄位:
      • 資源完整名稱:還原的備份資源名稱。
      • 專案完整名稱:包含備份來源 Cloud SQL 執行個體的 Google Cloud 專案。

  3. 相關連結,尤其是下列欄位:

    • Cloud Logging URI:記錄檔項目的連結。
    • MITRE ATT&CK 方法:連結至 MITRE ATT&CK 文件。
    • 相關發現項目:任何相關發現項目的連結。

  4. 按一下「JSON」分頁標籤。

  5. 請注意 JSON 中的下列欄位。

    • resource
      • parent_name:備份來源 Cloud SQL 執行個體的資源名稱
    • evidence
      • sourceLogId
        • projectId:包含來源 BigQuery 資料集的 Google Cloud 專案。
    • properties
      • restoreToExternalInstance
        • backupId:已還原的備份執行作業 ID

步驟 2:檢查權限和設定

  1. 前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。

    前往「IAM」頁面

  2. 如有必要,請選取在發現項目 JSON 的 projectId 欄位中列出的執行個體專案 (如步驟 1 所示)。

  3. 在隨即顯示的頁面中,於「篩選器」方塊中輸入「主要電子郵件」中列出的電子郵件地址 (來自步驟 1),然後查看指派給該帳戶的權限。

步驟 3:檢查記錄

  1. 在 Google Cloud 控制台中,按一下「Cloud Logging URI」(來自步驟 1) 中的連結,前往「Logs Explorer」(記錄檔探索工具)。 「記錄檔探索工具」頁面會列出與相關 Cloud SQL 執行個體有關的所有記錄。

步驟 4:研究攻擊和回應方法

  1. 查看這類發現項目的 MITRE ATT&CK 架構項目: 透過網路服務外洩資料:外洩至雲端儲存空間
  2. 按一下「相關發現項目」列中的連結,即可查看相關發現項目。(來自步驟 1)。相關發現項目在同一個 Cloud SQL 執行個體上具有相同的發現項目類型。
  3. 如要制定回應計畫,請將調查結果與 MITRE 研究結合。

步驟 5:實作回應

下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。

  • 與遭外洩資料的專案擁有者聯絡。
  • 在調查完成前,請考慮撤銷發現項目詳細資料「摘要」分頁中「主體電子郵件」列所列主體的權限。
  • 如要防止資料外洩,請在受影響的 Cloud SQL 執行個體中新增限制性 IAM 政策。
  • 如要限制 Cloud SQL Admin API 的存取權,請使用 VPC Service Controls
  • 如要找出並修正過於寬鬆的角色,請使用 IAM 建議

後續步驟