初期アクセス: データベース スーパーユーザーによるユーザー テーブルへの書き込み

このドキュメントでは、Security Command Center の脅威の検出結果のタイプについて説明します。脅威の検出結果は、クラウド リソースで潜在的な脅威が検出されたときに、脅威検出機能によって生成されます。利用可能な脅威の検出結果の一覧については、脅威の検出結果のインデックスをご覧ください。

概要

Cloud SQL データベースのスーパーユーザー アカウント(PostgreSQL の場合は postgres、MySQL の場合は root)がユーザー テーブルへの書き込みを行いました。通常、スーパーユーザー(非常に幅広いアクセス権を持つロール)は、ユーザー テーブルへの書き込みに使用するべきではありません。日常的な操作には、よりアクセスが制限されているユーザーを使用するべきです。スーパーユーザーがユーザー テーブルに書き込む場合は、攻撃者が権限を昇格したか、デフォルトのデータベース ユーザーを不正使用してデータを変更している可能性があります。また、それは日常的な操作ではあるものの、安全でない慣行を示している可能性もあります。

顧客への対処方法

この検出結果に対応する手順は次のとおりです。

ステップ 1: 検出結果の詳細を確認する

  1. 検出結果の確認の説明に従って、Initial Access: Database Superuser Writes to User Tables の検出結果を開きます。

  2. 検出結果の詳細パネルの [概要] タブで、次のセクションの情報を確認します。

    • 検出された内容(特に次のフィールド):
      • データベース表示名: 影響を受けた Cloud SQL PostgreSQL または MySQL インスタンスのデータベース名。
      • データベース ユーザー名: スーパー ユーザー。
      • データベース クエリ: ユーザー テーブルへの書き込み中に実行された SQL クエリ。
    • 影響を受けているリソース(特に次のフィールド):
      • リソースの完全な名前: 影響を受けた Cloud SQL インスタンスのリソース名。
      • 親の完全な名前: Cloud SQL インスタンスのリソース名。
      • プロジェクトのフルネーム: Cloud SQL インスタンスを含む Google Cloud プロジェクト。
    • 関連リンク(特に次のフィールド):
      • Cloud Logging URI: Logging エントリへのリンク。
      • MITRE ATT&CK 方式: MITRE ATT&CK ドキュメントへのリンク。
      • 関連する検出結果: 関連する検出結果へのリンク。

  3. 検出結果の完全な JSON を表示するには、[JSON] タブをクリックします。

ステップ 2: ログを確認する

  1. Google Cloud コンソールで、cloudLoggingQueryURI のリンク(ステップ 1 を参照)をクリックして、[ログ エクスプローラ] に移動します。[ログ エクスプローラ] ページには、該当する Cloud SQL インスタンスに関するすべてのログがあります。
  2. 次のフィルタを使用して、PostgreSQL の pgaudit ログか、Cloud SQL for MySQL の監査ログを確認します。このログにはスーパーユーザーによって実行されたクエリが含まれています。
    • protoPayload.request.user="SUPERUSER"

ステップ 3: 攻撃とレスポンスの手法を調査する

  1. この検出結果タイプに対応する MITRE ATT&CK フレームワーク エントリ(Exfiltration Over Web Service)を確認します。
  2. 追加の修復手順が必要かどうかを判断するために、調査結果を MITRE の調査と組み合わせます。

ステップ 4: レスポンスを実装する

次の対応計画は、この検出結果に適切な場合もありますが、運用に影響する可能性もあります。調査で収集した情報を慎重に評価して、検出結果を解決する最適な方法を判断してください。

次のステップ