Accès initial: le super-utilisateur de la base de données écrit dans les tables utilisateur
Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.
Présentation
Le compte super-utilisateur de la base de données Cloud SQL (postgres pour PostgreSQL et root pour MySQL) a écrit dans les tables utilisateur. Le super-utilisateur (un rôle disposant d'un accès très étendu) ne doit généralement pas être utilisé pour écrire dans les tables utilisateur. Un compte utilisateur avec un accès plus limité doit être utilisé pour les activités quotidiennes normales. Lorsqu'un super-utilisateur écrit dans une table utilisateur, cela peut indiquer qu'un pirate informatique a élevé ses droits ou compromis l'utilisateur de base de données par défaut, et qu'il est en train de modifier des données. Il peut également indiquer des pratiques normales, mais dangereuses.
Comment répondre
Pour répondre à ce résultat, procédez comme suit :
Étape 1 : Examiner les détails du résultat
Ouvrez un résultat Initial Access: Database Superuser Writes to User Tables, comme indiqué dans la section Examiner les résultats.
Dans l'onglet Résumé du panneau "Détails du résultat", examinez les informations des sections suivantes :
Ce qui a été détecté, en particulier les champs suivants :
Nom à afficher de la base de données : nom de la base de données de l'instance Cloud SQL PostgreSQL ou MySQL affectée.
Nom d'utilisateur de la base de données : super-utilisateur.
Requête de base de données : requête SQL exécutée lors de l'écriture dans les tables utilisateur.
Ressource concernée, en particulier les champs suivants :
Nom complet de la ressource : nom de ressource de l'instance Cloud SQL concernée.
Nom complet du parent : nom de ressource de l'instance Cloud SQL.
Nom complet du projet : projet Google Cloud contenant l'instance Cloud SQL.
Liens associés, en particulier les champs suivants :
URI Cloud Logging : lien vers les entrées de journalisation.
Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.
Résultats associés : liens vers les résultats associés.
Pour afficher le code JSON complet du résultat, cliquez sur l'onglet JSON.
Étape 2 : Vérifier les journaux
Dans la console Google Cloud , accédez à l'explorateur de journaux en cliquant sur le lien figurant dans cloudLoggingQueryURI (à l'étape 1).
La page Explorateur de journaux inclut tous les journaux liés à l'instance Cloud SQL concernée.
Consultez les journaux pgaudit PostgreSQL ou les journaux d'audit Cloud SQL pour MySQL, qui contiennent les requêtes exécutées par le superutilisateur, à l'aide des filtres suivants :
protoPayload.request.user="SUPERUSER"
Étape 3 : Rechercher des méthodes d'attaque et de réponse
Examinez l'entrée du framework MITRE ATT&CK pour ce type de résultat : Exfiltration over Web Service (Exfiltration via service Web).
Pour déterminer si d'autres mesures correctives sont nécessaires, combinez vos résultats d'enquête avec la recherche MITRE.
Étape 4 : Mettre en œuvre votre réponse
Le plan de réponse suivant peut être adapté à ce résultat, mais peut également avoir une incidence sur les opérations.
Évaluez soigneusement les informations que vous collectez dans votre enquête pour déterminer la meilleure façon de solutionner les menaces détectées.
Examinez les utilisateurs autorisés à se connecter à la base de données.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/05 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/05 (UTC)."],[],[],null,["| Premium and Enterprise [service tiers](/security-command-center/docs/service-tiers)\n\nThis document describes a threat finding type in Security Command Center. Threat findings are generated by\n[threat detectors](/security-command-center/docs/concepts-security-sources#threats) when they detect\na potential threat in your cloud resources. For a full list of available threat findings, see [Threat findings index](/security-command-center/docs/threat-findings-index).\n\nOverview\n\nThe Cloud SQL database superuser account (`postgres`\nfor PostgreSQL and `root` for MySQL) wrote to user\ntables. The superuser (a role with very broad access) generally shouldn't be\nused to write to user tables. A user account with more limited access should be used\nfor normal daily activity. When a superuser writes to a user table, that could\nindicate that an attacker has escalated privileges or has compromised the\ndefault database user and is modifying data. It could also indicate normal but\nunsafe practices.\n\nHow to respond\n\nTo respond to this finding, do the following:\n\nStep 1: Review finding details\n\n1. Open an `Initial Access: Database Superuser Writes to User Tables` finding, as directed in [Reviewing findings](/security-command-center/docs/how-to-investigate-threats#reviewing_findings).\n2. On the **Summary** tab of the finding details panel, review the\n information in the following sections:\n\n - **What was detected** , especially the following fields:\n - **Database display name**: the name of the database in the Cloud SQL PostgreSQL or MySQL instance that was affected.\n - **Database user name**: the superuser.\n - **Database query**: the SQL query executed while writing to user tables.\n - **Affected resource** , especially the following fields:\n - **Resource full name**: the resource name of the Cloud SQL instance that was affected.\n - **Parent full name**: the resource name of the Cloud SQL instance.\n - **Project full name**: the Google Cloud project that contains the Cloud SQL instance.\n - **Related links** , especially the following fields:\n - **Cloud Logging URI**: link to Logging entries.\n - **MITRE ATT\\&CK method**: link to the MITRE ATT\\&CK documentation.\n - **Related findings**: links to any related findings.\n3. To see the complete JSON for the finding, click the **JSON** tab.\n\nStep 2: Check logs\n\n1. In the Google Cloud console, go to **Logs Explorer** by clicking the link in `cloudLoggingQueryURI` (from [Step 1](#initial_access_database_superuser_writes_to_user_tables_findings)). The **Logs Explorer** page includes all logs related to the relevant Cloud SQL instance.\n2. Check the logs for PostgreSQL pgaudit logs or Cloud SQL for MySQL audit logs, which contain the queries executed by the superuser, by using the following filters:\n - `protoPayload.request.user=\"`\u003cvar class=\"edit\" translate=\"no\"\u003eSUPERUSER\u003c/var\u003e`\"`\n\nStep 3: Research attack and response methods\n\n1. Review the MITRE ATT\\&CK framework entry for this finding type: [Exfiltration Over Web Service](https://attack.mitre.org/techniques/T1078/001/).\n2. To determine if additional remediation steps are necessary, combine your investigation results with MITRE research.\n\nStep 4: Implement your response\n\n\nThe following response plan might be appropriate for this finding, but might also impact operations.\nCarefully evaluate the information you gather in your investigation to determine the best way to\nresolve findings.\n\n- Review the users allowed to connect to the database.\n\n - For PostgreSQL, see [Create and manage users](/sql/docs/postgres/create-manage-users)\n - For MySQL, see [Manage users with built-in authentication](/sql/docs/mysql/create-manage-users)\n- Consider changing the password for the superuser.\n\n - For PostgreSQL, see [Set the password for the default user](/sql/docs/postgres/create-manage-users#user-root)\n - For MySQL, see [Set the password for the default user](/sql/docs/mysql/create-manage-users#user-root)\n- Consider creating a new, limited access user for the different types of queries used on the instance.\n\n - Grant the new user only the necessary permissions needed to execute their queries.\n\n - For PostgreSQL, see [Grant (command)](https://www.postgresql.org/docs/14/sql-grant.html)\n - For MySQL, see [Access Control and Account Management](https://dev.mysql.com/doc/refman/8.0/en/access-control.html)\n - Update the credentials for the clients that connect to the Cloud SQL instance\n\nWhat's next\n\n- Learn [how to work with threat\n findings in Security Command Center](/security-command-center/docs/how-to-investigate-threats).\n- Refer to the [Threat findings index](/security-command-center/docs/threat-findings-index).\n- Learn how to [review a\n finding](/security-command-center/docs/how-to-investigate-threats#reviewing_findings) through the Google Cloud console.\n- Learn about the [services that\n generate threat findings](/security-command-center/docs/concepts-security-sources#threats)."]]
