Akses Awal: Pengguna Super Database Menulis ke Tabel Pengguna

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Akun superuser database Cloud SQL (postgres untuk PostgreSQL dan root untuk MySQL) menulis ke tabel pengguna. Pengguna super (peran dengan akses yang sangat luas) umumnya tidak boleh digunakan untuk menulis ke tabel pengguna. Akun pengguna dengan akses yang lebih terbatas harus digunakan untuk aktivitas harian normal. Saat superuser menulis ke tabel pengguna, hal itu dapat menunjukkan bahwa penyerang telah meningkatkan hak istimewa atau telah membahayakan pengguna database default dan sedang mengubah data. Hal ini juga dapat menunjukkan praktik yang normal tetapi tidak aman.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Initial Access: Database Superuser Writes to User Tables, seperti yang diarahkan dalam Meninjau temuan.

2. Di tab Ringkasan pada panel detail temuan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Nama tampilan database: nama database di instance Cloud SQL PostgreSQL atau MySQL yang terpengaruh.
     • Nama pengguna database: superuser.
     • Kueri database: kueri SQL yang dijalankan saat menulis ke tabel pengguna.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama resource instance Cloud SQL yang terpengaruh.
     • Nama lengkap induk: nama resource instance Cloud SQL.
     • Nama lengkap project: project Google Cloud yang berisi instance Cloud SQL.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

3. Untuk melihat JSON lengkap temuan, klik tab JSON.

Langkah 2: Periksa log

1. Di konsol Google Cloud , buka Logs Explorer dengan mengklik link di cloudLoggingQueryURI (dari Langkah 1). Halaman Logs Explorer mencakup semua log yang terkait dengan instance Cloud SQL yang relevan.
2. Periksa log untuk log pgaudit PostgreSQL atau log audit Cloud SQL untuk MySQL, yang berisi kueri yang dijalankan oleh pengguna super, dengan menggunakan filter berikut:
   • protoPayload.request.user="SUPERUSER"

Langkah 3: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Exfiltrasi Melalui Layanan Web.
2. Untuk menentukan apakah langkah-langkah perbaikan tambahan diperlukan, gabungkan hasil penyelidikan Anda dengan penelitian MITRE.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Tinjau pengguna yang diizinkan untuk terhubung ke database.

  • Untuk PostgreSQL, lihat Membuat dan mengelola pengguna
  • Untuk MySQL, lihat Mengelola pengguna dengan autentikasi bawaan

• Pertimbangkan untuk mengubah sandi superuser.

  • Untuk PostgreSQL, lihat Menyetel sandi untuk pengguna default
  • Untuk MySQL, lihat Menyetel sandi untuk pengguna default

• Pertimbangkan untuk membuat pengguna baru dengan akses terbatas untuk berbagai jenis kueri yang digunakan di instance.

  • Hanya berikan izin yang diperlukan kepada pengguna baru untuk menjalankan kuerinya.

    • Untuk PostgreSQL, lihat Grant (command)
    • Untuk MySQL, lihat Kontrol Akses dan Pengelolaan Akun

  • Perbarui kredensial untuk klien yang terhubung ke instance Cloud SQL

Langkah berikutnya

• Pelajari cara menangani temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui konsol Google Cloud .
• Pelajari layanan yang menghasilkan temuan ancaman.