Accesso iniziale: il super user del database esegue scritture nelle tabelle utente

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.

Panoramica

L'account superuser del database Cloud SQL (postgres per PostgreSQL e root per MySQL) ha scritto nelle tabelle utente. In genere, il superuser (un ruolo con accesso molto esteso) non deve essere utilizzato per scrivere nelle tabelle utente. Per le normali attività quotidiane deve essere utilizzato un account utente con accesso più limitato. Quando un superutente scrive in una tabella utente, ciò potrebbe indicare che un utente malintenzionato ha eseguito l'escalation dei privilegi o ha compromesso l'utente del database predefinito e sta modificando i dati. Potrebbe anche indicare pratiche normali ma non sicure.

Come rispondere

Per rispondere a questo risultato:

Passaggio 1: esamina i dettagli del risultato

  1. Apri un risultato Initial Access: Database Superuser Writes to User Tables come indicato in Revisione dei risultati.

  2. Nella scheda Riepilogo del riquadro dei dettagli del risultato, esamina le informazioni nelle seguenti sezioni:

    • Che cosa è stato rilevato, in particolare i seguenti campi:
      • Nome visualizzato del database: il nome del database nell'istanza Cloud SQL PostgreSQL o MySQL interessata.
      • Nome utente database: il superutente.
      • Query del database: la query SQL eseguita durante la scrittura nelle tabelle utente.
    • Risorsa interessata, in particolare i seguenti campi:
      • Nome completo risorsa: il nome della risorsa dell'istanza Cloud SQL interessata.
      • Nome completo padre: il nome della risorsa dell'istanza Cloud SQL.
      • Nome completo del progetto: il progetto Google Cloud che contiene l'istanza di Cloud SQL.
    • Link correlati, in particolare i seguenti campi:
      • URI Cloud Logging: link alle voci di log.
      • Metodo MITRE ATT&CK: link alla documentazione MITRE ATT&CK.
      • Risultati correlati: link a eventuali risultati correlati.

  3. Per visualizzare il JSON completo del risultato, fai clic sulla scheda JSON.

Passaggio 2: controlla i log

  1. Nella console Google Cloud , vai a Esplora log facendo clic sul link in cloudLoggingQueryURI (dal passaggio 1). La pagina Explorer log include tutti i log relativi all'istanza Cloud SQL pertinente.
  2. Controlla i log di PostgreSQL pgaudit o i log di controllo di Cloud SQL per MySQL, che contengono le query eseguite dal superuser, utilizzando i seguenti filtri:
    • protoPayload.request.user="SUPERUSER"

Passaggio 3: ricerca di metodi di attacco e risposta

  1. Esamina la voce del framework MITRE ATT&CK per questo tipo di risultato: Exfiltration Over Web Service.
  2. Per determinare se sono necessari ulteriori passaggi di correzione, combina i risultati dell'indagine con la ricerca MITRE.

Passaggio 4: implementa la risposta

Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.

Passaggi successivi