Acesso inicial: gravações de superusuário do Database em tabelas do usuário

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

A conta de superusuário do banco de dados do Cloud SQL (postgres para PostgreSQL e root para MySQL) gravou em tabelas de usuários. O superusuário (uma função com acesso muito amplo) geralmente não deve ser usado para gravar em tabelas de usuários. Uma conta de usuário com acesso mais limitado deve ser usada para atividades diárias normais. Quando um superusuário grava em uma tabela de usuários, isso pode indicar que um invasor ampliou os privilégios ou comprometeu o usuário padrão do banco de dados e está modificando dados. Também pode indicar práticas normais, mas inseguras.

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

  1. Abra uma descoberta Initial Access: Database Superuser Writes to User Tables, conforme direcionado em Como verificar descobertas.

  2. Na guia Resumo do painel de detalhes da descoberta, revise as informações nas seguintes seções:

    • O que foi detectado, especialmente os seguintes campos:
      • Nome de exibição do banco de dados: o nome do banco de dados na instância do PostgreSQL ou MySQL do Cloud SQL que foi afetada.
      • Nome de usuário do banco de dados: o superusuário.
      • Consulta de banco de dados: a consulta SQL executada ao gravar em tabelas de usuários.
    • Recurso afetado, especialmente os seguintes campos:
      • Nome completo do recurso: o nome do recurso da instância do Cloud SQL que foi afetada.
      • Nome completo do pai: o nome do recurso da instância do Cloud SQL.
      • Nome completo do projeto: o projeto Google Cloud que contém a instância do Cloud SQL.
    • Links relacionados, principalmente os seguintes campos:
      • URI do Cloud Logging: link para as entradas do Logging.
      • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
      • Descobertas relacionadas: links para quaisquer descobertas relacionadas.

  3. Para ver o JSON completo da descoberta, clique na guia JSON.

Etapa 2: verificar os registros

  1. No console Google Cloud , acesse o Explorador de registros clicando no link em cloudLoggingQueryURI (da Etapa 1). A página Explorador de registros inclui todos os registros relacionados à instância relevante do Cloud SQL.
  2. Verifique os registros pgaudit do PostgreSQL ou os registros de auditoria do Cloud SQL para MySQL, que contêm as consultas executadas pelo superusuário, usando os seguintes filtros:
    • protoPayload.request.user="SUPERUSER"

Etapa 3: pesquisar métodos de ataque e resposta

  1. Revise a entrada do framework MITRE ATT&CK para esse tipo de descoberta: Exfiltration Over Web Service (Exfiltração sobre o serviço da Web).
  2. Para determinar se outras etapas de correção são necessárias, combine seus resultados da investigação com a pesquisa do MITRE.

Etapa 4: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

A seguir