初始访问：数据库超级用户写入用户表

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时，会生成威胁发现结果。如需查看可用威胁发现结果的完整列表，请参阅威胁发现结果索引。

概览

Cloud SQL 数据库超级用户账号（对于 PostgreSQL 为 postgres，对于 MySQL 为 root）写入了用户表。超级用户（具有非常广泛访问权限的角色）通常不应用于写入用户表。拥有受限程度更严格的访问权限的用户账号应用于每日的常规活动。当超级用户向用户表写入数据时，这可能表示攻击者提升了特权或者伪装成默认数据库用户，并且正在修改数据。它也可能表示正常但不安全的做法。

如何应答

如需响应此发现结果，请执行以下操作：

第 1 步：查看发现结果详情

1. 按照查看发现结果中所述，打开 Initial Access: Database Superuser Writes to User Tables 发现结果。

2. 在发现结果详细信息面板的摘要标签页上，查看以下部分中的信息：

   • 检测到的内容，尤其是以下字段：
     • 数据库显示名称：受影响的 Cloud SQL PostgreSQL 或 MySQL 实例中的数据库的名称。
     • 数据库用户名：超级用户。
     • 数据库查询：在写入用户表时执行的 SQL 查询。
   • 受影响的资源，尤其是以下字段：
     • 资源全名：受影响的 Cloud SQL 实例的资源名称。
     • 父级完整名称：Cloud SQL 实例的资源名称。
     • 项目全名：包含 Cloud SQL 实例的 Google Cloud 项目。
   • 相关链接，尤其是以下字段：
     • Cloud Logging URI：指向 Logging 条目的链接。
     • MITRE ATT&CK 方法：指向 MITRE ATT&CK 文档的链接。
     • 相关发现结果：指向任何相关发现结果的链接。

3. 如需查看发现结果的完整 JSON，请点击 JSON 标签页。

第 2 步：检查日志

1. 在 Google Cloud 控制台中，点击 cloudLoggingQueryURI（来自第 1 步）中的链接，以前往 Logs Explorer。 Logs Explorer 页面包含与相关 Cloud SQL 实例有关的所有日志。
2. 使用以下过滤条件检查 PostgreSQL pgaudit 日志或 Cloud SQL for MySQL 审核日志，其中包含超级用户执行的查询：
   • protoPayload.request.user="SUPERUSER"

第 3 步：研究攻击和响应方法

1. 查看此发现结果类型的 MITRE ATT&CK 框架条目：Web 服务渗漏。
2. 如需确定是否需要执行额外的补救步骤，请将您的调查结果与 MITRE 研究相结合。

第 4 步：实现响应

以下响应方案可能适合此发现结果，但也可能会影响运营。 请仔细评估您在研究中收集的信息，以确定解析发现结果的最佳方法。

• 查看允许连接到数据库的用户。

  • 对于 PostgreSQL，请参阅创建和管理用户
  • 对于 MySQL，请参阅使用内置身份验证管理用户

• 考虑更改超级用户的密码。

  • 对于 PostgreSQL，请参阅为默认用户设置密码
  • 对于 MySQL，请参阅为默认用户设置密码

• 考虑为在实例中使用的不同类型的查询创建一个具有有限访问权限的新用户。

  • 仅向新用户授予执行此查询所需的必要权限。

    • 对于 PostgreSQL，请参阅 Grant（命令）
    • 对于 MySQL，请参阅访问权限控制和账号管理

  • 更新连接到 Cloud SQL 实例的客户端的凭证

后续步骤

• 了解如何在 Security Command Center 中处理威胁发现结果。
• 请参阅威胁发现结果索引。
• 了解如何通过 Google Cloud 控制台查看检测结果。
• 了解生成威胁发现结果的服务。