Élévation des privilèges : le super-utilisateur de la base de données AlloyDB écrit dans les tables utilisateur

Ce document décrit un type de résultat de détection de menace dans Security Command Center. Ces résultats sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de détection de menace disponibles, consultez cet index.

Présentation

Le compte super-utilisateur de la base de données AlloyDB pour PostgreSQL (postgres) a écrit dans les tables utilisateur. Le super-utilisateur (un rôle disposant d'un accès très étendu) ne doit généralement pas être utilisé pour écrire dans les tables utilisateur. Un compte utilisateur avec un accès plus limité doit être utilisé pour les activités quotidiennes normales. Lorsqu'un super-utilisateur écrit dans une table utilisateur, cela peut indiquer qu'un pirate informatique a obtenu une élévation de privilèges ou compromis l'utilisateur de base de données par défaut, et qu'il est en train de modifier des données. Cela peut également indiquer des pratiques normales, quoique dangereuses.

Event Threat Detection est la source de ce résultat.

Actions à mettre en place

Pour traiter ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

  1. Ouvrez le résultat Privilege Escalation: AlloyDB Database Superuser Writes to User Tables comme indiqué dans Examiner un résultat.

  2. Dans l'onglet Résumé du panneau "Détails du résultat", examinez les informations des sections suivantes :

    • Risque détecté, en particulier les champs suivants :
      • Nom à afficher de la base de données : nom de la base de données dans l'instance AlloyDB pour PostgreSQL concernée.
      • Nom d'utilisateur de la base de données : super-utilisateur.
      • Requête de base de données : requête SQL exécutée lors de l'écriture dans les tables utilisateur.
    • Ressource concernée, en particulier le champs suivant :
      • Nom complet de la ressource : nom de ressource de l'instance AlloyDB pour PostgreSQL concernée.
      • Nom complet du parent : nom de ressource de l'instance AlloyDB pour PostgreSQL.
      • Nom complet du projet : projet Google Cloud contenant l'instance AlloyDB pour PostgreSQL.
    • Liens associés, en particulier les champs suivants :
      • URI Cloud Logging : lien vers les entrées Logging.
      • Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.

  3. Pour afficher le code JSON complet du résultat, cliquez sur l'onglet JSON.

Étape 2 : Vérifier les journaux

  1. Dans la console Google Cloud , accédez à l'explorateur de journaux en cliquant sur le lien figurant dans cloudLoggingQueryURI (à l'étape 1). La page Explorateur de journaux inclut tous les journaux liés à l'instance AlloyDB pour PostgreSQL concernée.
  2. Recherchez les journaux PostgreSQL pgaudit (qui contiennent les requêtes exécutées par le super-utilisateur) à l'aide des filtres suivants :
    • protoPayload.request.user="postgres"

Étape 3 : Étudier les méthodes d'attaque et de réponse

  1. Examinez l'entrée du framework MITRE ATT&CK pour ce type de résultat : Exfiltration via un service Web.
  2. Pour déterminer si d'autres mesures correctives sont nécessaires, combinez vos résultats d'enquête avec la recherche MITRE.

Étape 4 : Mettre en œuvre votre réponse

Le plan de réponse suivant peut être adapté à ce résultat, mais il peut également avoir un impact sur vos opérations. Veillez à bien évaluer les informations que vous collectez dans votre enquête pour déterminer quelle est la meilleure réponse à apporter aux problèmes soulevés par les résultats.

Étapes suivantes