Élévation des privilèges : octroi de privilèges excessifs AlloyDB

Ce document décrit un type de résultat de détection de menace dans Security Command Center. Ces résultats sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de détection de menace disponibles, consultez cet index.

Présentation

Tous les droits associés à une base de données AlloyDB pour PostgreSQL (ou toutes les fonctions ou procédures d'une base de données) ont été accordés à un ou plusieurs utilisateurs de la base de données.

Event Threat Detection est la source de ce résultat.

Actions à mettre en place

Pour traiter ce résultat, procédez comme suit :

Étape 1 : Examiner les résultats détaillés

1. Ouvrez le résultat Privilege Escalation: AlloyDB Over-Privileged Grant comme indiqué dans Examiner les résultats.

2. Dans l'onglet Résumé du panneau "Détails du résultat", examinez les informations des sections suivantes :

   • Risque détecté, en particulier les champs suivants :
     • Nom à afficher de la base de données : nom de la base de données dans l'instance AlloyDB pour PostgreSQL concernée.
     • Nom d'utilisateur de la base de données : utilisateur PostgreSQL ayant accordé des droits en excès.
     • Requête de base de données : requête PostgreSQL exécutée ayant accordé les droits.
     • Bénéficiaires d'un accès à la base de données : bénéficiaires des droits en excès.
   • Ressource concernée, en particulier les champs suivants :
     • Nom complet de la ressource : nom de ressource de l'instance AlloyDB pour PostgreSQL concernée.
     • Nom complet du parent : nom de ressource de l'instance AlloyDB pour PostgreSQL.
     • Nom complet du projet : projet Google Cloud contenant l'instance AlloyDB pour PostgreSQL.
   • Liens associés, en particulier les champs suivants :
     • URI Cloud Logging : lien vers les entrées Logging.
     • Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.

3. Pour afficher le code JSON complet du résultat, cliquez sur l'onglet JSON.

Étape 2 : Vérifier les droits sur la base de données

1. Connectez-vous à l'instance AlloyDB pour PostgreSQL.
2. Listez et affichez les droits d'accès pour les éléments suivants :
   • Bases de données. Utilisez la métacommande \l ou \list et vérifiez les droits attribués pour la base de données listée dans Nom à afficher de la base de données (voir Étape 1).
   • Fonctions ou procédures. Utilisez la métacommande \df et vérifiez les droits attribués pour les fonctions ou procédures dans la base de données spécifiée dans Nom à afficher de la base de données (voir Étape 1).

Étape 3 : Vérifier les journaux

1. Dans la console Google Cloud , accédez à l'explorateur de journaux en cliquant sur le lien dans l'URI Cloud Logging (voir Étape 1). La page Explorateur de journaux inclut tous les journaux liés à l'instance Cloud SQL concernée.
2. Dans l'explorateur de journaux, vérifiez les journaux pgaudit PostgreSQL, qui enregistrent les requêtes exécutées dans la base de données, à l'aide des filtres suivants :
   • protoPayload.request.database="var class="edit">database"

Étape 4 : Étudier les méthodes d'attaque et de réponse

1. Examinez l'entrée du framework MITRE ATT&CK pour ce type de résultat : Exfiltration via un service Web.
2. Pour déterminer si d'autres mesures correctives sont nécessaires, combinez vos résultats d'enquête avec la recherche MITRE.

Étape 5 : Mettre en œuvre votre plan de réponse

Le plan de réponse suivant peut être adapté à ce résultat, mais il peut également avoir un impact sur vos opérations. Veillez à bien évaluer les informations que vous collectez dans votre enquête pour déterminer quelle est la meilleure réponse à apporter aux problèmes soulevés par les résultats.

• Contactez le propriétaire de l'instance disposant d'autorisations trop élevées.
• Envisagez de révoquer toutes les autorisations pour les bénéficiaires listés dans Bénéficiaires d'un accès à la base de données jusqu'à ce que l'enquête soit terminée.
• Pour limiter l'accès à la base de données (voir Nom à afficher de la base de données à l'étape 1), révoquez les autorisations inutiles accordées aux bénéficiaires (voir Bénéficiaires d'un accès à la base de données de l'étape 1).

Étapes suivantes

• Découvrez comment travailler avec les résultats de détection de menace dans Security Command Center.
• Consultez l'index des résultats de détection de menace.
• Découvrez comment examiner un résultat dans la console Google Cloud .
• Apprenez-en plus sur les services qui génèrent des résultats de détection de menace.