Zugriff auf Anmeldedaten: CloudDB: Fehlgeschlagene Anmeldung über IP-Adresse des Anonymisierungs-Proxys

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

In einer Datenbankinstanz ist eine fehlgeschlagene Anmeldung über eine bekannte IP-Adresse des Anonymisierungs-Proxys aufgetreten. Diese Anonymisierungsadressen sind Tor-Knoten. Dies könnte darauf hindeuten, dass ein Angreifer versucht, sich unbefugten Zugriff auf Ihre Instanz zu verschaffen.

Event Threat Detection ist die Quelle dieses Ergebnisses.

So reagieren Sie

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

Schritt 1: Ergebnisdetails prüfen

1. Öffnen Sie ein Credential Access: CloudDB Failed login from Anonymizing Proxy IP-Ergebnis, wie unter Ergebnisse prüfen beschrieben.

2. Sehen Sie sich im Bereich „Ergebnisdetails“ auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:

   • Was wurde erkannt?, insbesondere die folgenden Felder:
   • Indikator-IP-Adresse: Die anonymisierende IP-Adresse.
   • Anzeigename der Datenbank: Der Name der Datenbank in der betroffenen Cloud SQL PostgreSQL-, MySQL- oder AlloyDB-Instanz.
   • Nutzername der Datenbank: der Nutzer.
   • Vollständiger Projektname: Das Google Cloud Projekt, das die Cloud SQL-Instanz enthält.

Schritt 2: Angriffs- und Reaktionsmethoden untersuchen

1. Sehen Sie sich den MITRE-ATT&CK-Framework-Eintrag für diesen Ergebnistyp an: Credential Access.
2. Um festzustellen, ob zusätzliche Schritte zur Abhilfe erforderlich sind, kombinieren Sie Ihre Untersuchungsergebnisse mit der MITRE-Forschung.

Schritt 3: Antwort implementieren

Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.

• Prüfen Sie, welche Nutzer sich mit der Datenbank verbinden dürfen.

  • Informationen zu PostgreSQL finden Sie unter Nutzer erstellen und verwalten.
  • Informationen zu MySQL finden Sie unter Nutzer mit integrierter Authentifizierung verwalten.

• Ändern Sie das Passwort des Nutzers.

  • Informationen zu PostgreSQL finden Sie unter Passwort für den Standardnutzer festlegen.

  • Informationen zu MySQL finden Sie unter Passwort für den Standardnutzer festlegen.

  • Anmeldedaten für die Clients aktualisieren, die eine Verbindung zur Cloud SQL-Instanz herstellen

• Netzwerkzugriff auf Ihre Instanz prüfen

  • Informationen zu PostgreSQL finden Sie unter Passwort für den Standardnutzer festlegen.
  • Informationen zu MySQL finden Sie unter Passwort für den Standardnutzer festlegen.

Nächste Schritte

• Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
• Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
• Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
• Dienste, die Bedrohungsbefunde generieren