本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。
總覽
資料庫執行個體無法透過已知的去識別化 IP 位址登入。這些匿名化地址是 Tor 節點。這可能表示攻擊者試圖未經授權存取您的執行個體。
Event Threat Detection 是這項發現的來源。
回應方式
如要回應這項發現,請按照下列步驟操作:
步驟 1:查看調查結果詳細資料
- 按照「查看結果」一文的說明,開啟
Credential Access: CloudDB Failed login from Anonymizing Proxy IP發現項目。 在調查結果詳細資料面板的「摘要」分頁中,查看下列各節的資訊:
- 偵測到的內容,尤其是下列欄位:
- 指標 IP 位址:去識別化 IP 位址。
- 資料庫顯示名稱:受影響的 Cloud SQL PostgreSQL、MySQL 或 AlloyDB 執行個體中的資料庫名稱。
- 資料庫使用者名稱:使用者。
- 專案完整名稱:包含 Cloud SQL 執行個體的 Google Cloud 專案。
步驟 2:研究攻擊和回應方法
- 查看這類發現的 MITRE ATT&CK 架構項目: 存取憑證。
- 如要判斷是否需要採取其他補救措施,請將調查結果與 MITRE 研究結合。
步驟 3:實作回應
下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。
查看允許連線至資料庫的使用者。
- 如為 PostgreSQL,請參閱「建立及管理使用者」一文
- 如為 MySQL,請參閱「運用內建驗證機制管理使用者」一文
建議您變更使用者的密碼。
- 如為 PostgreSQL,請參閱「設定預設使用者的密碼」一文
如為 MySQL,請參閱「設定預設使用者的密碼」
更新連線至 Cloud SQL 執行個體的用戶端憑證
查看執行個體的網路存取權
- 如為 PostgreSQL,請參閱「設定預設使用者的密碼」一文
- 如為 MySQL,請參閱「設定預設使用者的密碼」
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解會產生威脅發現項目的服務。