Exfiltração: exfiltração de dados do Cloud SQL

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

A exfiltração de dados do Cloud SQL é detetada através da análise dos registos de auditoria em dois cenários:

• Dados de instâncias em direto exportados para um contentor do Cloud Storage fora da organização.
• Dados de instâncias em direto exportados para um contentor do Cloud Storage que é propriedade da organização e é acessível publicamente.

Todos os tipos de instâncias do Cloud SQL são suportados.

Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal.

A Deteção de ameaças com base em eventos é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

1. Abra uma Exfiltration: Cloud SQL Data Exfiltrationdescoberta, conforme indicado em Rever descobertas. O painel de detalhes da descoberta é aberto no separador Resumo.

2. No separador Resumo, reveja as informações nas seguintes secções:

   • O que foi detetado, especialmente os seguintes campos:
     • Email principal : a conta usada para exfiltrar os dados.
     • Origens de exfiltração: detalhes sobre a instância do Cloud SQL cujos dados foram exfiltrados.
     • Alvos de exfiltração: detalhes sobre o contentor do Cloud Storage para o qual os dados foram exportados.
   • Recurso afetado, especialmente os seguintes campos:
     • Nome completo do recurso: o nome do recurso do Cloud SQL cujos dados foram roubados.
     • Nome completo do projeto: o Google Cloud projeto que contém os dados de origem do Cloud SQL.
   • Links relacionados, incluindo:
     • URI do Cloud Logging: link para as entradas do Logging.
     • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
     • Resultados relacionados: links para resultados relacionados.

3. Clique no separador JSON.

4. No JSON da deteção, tenha em atenção os seguintes campos:

   • sourceProperties:
     • evidence:
     • sourceLogId:
       • projectId: o projeto que contém a instância do Cloud SQL de origem. Google Cloud
     • properties
     • bucketAccess: se o contentor do Cloud Storage é acessível publicamente ou externo à organização
     • exportScope: a quantidade de dados que foi exportada, como: toda a instância, uma ou mais bases de dados, uma ou mais tabelas ou um subconjunto especificado por uma consulta)

Passo 2: reveja as autorizações e as definições

1. Na Google Cloud consola, aceda à página IAM.

   Aceda ao IAM

2. Se necessário, selecione o projeto da instância indicado no campo projectId no JSON da descoberta (do passo 1).

3. Na página apresentada, na caixa Filtro, introduza o endereço de email indicado na linha Email principal no separador Resumo dos detalhes da descoberta (do passo 1). Verifique que autorizações estão atribuídas à conta.

Passo 3: verifique os registos

1. Na Google Cloud consola, aceda ao Explorador de registos clicando no link no URI do Cloud Logging (do passo 1). A página Explorador de registos inclui todos os registos relacionados com a instância do Cloud SQL relevante.

Passo 4: pesquise métodos de ataque e resposta

1. Reveja a entrada da framework MITRE ATT&CK para este tipo de descoberta: Exfiltração através do serviço Web: exfiltração para o armazenamento na nuvem.
2. Reveja as conclusões relacionadas clicando no link na linha Conclusões relacionadas descrita no Passo 1). As descobertas relacionadas têm o mesmo tipo de descoberta na mesma instância do Cloud SQL.
3. Para desenvolver um plano de resposta, combine os resultados da sua investigação com a investigação da MITRE.

Passo 5: implemente a sua resposta

O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.

• Contacte o proprietário do projeto com dados exfiltrados.
• Considere revogar as autorizações para access.principalEmail até a investigação estar concluída.
• Para impedir a exfiltração adicional, adicione políticas de IAM restritivas às instâncias do Cloud SQL afetadas.
  • MySQL
  • PostgreSQL
  • SQL Server
• Para limitar o acesso à API Admin do Cloud SQL e a exportação a partir desta, use os VPC Service Controls.
• Para identificar e corrigir funções excessivamente permissivas, use o IAM Recommender.

O que se segue?

• Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
• Consulte o índice de resultados de ameaças.
• Saiba como rever uma descoberta através da Google Cloud consola.
• Saiba mais sobre os serviços que geram resultados de ameaças.