Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation

In diesem Dokument wird ein bestimmter Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Die Daten-Exfiltration aus einer Cloud SQL-Sicherung wird durch Prüfen der Audit-Logs erkannt, wobei feststellt wird, ob Daten aus der Sicherung in einer Cloud SQL-Instanz außerhalb der Organisation oder des Projekts wiederhergestellt wurden. Alle Cloud SQL-Instanz- und Sicherungstypen werden unterstützt.

Die Quelle von diesem Ergebnis ist Event Threat Detection.

Maßnahmen

So reagieren Sie auf dieses Ergebnis:

Schritt 1: Ergebnisdetails prüfen

Öffnen Sie ein Exfiltration: Cloud SQL Restore Backup to External Organization -Ergebnis, wie unter Ergebnisse prüfen beschrieben.
Sehen Sie sich im Bereich mit den Ergebnisdetails auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:
- Was wurde erkannt, insbesondere die folgenden Felder:
  - E-Mail-Adresse des Hauptkontos: das Konto, das zur Exfiltration der Daten verwendet wird.
  - Exfiltrationsquellen: Details zur Cloud SQL-Instanz aus der die Sicherung erstellt wurde.
  - Exfiltrationsziele: Details zur Cloud SQL-Instanz in der die Sicherungsdaten wiederhergestellt wurden.
- Betroffene Ressource, insbesondere die folgenden Felder:
  - Vollständiger Ressourcenname: der Ressourcenname der wiederhergestellten Sicherung.
  - Vollständiger Projektname: das Google Cloud Projekt, das die Cloud SQL-Instanz enthält, aus der die Sicherung erstellt wurde.
Verknüpfte Links, insbesondere die folgenden Felder:
- Cloud Logging-URI: Link zu Logging-Einträgen.
- MITRE ATT&CK-Methode: Link zur MITRE ATT&CK-Dokumentation.
- Ähnliche Ergebnisse: Links zu ähnlichen Ergebnissen.
Klicken Sie auf den Tab JSON.
Achten Sie in der JSON-Datei auf die folgenden Felder.
- resource:
  - parent_name: der Ressourcenname der Cloud SQL-Instanz, aus der die Sicherung erstellt wurde.
- evidence:
  - sourceLogId:
    - projectId: das Google Cloud Projekt, das das BigQuery-Quelldataset enthält.
- properties:
  - restoreToExternalInstance:
    - backupId: die ID des wiederhergestellten Sicherungslaufs.

Schritt 2: Berechtigungen und Einstellungen prüfen

Rufen Sie in der Google Cloud Console die Seite IAM auf.

IAM aufrufen
Wählen Sie bei Bedarf das Projekt der Instanz aus, die im projectId Feld in der Ergebnis-JSON (aus Schritt 1) aufgeführt ist.
Geben Sie auf der angezeigten Seite im Feld Filter die E-Mail-Adresse ein, die unter E-Mail-Adresse des Hauptkontos (aus Schritt 1) aufgeführt ist, und prüfen Sie, welche Berechtigungen dem Konto zugewiesen sind.

Schritt 3: Protokolle prüfen

Rufen Sie in der Google Cloud Console den Log-Explorer auf. Klicken Sie dazu auf auf den Link unter Cloud Logging-URI (aus Schritt 1). Die Seite Log-Explorer enthält alle Logs, die sich auf die relevante Cloud SQL-Instanz beziehen.

Schritt 4: Angriffs- und Reaktionsmethoden untersuchen

Prüfen Sie den MITRE-ATT&CK-Framework-Eintrag für diesen Ergebnistyp: Exfiltration over Web Service: Exfiltration to Cloud Storage.
Klicken Sie in der Zeile Ähnliche Ergebnisse auf den Link, um ähnliche Ergebnisse abzurufen. (aus Schritt 1). Ähnliche Ergebnisse haben denselben Ergebnistyp auf derselben Cloud SQL-Instanz.
Um einen Antwortplan zu entwickeln, kombinieren Sie Ihre Prüfungsergebnisse mit der MITRE-Studie.

Schritt 5: Antwort implementieren

Der folgende Reaktionplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Abläufe auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Behebung der Ergebnisse zu finden.

Den Inhaber des Projekts mit exfiltrierten Daten kontaktieren
Ziehen Sie in Betracht, die Berechtigungen des Hauptkontos, das auf dem Tab Zusammenfassung der Ergebnisdetails in der Zeile E-Mail-Adresse des Hauptkontos aufgeführt ist, zu widerrufen, bis die Untersuchung abgeschlossen ist.
Um eine weitere Daten-Exfiltration zu stoppen, fügen Sie den betroffenen Cloud SQL-Instanzen restriktive Richtlinien hinzu.
Beschränken Sie den Zugriff auf die Cloud SQL Admin API mithilfe von VPC Service Controls.
Um IAM-Rollen mit zu vielen Berechtigungen zu identifizieren und zu beheben, verwenden Sie IAM Recommender.

Beispiel für eine Ergebnis-JSON

Das folgende Beispiel zeigt eine Ergebnis-JSON.

{
    "finding": {
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "resource_name": "//cloudsql.googleapis.com/projects/SOURCE_PROJECT_ID/instances/SOURCE_INSTANCE_NAME/backupRuns/BACKUP_ID",
      "state": "ACTIVE",
      "category": "Exfiltration: CloudSQL Restore Backup to External Organization",
      "sourceProperties": {
        "sourceId": {
          "projectNumber": "SOURCE_PROJECT_NUMBER",
          "customerOrganizationNumber": "ORGANIZATION_ID"
        },
        "detectionCategory": {
          "technique": "backup_exfiltration",
          "indicator": "audit_log",
          "ruleName": "cloudsql_exfil",
          "subRuleName": "restore_to_external_instance"
        },
        "detectionPriority": "HIGH",
        "affectedResources": [
          {
            "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/SOURCE_PROJECT_NUMBER"
          },
          {
            "gcpResourceName": "//cloudsql.googleapis.com/projects/SOURCE_PROJECT_ID/instances/SOURCE_INSTANCE_NAME"
          },
          {
            "gcpResourceName": "//cloudsql.googleapis.com/projects/TARGET_PROJECT_ID/instances/TARGET_INSTANCE_NAME"
          },
        ],
        "evidence": [{
          "sourceLogId": {
            "projectId": "SOURCE_PROJECT_ID",
            "resourceContainer": "projects/SOURCE_PROJECT_ID",
            "timestamp": {
              "seconds": "0",
              "nanos": 0.0
            },
            "insertId": "INSERT_ID"
          }
        }],
        "properties": {
          "restoreToExternalInstance": {
            "principalEmail": "PRINCIPAL_EMAIL",
            "sourceCloudsqlInstanceResource": "//cloudsql.googleapis.com/projects/SOURCE_PROJECT_ID/instances/SOURCE_INSTANCE_NAME",
            "backupId": "BACKUP_ID",
            "targetCloudsqlInstanceResource": "//cloudsql.googleapis.com/projects/TARGET_PROJECT_ID/instances/TARGET_INSTANCE_NAME"
          }
        },
        "findingId": "FINDING_ID",
        "contextUris": {
          "mitreUri": {
            "displayName": "MITRE Link",
            "url": "https://attack.mitre.org/techniques/T1567/002/"
          },
          "cloudLoggingQueryUri": [{
            "displayName": "Cloud Logging Query Link",
            "url": "LOGGING_LINK"
          }],
          "relatedFindingUri": {
            "displayName": "Related CloudSQL Exfiltration findings",
            "url": "RELATED_FINDINGS_LINK"
          }
        }
      },
      "securityMarks": {
        "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
      },
      "eventTime": "2022-01-19T21:36:07.901Z",
      "createTime": "2022-01-19T21:36:08.695Z",
      "severity": "HIGH",
      "workflowState": "NEW",
      "canonicalName": "projects/SOURCE_PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID"
      "mute": "UNDEFINED",
      "findingClass": "THREAT",
      "mitreAttack": {
        "primaryTactic": "EXFILTRATION",
        "primaryTechniques": ["EXFILTRATION_OVER_WEB_SERVICE", "EXFILTRATION_TO_CLOUD_STORAGE"]
      },
      "access": {
        "principalEmail": "PRINCIPAL_EMAIL",
        "callerIp": "IP",
        "callerIpGeo": {
        },
        "serviceName": "cloudsql.googleapis.com",
        "methodName": "cloudsql.instances.restoreBackup"
      },
      "exfiltration": {
        "sources": [
          {
            "name": "//cloudsql.googleapis.com/projects/SOURCE_PROJECT_ID/instances/SOURCE_INSTANCE_NAME"
          }
        ],
        "targets": [
          {
            "name": "//cloudsql.googleapis.com/projects/TARGET_PROJECT_ID/instances/TARGET_INSTANCE_NAME"
          }
        ]
      }
    },
    "resource": {
      "name": "//cloudsql.googleapis.com/projects/SOURCE_PROJECT_ID/instances/SOURCE_INSTANCE_NAME/backupRuns/BACKUP_ID",
      "projectName": "//cloudresourcemanager.googleapis.com/projects/SOURCE_PROJECT_NUMBER",
      "projectDisplayName": "SOURCE_PROJECT_ID",
      "parentName": "//cloudsql.googleapis.com/projects/SOURCE_PROJECT_ID/instances/SOURCE_INSTANCE_NAME",
      "parentDisplayName": "SOURCE_INSTANCE_NAME",
      "type": "google.cloud.sql.Instance",
      "folders": [{
        "resourceFolder": "//cloudresourcemanager.googleapis.com/folders/FOLDER_NUMBER",
        "resourceFolderDisplayName": "FOLDER_ID"
      }],
      "displayName": "mysql-backup-restore-instance"
    }
}

Nächste Schritte

Informationen zum Arbeiten mit Bedrohungsergebnissen in Security Command Center
Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
Dienste, die Bedrohungsergebnisse generieren