Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.
Vista geral
Todos os privilégios sobre uma base de dados PostgreSQL (ou todas as funções ou procedimentos numa base de dados) foram concedidos a um ou mais utilizadores da base de dados.
A Deteção de ameaças com base em eventos é a origem desta descoberta.
Como responder
Para responder a esta descoberta, faça o seguinte:
Passo 1: reveja os detalhes da descoberta
- Abra a
Exfiltration: Cloud SQL Over-Privileged Grantdescoberta, conforme indicado em Rever descobertas. No separador Resumo do painel de detalhes da deteção, reveja as informações nas seguintes secções:
- O que foi detetado, especialmente os seguintes campos:
- Nome a apresentar da base de dados: o nome da base de dados na instância do Cloud SQL PostgreSQL que foi afetada.
- Nome de utilizador da base de dados: o utilizador do PostgreSQL que concedeu privilégios excessivos.
- Consulta da base de dados: a consulta do PostgreSQL executada que concedeu os privilégios.
- Concessionários da base de dados: os concessionários dos privilégios demasiado amplos.
- Recurso afetado, especialmente os seguintes campos:
- Nome completo do recurso: o nome do recurso da instância do Cloud SQL PostgreSQL que foi afetada.
- Nome completo do principal: o nome do recurso da instância do Cloud SQL PostgreSQL.
- Nome completo do projeto: o Google Cloud projeto que contém a instância do Cloud SQL PostgreSQL.
- Links relacionados, especialmente os seguintes campos:
- URI do Cloud Logging: link para as entradas do Logging.
- Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
- Resultados relacionados: links para resultados relacionados.
- O que foi detetado, especialmente os seguintes campos:
Para ver o JSON completo da descoberta, clique no separador JSON.
Passo 2: reveja os privilégios da base de dados
- Estabeleça ligação à base de dados do PostgreSQL.
- Liste e mostre os privilégios de acesso
para o seguinte:
- Bases de dados. Use o metacomando
\lou\liste verifique que privilégios estão atribuídos à base de dados apresentada em Nome a apresentar da base de dados (do passo 1). - Funções ou procedimentos. Use o metacomando
\dfe verifique que privilégios estão atribuídos a funções ou procedimentos na base de dados apresentada em Nome a apresentar da base de dados (do passo 1).
- Bases de dados. Use o metacomando
Passo 3: verifique os registos
- Na Google Cloud consola, aceda ao Explorador de registos clicando no link no URI do Cloud Logging (do passo 1). A página Explorador de registos inclui todos os registos relacionados com a instância do Cloud SQL relevante.
- No Explorador de registos, verifique os registos do PostgreSQL
pgaudit, que registam as consultas executadas na base de dados, através dos seguintes filtros:protoPayload.request.database="var class="edit">database"
Passo 4: pesquise métodos de ataque e resposta
- Reveja a entrada da framework MITRE ATT&CK para este tipo de descoberta: Exfiltração através do serviço Web.
- Para determinar se são necessários passos de remediação adicionais, combine os resultados da sua investigação com a investigação da MITRE.
Passo 5: implemente a sua resposta
O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.
- Contacte o proprietário da instância com concessões com privilégios excessivos.
- Considere revogar todas as autorizações dos beneficiários indicados em Beneficiários da base de dados até à conclusão da investigação.
- Para limitar o acesso à base de dados (a partir do nome a apresentar da base de dados do passo 1), revogue as autorizações desnecessárias dos beneficiários (a partir dos beneficiários da base de dados do passo 1).
O que se segue?
- Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
- Consulte o índice de resultados de ameaças.
- Saiba como rever uma descoberta através da Google Cloud consola.
- Saiba mais sobre os serviços que geram resultados de ameaças.