Acesso inicial: o superutilizador da base de dados escreve nas tabelas de utilizadores

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

A conta de superutilizador da base de dados do Cloud SQL (postgres para PostgreSQL e root para MySQL) escreveu nas tabelas de utilizadores. Geralmente, o superutilizador (uma função com acesso muito amplo) não deve ser usado para escrever em tabelas de utilizadores. Deve usar uma conta de utilizador com acesso mais limitado para a atividade diária normal. Quando um superutilizador escreve numa tabela de utilizadores, isso pode indicar que um atacante aumentou os privilégios ou comprometeu o utilizador da base de dados predefinido e está a modificar os dados. Também pode indicar práticas normais, mas inseguras.

A Deteção de ameaças com base em eventos é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

1. Abra uma Initial Access: Database Superuser Writes to User Tables descoberta, conforme indicado em Rever descobertas.

2. No separador Resumo do painel de detalhes da deteção, reveja as informações nas seguintes secções:

   • O que foi detetado, especialmente os seguintes campos:
     • Nome a apresentar da base de dados: o nome da base de dados na instância do Cloud SQL PostgreSQL ou MySQL que foi afetada.
     • Nome de utilizador da base de dados: o superutilizador.
     • Consulta da base de dados: a consulta SQL executada durante a escrita nas tabelas de utilizadores.
   • Recurso afetado, especialmente os seguintes campos:
     • Nome completo do recurso: o nome do recurso da instância do Cloud SQL que foi afetada.
     • Nome completo do principal: o nome do recurso da instância do Cloud SQL.
     • Nome completo do projeto: o Google Cloud projeto que contém a instância do Cloud SQL.
   • Links relacionados, especialmente os seguintes campos:
     • URI do Cloud Logging: link para as entradas do Logging.
     • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
     • Resultados relacionados: links para resultados relacionados.

3. Para ver o JSON completo da descoberta, clique no separador JSON.

Passo 2: verifique os registos

1. Na Google Cloud consola, aceda ao Explorador de registos clicando no link em cloudLoggingQueryURI (do passo 1). A página Explorador de registos inclui todos os registos relacionados com a instância do Cloud SQL relevante.
2. Verifique os registos de auditoria do PostgreSQL pgaudit ou do Cloud SQL para MySQL, que contêm as consultas executadas pelo superutilizador, através dos seguintes filtros:
   • protoPayload.request.user="SUPERUSER"

Passo 3: pesquise métodos de ataque e resposta

1. Reveja a entrada da framework MITRE ATT&CK para este tipo de descoberta: Exfiltração através do serviço Web.
2. Para determinar se são necessários passos de remediação adicionais, combine os resultados da sua investigação com a investigação da MITRE.

Passo 4: implemente a sua resposta

O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.

• Reveja os utilizadores autorizados a estabelecer ligação à base de dados.

  • Para o PostgreSQL, consulte o artigo Crie e faça a gestão de utilizadores
  • Para o MySQL, consulte o artigo Faça a gestão de utilizadores com a autenticação incorporada

• Considere alterar a palavra-passe do superutilizador.

  • Para o PostgreSQL, consulte o artigo Defina a palavra-passe do utilizador predefinido
  • Para o MySQL, consulte o artigo Defina a palavra-passe do utilizador predefinido

• Considere criar um novo utilizador com acesso limitado para os diferentes tipos de consultas usados na instância.

  • Conceda ao novo utilizador apenas as autorizações necessárias para executar as respetivas consultas.

    • Para o PostgreSQL, consulte o artigo Grant (comando)
    • Para o MySQL, consulte o artigo Controlo de acesso e gestão de contas

  • Atualize as credenciais dos clientes que se ligam à instância do Cloud SQL

O que se segue?

• Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
• Consulte o índice de resultados de ameaças.
• Saiba como rever uma descoberta através da Google Cloud consola.
• Saiba mais sobre os serviços que geram resultados de ameaças.