Acesso inicial: gravações de superusuário do Database em tabelas do usuário

Este documento descreve um tipo de descoberta de ameaças no Security Command Center. Essas descobertas são geradas por detectores de ameaças quando detectam um risco nos recursos da nuvem. Para ver uma lista completa, consulte Índice de descobertas de ameaças.

Visão geral

A conta de superusuário do banco de dados do Cloud SQL (postgres para PostgreSQL e root para MySQL) gravou em tabelas de usuários. O superusuário (um papel com acesso muito amplo) geralmente não deve ser usado para gravar em tabelas de usuários. Uma conta de usuário com acesso mais limitado deve ser usada para atividades diárias normais. Quando um superusuário grava em uma tabela de usuários, isso pode indicar que um invasor ampliou os privilégios ou comprometeu o usuário padrão do banco de dados e está modificando dados. Também pode indicar práticas normais, mas inseguras.

O Event Threat Detection é a origem dessa descoberta.

Como responder

Para responder a essa descoberta:

Etapa 1: verificar os detalhes da descoberta

  1. Abra uma descoberta Initial Access: Database Superuser Writes to User Tables, conforme explicado em Analisar uma descoberta.

  2. Na guia Resumo do painel de detalhes da descoberta, revise as informações nas seguintes seções:

    • O que foi detectado, especialmente os seguintes campos:
      • Nome de exibição do banco de dados: o nome do banco de dados na instância do PostgreSQL do Cloud SQL que foi afetada.
      • Nome de usuário do banco de dados: o superusuário.
      • Consulta de banco de dados: a consulta SQL executada ao gravar em tabelas de usuários.
    • Recurso afetado, especialmente os seguintes campos:
      • Nome completo do recurso: o nome do recurso da instância do Cloud SQL que foi afetado.
      • Nome completo do pai: o nome do recurso da instância do Cloud SQL.
      • Nome completo do projeto: o projeto Google Cloud que contém a instância do Cloud SQL.
    • Links relacionados, principalmente os seguintes campos:
      • URI do Cloud Logging: link para as entradas do Logging.
      • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
      • Descobertas relacionadas: links para quaisquer descobertas relacionadas.

  3. Para ver o JSON completo da descoberta, clique na guia JSON.

Etapa 2: verificar os registros

  1. No console do Google Cloud , acesse a Análise de registros clicando no link em cloudLoggingQueryURI (da Etapa 1). A página Análise de registros inclui todos os registros relacionados à instância relevante do Cloud SQL.
  2. Verifique os registros pgaudit do PostgreSQL ou os registros de auditoria do Cloud SQL para MySQL, que contêm as consultas executadas pelo superusuário, usando os seguintes filtros:
    • protoPayload.request.user="SUPERUSER"

Etapa 3: pesquisar métodos de ataque e resposta

  1. Revise a entrada do framework MITRE ATT&CK para esse tipo de descoberta: Exfiltração sobre o serviço da Web.
  2. Para determinar se outras etapas de correção são necessárias, combine seus resultados da investigação com a pesquisa do MITRE.

Etapa 4: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

A seguir