Exfiltration: Agent Engine-initiierte BigQuery-Datenextraktion

In diesem Dokument wird ein bestimmter Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Die Daten-Exfiltration aus BigQuery, die von einem in Vertex AI Agent Engine bereitgestellten Agent initiiert wurde, wird anhand von Audit-Logs für zwei Szenarien erkannt:

• Eine Ressource wird in einem Cloud Storage-Bucket außerhalb Ihrer Organisation gespeichert.
• Eine Ressource wird in einem öffentlich zugänglichen Cloud Storage-Bucket Ihrer Organisation gespeichert.

Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist.

Die Quelle dieses Ergebnisses ist Event Threat Detection.

Maßnahmen

So reagieren Sie auf dieses Ergebnis:

Schritt 1: Ergebnisdetails prüfen

1. Öffnen Sie ein Exfiltration: Agent Engine Initiated BigQuery Data Extraction-Ergebnis, wie unter Ergebnisse prüfen beschrieben. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.

2. Sehen Sie sich auf dem Tab Zusammenfassung des Bereichs „Ergebnisdetails“ die aufgeführten Werte in den folgenden Abschnitten an:

   • Was wurde erkannt?:
     • Haupt-E-Mail-Adresse: Das Konto, das zum Exfiltrieren der Daten verwendet wird.
     • Exfiltrationsquellen: Details zu den Tabellen, aus denen Daten exfiltriert wurden.
     • Exfiltrationsziele: Details zu den Tabellen, in denen exfiltrierte Daten gespeichert wurden.
   • Betroffene Ressource:
     • Vollständiger Ressourcenname: der Name der BigQuery-Ressource, deren Daten exfiltriert wurden.
     • Vollständiger Projektname: Das Google Cloud Projekt, das das BigQuery-Quelldataset enthält.
   • Weitere Informationen:
     • Cloud Logging-URI: Link zu Logging-Einträgen.
     • MITRE-ATT&CK-Methode: Link zur MITRE-ATT&CK-Dokumentation.
     • Ähnliche Ergebnisse: Links zu ähnlichen Ergebnissen.

3. Klicken Sie im Bereich mit den Ergebnisdetails auf den Tab JSON.

4. Achten Sie in der JSON-Datei auf die folgenden Felder.

   • sourceProperties:
     • evidence:
       • sourceLogId:
       • projectId: das Google Cloud Projekt, das das BigQuery-Quelldataset enthält.
     • properties:
       • extractionAttempt:
       • jobLink: der Link zum BigQuery-Job, der Daten exfiltriert hat

Schritt 2: Berechtigungen und Einstellungen prüfen

1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

   IAM aufrufen

2. Wählen Sie bei Bedarf das Projekt aus, das im Feld projectId im JSON-Ergebnis (aus Schritt 1) aufgeführt ist.

3. Geben Sie auf der angezeigten Seite im Feld Filter die E-Mail-Adresse ein, die in Principal email (aus Schritt 1) aufgeführt ist, und prüfen Sie, welche Berechtigungen dem Konto zugewiesen sind.

Schritt 3: Protokolle prüfen

1. Klicken Sie im Detailbereich für das Ergebnis auf dem Tab „Zusammenfassung“ auf den Link Cloud Logging-URI, um den Log-Explorer zu öffnen.
2. Suchen Sie mit den folgenden Filtern nach Administratoraktivitätslogs, die sich auf BigQuery-Jobs beziehen:
   • protoPayload.methodName="Jobservice.insert"
   • protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"

Schritt 4: Angriffs- und Reaktionsmethoden untersuchen

1. Sehen Sie sich den MITRE-ATT&CK-Framework-Eintrag für diesen Ergebnistyp an: Exfiltration to Cloud Storage.
2. Klicken Sie auf den Tab Zusammenfassung der Ergebnisdetails und dann in der Zeile Ähnliche Ergebnisse auf den Link, um ähnliche Ergebnisse aufzurufen. Ähnliche Ergebnisse sind für dieselbe Instanz und dasselbe Netzwerk identisch.
3. Um einen Antwortplan zu entwickeln, kombinieren Sie Ihre Prüfungsergebnisse mit der MITRE-Studie.

Schritt 5: Antwort implementieren

Der folgende Reaktionplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Abläufe auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Behebung der Ergebnisse zu finden.

• Den Inhaber des Projekts mit exfiltrierten Daten kontaktieren
• Ziehen Sie in Betracht, für das Hauptkonto, das auf dem Tab Zusammenfassung der Ergebnisdetails in der Zeile Haupt-E-Mail-Adresse aufgeführt ist, Berechtigungen zu widerrufen, bis die Untersuchung abgeschlossen ist.
• Wenn Sie die weitere Exfiltration verhindern möchten, fügen Sie den betroffenen BigQuery-Datasets restriktive IAM-Richtlinien hinzu, die auf dem Tab Zusammenfassung der Detailansicht des Findings im Feld Exfiltrationsquellen angegeben sind.
• Verwenden Sie Sensitive Data Protection, um betroffene Datasets auf vertrauliche Informationen zu scannen. Sie können auch Daten zum Schutz sensibler Daten an Security Command Center senden. Je nach Menge der Informationen können die Kosten für Sensitive Data Protection erheblich sein. Halten Sie sich an Best Practices, um die Kosten für den Schutz sensibler Daten zu kontrollieren.
• Zugriff auf die BigQuery API beschränken
• Wenn Sie der Inhaber des Buckets sind, sollten Sie Berechtigungen für den öffentlichen Zugriff widerrufen.
• Um IAM-Rollen mit zu vielen Berechtigungen zu identifizieren und zu beheben, verwenden Sie IAM Recommender.

Nächste Schritte

• Informationen zum Arbeiten mit Bedrohungsergebnissen in Security Command Center
• Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
• Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
• Dienste, die Bedrohungsergebnisse generieren