Exfiltração: extração de dados do BigQuery iniciada pelo Agent Engine

Este documento descreve um tipo de descoberta de ameaças no Security Command Center. Essas descobertas são geradas por detectores de ameaças quando detectam um risco nos recursos da nuvem. Para ver uma lista completa, consulte Índice de descobertas de ameaças.

Visão geral

A exfiltração de dados iniciada por um agente implantado no Agent Engine da Vertex AI pelo BigQuery é detectada ao examinar os registros de auditoria em dois cenários:

• Um recurso é salvo em um bucket do Cloud Storage fora da sua organização.
• Um recurso é salvo em um bucket do Cloud Storage acessível ao público de propriedade da sua organização.

Para ativações no nível do projeto do nível Security Command Center Premium, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

O Event Threat Detection é a origem dessa descoberta.

Como responder

Para responder a essa descoberta:

Etapa 1: verificar os detalhes da descoberta

1. Abra uma descoberta Exfiltration: Agent Engine Initiated BigQuery Data Extraction, conforme explicado em Analisar uma descoberta. O painel de detalhes da descoberta é aberto na guia Resumo.

2. Na guia Resumo do painel de detalhes da descoberta, revise os valores listados nas seguintes seções:

   • O que foi detectado:
     • E-mail principal: a conta usada para exfiltrar os dados.
     • Origens de exfiltração: detalhes sobre as tabelas das quais os dados foram exfiltados.
     • Destinos de exfiltração: detalhes sobre as tabelas em que os dados de exfiltração foram armazenados.
   • Recurso afetado:
     • Nome completo do recurso: o nome do recurso do BigQuery com dados exfiltrados.
     • Nome completo do projeto: o projeto Google Cloud que contém o conjunto de dados do BigQuery de origem.
   • Links relacionados:
     • URI do Cloud Logging: link para as entradas do Logging.
     • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
     • Descobertas relacionadas: links para quaisquer descobertas relacionadas.

3. No painel de detalhes da descoberta, clique na guia JSON.

4. No JSON, observe os seguintes campos.

   • sourceProperties:
     • evidence:
       • sourceLogId:
       • projectId: o projeto Google Cloud que contém o conjunto de dados do BigQuery de origem.
     • properties:
       • extractionAttempt:
       • jobLink: o link para o job do BigQuery que exfiltrou dados

Etapa 2: verificar permissões e configurações

1. No console do Google Cloud , acesse a página IAM.

   Acessar o IAM

2. Se necessário, selecione o projeto listado no campo projectId no JSON de descoberta (da Etapa 1).

3. Na página exibida, na caixa Filtro, digite o endereço de e-mail listado em E-mail principal (da Etapa 1) e verifique as permissões que estão atribuídas à conta.

Etapa 3: verificar os registros

1. Na guia "Resumo" do painel de detalhes da descoberta, clique no link URI do Cloud Logging para abrir aAnálise de registros.
2. Encontre registros de atividades do administrador relacionados a jobs do BigQuery usando estes filtros:
   • protoPayload.methodName="Jobservice.insert"
   • protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"

Etapa 4: pesquisar métodos de ataque e resposta

1. Verifique a entrada do framework do MITRE ATT&CK em busca deste tipo de descoberta: Exfiltração para o Cloud Storage.
2. Verifique as descobertas relacionadas clicando no link na linha Descobertas relacionadas na guia Resumo dos detalhes da descoberta. As descobertas relacionadas são o mesmo tipo de descoberta na mesma instância e rede.
3. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.

Etapa 5: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

• Entre em contato a pessoa a quem o projeto pertence com dados exfiltrado.
• Recomendamos que você revogue as permissões do principal listado na linha E-mail principal na guia Resumo dos detalhes da descoberta até que a investigação seja concluída.
• Para interromper a exfiltração, adicione políticas restritivas do IAM aos conjuntos de dados afetados do BigQuery identificados no campo Origens de exfiltração no Resumo dos detalhes da descoberta.
• Para verificar se há conjuntos de dados de informações sensíveis, use a Proteção de Dados Sensíveis. Também é possível enviar dados do Proteção de Dados Sensíveis para o Security Command Center. Dependendo da quantidade de informações, os custos da proteção de dados sensíveis podem ser significativos. Siga as práticas recomendadas para manter os custos de proteção de dados sensíveis sob controle.
• Para limitar o acesso à API BigQuery, use o VPC Service Controls.
• Se você for o proprietário do bucket, revogue as permissões de acesso público.
• Para identificar e corrigir papéis excessivamente permissivos, use o Recomendador do IAM.

A seguir

• Saiba como usar descobertas de ameaças no Security Command Center.
• Consulte Índice de descobertas de ameaças.
• Aprenda a analisar uma descoberta no console do Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.