Cette page a été traduite par l'API Cloud Translation.

Exfiltration : exfiltration de données BigQuery initiée par Agent Engine

Ce document décrit un type de résultat de détection de menace dans Security Command Center. Ces résultats sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de détection de menace disponibles, consultez cet index.

Présentation

Les résultats renvoyés par Exfiltration: Agent Engine Initiated BigQuery Data Exfiltration contiennent l'une des deux sous-règles possibles. Chaque sous-règle a un niveau de gravité différent :

Sous-règle agent_engine_exfil_to_external_table avec gravité = HIGH :
- Une ressource a été enregistrée en dehors de votre organisation ou de votre projet par un agent déployé sur Vertex AI Agent Engine. Cette sous-règle correspond au module AGENT_ENGINE_BIG_QUERY_EXFIL_TO_EXTERNAL_TABLE.
Sous-règle agent_engine_vpc_perimeter_violation avec gravité = LOW :
- VPC Service Controls a bloqué une opération de copie ou une tentative d'accès à des ressources BigQuery initiée par un agent déployé dans Vertex AI Agent Engine. Cette sous-règle correspond au module AGENT_ENGINE_BIG_QUERY_EXFIL_VPC_PERIMETER_VIOLATION.

Event Threat Detection est la source de ce résultat.

Actions à mettre en place

Pour traiter ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

Ouvrez le résultat Exfiltration: Agent Engine Initiated BigQuery Data Exfiltration comme indiqué dans Examiner un résultat.
Dans l'onglet Résumé du panneau "Détails du résultat", examinez les valeurs listées dans les sections suivantes :
- Risque détecté :
  - Gravité : la gravité est HIGH pour la sous-règle agent_engine_exfil_to_external_table ou LOW pour la sous-règle agent_engine_vpc_perimeter_violation.
  - Adresse e-mail du compte principal : compte utilisé pour exfiltrer les données.
  - Sources d'exfiltration : détails concernant les tables à partir desquelles les données ont été exfiltrées.
  - Cibles d'exfiltration : détails concernant les tables dans lesquelles les données exfiltrées ont été stockées.
- Ressource concernée :
  - Nom complet de la ressource : nom de ressource complet du projet, du dossier ou de l'organisation à partir desquels les données ont été exfiltrées.
- Liens associés :
  - URI Cloud Logging : lien vers les entrées Logging.
  - Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.
  - Résultats associés : liens vers les éventuels résultats associés.
Cliquez sur l'onglet Propriétés sources et examinez les champs affichés, en particulier :
- detectionCategory :
  - subRuleName : agent_engine_exfil_to_external_table ou agent_engine_vpc_perimeter_violation.
- evidence :
  - sourceLogId :
    - projectId : projet Google Cloud contenant l'ensemble de données BigQuery source.
- properties
  - dataExfiltrationAttempt
    - jobLink : lien vers la tâche BigQuery qui exfiltre des données.
    - query : requête SQL exécutée sur l'ensemble de données BigQuery.
Vous pouvez également cliquer sur l'onglet JSON pour obtenir la liste complète des propriétés JSON du résultat.

Étape 2 : Vérifier les autorisations et les paramètres

Dans la console Google Cloud , accédez à la page IAM.

Accéder à IAM
Si nécessaire, sélectionnez le projet indiqué dans le champ projectId du JSON du résultat.
Sur la page qui s'affiche, dans la zone Filtre, saisissez l'adresse e-mail répertoriée dans Adresse e-mail du compte principal et vérifiez les autorisations attribuées au compte.

Étape 3 : Vérifier les journaux

Dans l'onglet Résumé du panneau de détails du résultat, cliquez sur le lien URI Cloud Logging pour ouvrir l'explorateur de journaux.
Recherchez les journaux d'activité d'administration liés aux tâches BigQuery à l'aide des filtres suivants :
- protoPayload.methodName="Jobservice.insert"
- protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"

Étape 4 : Étudiez les méthodes d'attaque et de réponse

Examinez l'entrée du framework MITRE ATT&CK pour ce type de résultat : Exfiltration vers Cloud Storage.
Consultez les résultats associés en cliquant sur le lien Résultats associés indiqué dans la ligne Résultats associés de l'onglet Résumé des détails du résultat. Les résultats associés sont du même type de résultat, sur la même instance et sur le même réseau.
Pour élaborer un plan de réponse, combinez les résultats de vos enquêtes avec la recherche MITRE.

Étape 5 : Mettez en œuvre votre plan de réponse

Le plan de réponse suivant peut être adapté à ce résultat, mais il peut également avoir un impact sur vos opérations. Veillez à bien évaluer les informations que vous collectez dans votre enquête pour déterminer quelle est la meilleure réponse à apporter aux problèmes soulevés par les résultats.

Contactez le propriétaire du projet contenant les données exfiltrées.
Envisagez de révoquer les autorisations pour userEmail jusqu'à ce que l'enquête soit terminée.
Pour mettre fin à une exfiltration plus approfondie, ajoutez des stratégies IAM restrictives aux ensembles de données BigQuery concernés (exfiltration.sources et exfiltration.targets).
Pour rechercher des informations sensibles dans les ensembles de données concernés, utilisez la protection des données sensibles. Vous pouvez également envoyer des données Sensitive Data Protection à Security Command Center. Selon la quantité d'informations, les coûts liés à Sensitive Data Protection peuvent être importants. Suivez les bonnes pratiques pour contrôler les coûts liés à Sensitive Data Protection.
Pour limiter l'accès à l'API BigQuery, utilisez VPC Service Controls.
Pour identifier et corriger les rôles trop permissifs, utilisez l'outil de recommandation IAM.

Étapes suivantes

Découvrez comment travailler avec les résultats de détection de menace dans Security Command Center.
Consultez l'index des résultats de détection de menace.
Découvrez comment examiner un résultat dans la console Google Cloud .
Apprenez-en plus sur les services qui génèrent des résultats de détection de menace.