Pemindahan Tidak Sah: Pemindahan Tidak Sah Data BigQuery yang Dimulai oleh Agent Engine

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk mengetahui daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Temuan yang ditampilkan oleh Exfiltration: Agent Engine Initiated BigQuery Data Exfiltration berisi salah satu dari dua kemungkinan subaturan. Setiap subaturan memiliki tingkat keparahan yang berbeda:

• Subaturan agent_engine_exfil_to_external_table dengan tingkat keparahan = HIGH:
  • Resource disimpan di luar organisasi atau project Anda yang dimulai oleh agen yang di-deploy ke Vertex AI Agent Engine. Subaturan ini sesuai dengan modul AGENT_ENGINE_BIG_QUERY_EXFIL_TO_EXTERNAL_TABLE.
• Subaturan agent_engine_vpc_perimeter_violation dengan tingkat keparahan = LOW:
  • Kontrol Layanan VPC memblokir operasi penyalinan atau upaya untuk mengakses resource BigQuery yang dimulai oleh agen yang di-deploy ke Vertex AI Agent Engine. Subaturan ini sesuai dengan modul AGENT_ENGINE_BIG_QUERY_EXFIL_VPC_PERIMETER_VIOLATION.

Event Threat Detection adalah sumber temuan ini.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Exfiltration: Agent Engine Initiated BigQuery Data Exfiltration, seperti yang diarahkan dalam Meninjau temuan.

2. Pada tab Ringkasan di panel detail temuan, tinjau nilai yang tercantum di bagian berikut:

   • Yang terdeteksi:
     • Severity: tingkat keparahan adalah HIGH untuk subaturan agent_engine_exfil_to_external_table atau LOW untuk subaturan agent_engine_vpc_perimeter_violation.
     • Email utama: akun yang digunakan untuk mengekstraksi data.
     • Sumber pemindahan data yang tidak sah: detail tentang tabel tempat data dipindahkan tanpa izin.
     • Target pemindahan yang tidak sah: detail tentang tabel tempat data yang dipindahkan secara tidak sah disimpan.
   • Resource yang terpengaruh:
     • Nama lengkap resource: nama lengkap resource project, folder, atau organisasi tempat data dieksfiltrasi.
   • Link terkait:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

3. Klik tab Properti Sumber dan tinjau kolom yang ditampilkan, terutama:

   • detectionCategory:
     • subRuleName: agent_engine_exfil_to_external_table atau agent_engine_vpc_perimeter_violation.
   • evidence:
     • sourceLogId:
       • projectId: Google Cloud project yang berisi set data BigQuery sumber.
   • properties
     • dataExfiltrationAttempt
       • jobLink: link ke tugas BigQuery yang mengekstraksi data.
       • query: kueri SQL yang dijalankan pada set data BigQuery.

4. Atau, klik tab JSON untuk melihat daftar lengkap properti JSON temuan.

Langkah 2: Tinjau izin dan setelan

1. Di konsol Google Cloud , buka halaman IAM.

   Buka IAM

2. Jika perlu, pilih project yang tercantum di kolom projectId dalam JSON temuan.

3. Di halaman yang muncul, pada kotak Filter, masukkan alamat email yang tercantum di Email akun utama dan periksa izin yang ditetapkan ke akun tersebut.

Langkah 3: Periksa log

1. Di tab Ringkasan pada panel detail temuan, klik link URI Cloud Logging untuk membuka Logs Explorer.

2. Temukan log aktivitas admin yang terkait dengan tugas BigQuery menggunakan filter berikut:

   • protoPayload.methodName="Jobservice.insert"
   • protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"

Langkah 4: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Exfiltrasi ke Cloud Storage.
2. Tinjau temuan terkait dengan mengklik link di Temuan terkait di baris Temuan terkait pada tab Ringkasan di detail temuan. Temuan terkait adalah jenis temuan yang sama pada instance dan jaringan yang sama.
3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan penelitian MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project yang datanya dieksfiltrasi.
• Pertimbangkan untuk mencabut izin untuk userEmail hingga investigasi selesai.
• Untuk menghentikan eksfiltrasi lebih lanjut, tambahkan kebijakan IAM yang ketat ke set data BigQuery yang terpengaruh (exfiltration.sources dan exfiltration.targets).
• Untuk memindai kumpulan data yang terpengaruh guna menemukan informasi sensitif, gunakan Sensitive Data Protection. Anda juga dapat mengirimkan data Sensitive Data Protection ke Security Command Center. Bergantung pada jumlah informasi, biaya Perlindungan Data Sensitif bisa cukup besar. Ikuti praktik terbaik untuk memastikan biaya Sensitive Data Protection tetap terkendali.
• Untuk membatasi akses ke BigQuery API, gunakan Kontrol Layanan VPC.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Langkah berikutnya

• Pelajari cara menangani temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui konsol Google Cloud .
• Pelajari layanan yang menghasilkan temuan ancaman.