Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das deteções de ameaças disponíveis, consulte o Índice de deteções de ameaças.
Vista geral
Os resultados devolvidos pela Exfiltration: Agent Engine Initiated BigQuery Data Exfiltration contêm uma de duas subregras possíveis. Cada subregra tem uma gravidade diferente:
- Subregra
agent_engine_exfil_to_external_tablecom gravidade =HIGH:- Um recurso foi guardado fora da sua organização ou projeto iniciado por um agente implementado no Vertex AI Agent Engine. Esta subregra corresponde ao módulo
AGENT_ENGINE_BIG_QUERY_EXFIL_TO_EXTERNAL_TABLE.
- Um recurso foi guardado fora da sua organização ou projeto iniciado por um agente implementado no Vertex AI Agent Engine. Esta subregra corresponde ao módulo
- Subregra
agent_engine_vpc_perimeter_violationcom gravidade =LOW:- Os VPC Service Controls bloquearam uma operação de cópia ou uma tentativa de acesso a recursos do BigQuery iniciada por um agente implementado no Vertex AI Agent Engine. Esta subregra corresponde ao módulo
AGENT_ENGINE_BIG_QUERY_EXFIL_VPC_PERIMETER_VIOLATION.
- Os VPC Service Controls bloquearam uma operação de cópia ou uma tentativa de acesso a recursos do BigQuery iniciada por um agente implementado no Vertex AI Agent Engine. Esta subregra corresponde ao módulo
A Deteção de ameaças de eventos é a origem desta descoberta.
Como responder
Para responder a esta descoberta, faça o seguinte:
Passo 1: reveja os detalhes da descoberta
- Abra a descoberta
Exfiltration: Agent Engine Initiated BigQuery Data Exfiltration, conforme indicado em Rever descobertas. No separador Resumo do painel de detalhes da deteção, reveja os valores indicados nas seguintes secções:
- O que foi detetado:
- Gravidade: a gravidade é
HIGHpara a subregraagent_engine_exfil_to_external_tableouLOWpara a subregraagent_engine_vpc_perimeter_violation. - Email principal: a conta usada para exfiltrar os dados.
- Origens de exfiltração: detalhes sobre as tabelas a partir das quais os dados foram exfiltrados.
- Alvos de exfiltração: detalhes sobre as tabelas onde os dados exfiltrados foram armazenados.
- Gravidade: a gravidade é
- Recurso afetado:
- Nome completo do recurso: o nome completo do recurso do projeto, da pasta ou da organização a partir do qual os dados foram exfiltrados.
- Links relacionados:
- URI do Cloud Logging: link para as entradas do Logging.
- Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
- Resultados relacionados: links para resultados relacionados.
- O que foi detetado:
Clique no separador Propriedades de origem e reveja os campos apresentados, especialmente:
detectionCategory:subRuleName:agent_engine_exfil_to_external_tableouagent_engine_vpc_perimeter_violation.
evidence:sourceLogId:projectId: o Google Cloud projeto que contém o conjunto de dados do BigQuery de origem.
propertiesdataExfiltrationAttemptjobLink: o link para a tarefa do BigQuery que exfiltrou dados.query: a consulta SQL executada no conjunto de dados do BigQuery.
Opcionalmente, clique no separador JSON para ver a lista completa das propriedades JSON da descoberta.
Passo 2: reveja as autorizações e as definições
Na Google Cloud consola, aceda à página IAM.
Se necessário, selecione o projeto indicado no campo
projectIdno JSON de deteção.Na página apresentada, na caixa Filtrar, introduza o endereço de email indicado em Email principal e verifique que autorizações estão atribuídas à conta.
Passo 3: verifique os registos
- No separador Resumo do painel de detalhes da descoberta, clique no link URI do Cloud Logging para abrir o explorador de registos.
Encontre registos de atividade de administrador relacionados com tarefas do BigQuery através dos seguintes filtros:
protoPayload.methodName="Jobservice.insert"protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"
Passo 4: pesquise métodos de ataque e resposta
- Reveja a entrada da framework MITRE ATT&CK para este tipo de descoberta: Exfiltração para o Cloud Storage.
- Reveja as conclusões relacionadas clicando no link em Conclusões relacionadas na linha Conclusões relacionadas no separador Resumo dos detalhes da conclusão. As descobertas relacionadas são do mesmo tipo de descoberta na mesma instância e rede.
- Para desenvolver um plano de resposta, combine os resultados da sua investigação com a investigação da MITRE.
Passo 5: implemente a sua resposta
O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.
- Contacte o proprietário do projeto com dados exfiltrados.
- Considere revogar as autorizações para
userEmailaté à conclusão da investigação. - Para impedir a exfiltração adicional, adicione políticas de IAM restritivas aos conjuntos de dados do BigQuery afetados (
exfiltration.sourceseexfiltration.targets). - Para analisar conjuntos de dados afetados em busca de informações confidenciais, use a proteção de dados confidenciais. Também pode enviar dados da proteção de dados confidenciais para o Security Command Center. Consoante a quantidade de informações, os custos da proteção de dados confidenciais podem ser significativos. Siga as práticas recomendadas para manter os custos da proteção de dados confidenciais sob controlo.
- Para limitar o acesso à API BigQuery, use os VPC Service Controls.
- Para identificar e corrigir funções excessivamente permissivas, use o IAM Recommender.
O que se segue?
- Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
- Consulte o índice de resultados de ameaças.
- Saiba como rever uma descoberta através da Google Cloud consola.
- Saiba mais sobre os serviços que geram resultados de ameaças.