Este documento descreve um tipo de descoberta de ameaças no Security Command Center. Essas descobertas são geradas por detectores de ameaças quando detectam um risco nos recursos da nuvem. Para ver uma lista completa, consulte Índice de descobertas de ameaças.
Visão geral
As descobertas retornadas pelo Exfiltration: Agent Engine Initiated BigQuery Data Exfiltration contêm uma das duas sub-regras possíveis. Cada sub-regra tem uma gravidade diferente:
- Sub-regra
agent_engine_exfil_to_external_tablecom gravidade =HIGH:- Um recurso foi salvo fora da sua organização ou projeto iniciado por um agente implantado no Vertex AI Agent Engine. Essa subregra corresponde ao módulo
AGENT_ENGINE_BIG_QUERY_EXFIL_TO_EXTERNAL_TABLE.
- Um recurso foi salvo fora da sua organização ou projeto iniciado por um agente implantado no Vertex AI Agent Engine. Essa subregra corresponde ao módulo
- Sub-regra
agent_engine_vpc_perimeter_violationcom gravidade =LOW:- O VPC Service Controls bloqueou uma operação de cópia ou uma tentativa de acessar os recursos do BigQuery iniciada por um agente implantado no Vertex AI Agent Engine. Essa subregra corresponde ao módulo
AGENT_ENGINE_BIG_QUERY_EXFIL_VPC_PERIMETER_VIOLATION.
- O VPC Service Controls bloqueou uma operação de cópia ou uma tentativa de acessar os recursos do BigQuery iniciada por um agente implantado no Vertex AI Agent Engine. Essa subregra corresponde ao módulo
O Event Threat Detection é a origem dessa descoberta.
Como responder
Para responder a essa descoberta:
Etapa 1: verificar os detalhes da descoberta
- Abra a descoberta
Exfiltration: Agent Engine Initiated BigQuery Data Exfiltration, conforme instruído em Como verificar descobertas. Na guia Resumo do painel de detalhes da descoberta, revise os valores listados nas seguintes seções:
- O que foi detectado:
- Gravidade: a gravidade é
HIGHpara a sub-regraagent_engine_exfil_to_external_tableouLOWpara aagent_engine_vpc_perimeter_violation. - E-mail principal: a conta usada para exfiltrar os dados.
- Origens de exfiltração: detalhes sobre as tabelas das quais os dados foram exfiltados.
- Destinos de exfiltração: detalhes sobre as tabelas em que os dados de exfiltração foram armazenados.
- Gravidade: a gravidade é
- Recurso afetado:
- Nome completo do recurso: o nome completo do recurso do projeto, da pasta ou da organização da qual os dados foram exfiltados.
- Links relacionados:
- URI do Cloud Logging: link para as entradas do Logging.
- Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
- Descobertas relacionadas: links para quaisquer descobertas relacionadas.
- O que foi detectado:
Clique na guia Propriedades de origem e revise os campos mostrados, especialmente:
detectionCategory:subRuleName:agent_engine_exfil_to_external_tableouagent_engine_vpc_perimeter_violation.
evidence:sourceLogId:projectId: o projeto Google Cloud que contém o conjunto de dados do BigQuery de origem.
propertiesdataExfiltrationAttemptjobLink: o link para o job do BigQuery que exfiltrou dados.query: a consulta SQL executada no conjunto de dados do BigQuery.
Se quiser, clique na guia JSON para ver uma lista completa das propriedades JSON da descoberta.
Etapa 2: verificar permissões e configurações
No console do Google Cloud , acesse a página IAM.
Se necessário, selecione o projeto listado no campo
projectIdno JSON de descoberta.Na página exibida, na caixa Filtro, insira o endereço de e-mail listado em E-mail principal e verifique as permissões atribuídas à conta.
Etapa 3: verificar os registros
- Na guia "Resumo" do painel de detalhes da descoberta, clique no link URI do Cloud Logging para abrir aAnálise de registros.
Encontre registros de atividades do administrador relacionados a jobs do BigQuery usando estes filtros:
protoPayload.methodName="Jobservice.insert"protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"
Etapa 4: pesquisar métodos de ataque e resposta
- Verifique a entrada do framework do MITRE ATT&CK em busca deste tipo de descoberta: Exfiltração para o Cloud Storage.
- Verifique as descobertas relacionadas clicando no link em Descobertas relacionadas na linha Descobertas relacionadas na guia Resumo dos detalhes da descoberta. As descobertas relacionadas são o mesmo tipo de descoberta na mesma instância e rede.
- Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.
Etapa 5: implementar a resposta
O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.
- Entre em contato a pessoa a quem o projeto pertence com dados exfiltrado.
- Considere revogar as permissões de
userEmailaté que a investigação seja concluída. - Para interromper a exfiltração, adicione políticas do IAM restritivas aos conjuntos de dados do BigQuery
afetados (
exfiltration.sourceseexfiltration.targets). - Para verificar se há conjuntos de dados de informações sensíveis, use a Proteção de dados confidenciais. Também é possível enviar dados do Proteção de Dados Sensíveis para o Security Command Center. Dependendo da quantidade de informações, os custos da proteção de dados sensíveis podem ser significativos. Siga as práticas recomendadas para manter os custos de proteção de dados sensíveis sob controle.
- Para limitar o acesso à API BigQuery, use o VPC Service Controls.
- Para identificar e corrigir papéis excessivamente permissivos, use o Recomendador do IAM.
A seguir
- Saiba como usar descobertas de ameaças no Security Command Center.
- Consulte Índice de descobertas de ameaças.
- Aprenda a analisar uma descoberta no console do Google Cloud .
- Saiba mais sobre os serviços que geram descobertas de ameaças.