竊取：Agent Engine 啟動 BigQuery 資料竊取作業

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時，就會產生威脅發現項目。如需可用威脅發現項目的完整清單，請參閱「威脅發現項目索引」。

總覽

Exfiltration: Agent Engine Initiated BigQuery Data Exfiltration 傳回的結果包含兩種可能的子規則之一。每個子規則的嚴重程度不同：

• 子規則 agent_engine_exfil_to_external_table，嚴重程度 = HIGH：
  • 資源儲存位置並非您所屬的機構或專案，而是由部署至 Vertex AI Agent Engine 的代理所啟動。這項子規則對應於 AGENT_ENGINE_BIG_QUERY_EXFIL_TO_EXTERNAL_TABLE 模組。
• 子規則 agent_engine_vpc_perimeter_violation，嚴重程度 = LOW：
  • VPC Service Controls 封鎖了代理程式啟動的複製作業，或存取 BigQuery 資源的嘗試。這項子規則對應於 AGENT_ENGINE_BIG_QUERY_EXFIL_VPC_PERIMETER_VIOLATION 模組。

Event Threat Detection 是這項發現項目的來源。

回應方式

如要回應這項發現，請按照下列步驟操作：

步驟 1：查看調查結果詳細資料

1. 按照「查看結果」一文的說明，開啟 Exfiltration: Agent Engine Initiated BigQuery Data Exfiltration 發現項目。

2. 在發現項目詳細資料面板的「摘要」分頁中，查看下列各節列出的值：

   • 偵測到的內容：
     • 嚴重程度：子規則 agent_engine_exfil_to_external_table 的嚴重程度為 HIGH，子規則 agent_engine_vpc_perimeter_violation 的嚴重程度為 LOW。
     • 主要電子郵件地址：用來外洩資料的帳戶。
     • 外洩來源：資料外洩的資料表詳細資料。
     • 資料竊取目標：儲存遭竊資料的資料表詳細資料。
   • 受影響的資源：
     • 資源完整名稱：資料外洩的專案、資料夾或機構完整資源名稱。
   • 相關連結：
     • Cloud Logging URI：記錄項目連結。
     • MITRE ATT&CK 方法：連結至 MITRE ATT&CK 文件。
     • 相關發現項目：任何相關發現項目的連結。

3. 按一下「來源屬性」分頁標籤，然後查看顯示的欄位，特別是：

   • detectionCategory：
     • subRuleName：agent_engine_exfil_to_external_table 或 agent_engine_vpc_perimeter_violation。
   • evidence：
     • sourceLogId：
       • projectId：包含來源 BigQuery 資料集的 Google Cloud 專案。
   • properties
     • dataExfiltrationAttempt
       • jobLink：外洩資料的 BigQuery 工作連結。
       • query：在 BigQuery 資料集上執行的 SQL 查詢。

4. 如要查看發現項目的完整 JSON 屬性清單，請按一下「JSON」分頁標籤。

步驟 2：檢查權限和設定

1. 前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。

   前往「IAM」頁面

2. 如有需要，請在發現項目 JSON 的 projectId 欄位中選取列出的專案。

3. 在隨即顯示的頁面中，於「篩選器」方塊中輸入「主要電子郵件」中列出的電子郵件地址，然後查看指派給該帳戶的權限。

步驟 3：檢查記錄

1. 在發現項目詳細資料面板的「摘要」分頁中，按一下「Cloud Logging URI」連結，開啟「記錄檔探索工具」。

2. 使用下列篩選器，找出與 BigQuery 工作相關的管理員活動記錄：

   • protoPayload.methodName="Jobservice.insert"
   • protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"

步驟 4：研究攻擊和應變方法

1. 查看這類調查結果的 MITRE ATT&CK 架構項目： Exfiltration to Cloud Storage。
2. 如要查看相關發現項目，請在發現項目詳細資料的「摘要」分頁中，點選「相關發現項目」列的「相關發現項目」連結。相關發現項目是指同一執行個體和網路上的相同發現項目類型。
3. 如要制定回應計畫，請將調查結果與 MITRE 研究結合。

步驟 5：實作回應

下列回應計畫可能適用於這項發現，但也可能影響作業。 請仔細評估調查期間收集到的資訊，找出解決問題的最佳方法。

• 與遭外洩資料的專案擁有者聯絡。
• 在調查完成前，請考慮撤銷 userEmail 的權限。
• 如要停止進一步外洩，請為受影響的 BigQuery 資料集新增限制性身分與存取權管理政策 (exfiltration.sources 和 exfiltration.targets)。
• 如要掃描受影響資料集中的私密資訊，請使用 Sensitive Data Protection。您也可以將 Sensitive Data Protection 資料傳送至 Security Command Center。視資訊量而定，Sensitive Data Protection 的費用可能相當高昂。請遵循最佳做法，控管 Sensitive Data Protection 費用。
• 如要限制 BigQuery API 的存取權，請使用 VPC 服務控管。
• 如要找出並修正過於寬鬆的角色，請使用 IAM 建議。

後續步驟

• 瞭解如何在 Security Command Center 中處理威脅調查結果。
• 請參閱威脅發現項目索引。
• 瞭解如何透過 Google Cloud 控制台查看發現項目。
• 瞭解會產生威脅調查結果的服務。