Exfiltration: Agent Engine-initiierte Cloud SQL-Exfiltration

In diesem Dokument wird ein bestimmter Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Eine Daten-Exfiltration aus Cloud SQL, die von einem in Vertex AI Agent Engine bereitgestellten Agent initiiert wurde, wird durch die Untersuchung von Audit-Logs für zwei Szenarien erkannt:

• Live-Instanzdaten, die in einen Cloud Storage-Bucket außerhalb der Organisation exportiert wurden
• Live-Instanzdaten, die in einen Cloud Storage-Bucket exportiert wurden, der der Organisation gehört und öffentlich zugänglich

Alle Cloud SQL-Instanztypen werden unterstützt.

Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist.

Die Quelle dieses Ergebnisses ist Event Threat Detection.

Maßnahmen

So reagieren Sie auf dieses Ergebnis:

Schritt 1: Ergebnisdetails prüfen

1. Öffnen Sie ein Exfiltration: Agent Engine Initiated Cloud SQL Exfiltration-Ergebnis, wie unter Ergebnisse prüfen beschrieben. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.

2. Sehen Sie sich auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:

   • Was erkannt wurde, insbesondere die folgenden Felder:
     • Haupt-E-Mail-Adresse : Das Konto, das zum Exfiltrieren der Daten verwendet wird.
     • Exfiltrationsquellen: Details zur Cloud SQL-Instanz, deren Daten exfiltriert wurden.
     • Exfiltrationsziele: Details zum Cloud Storage-Bucket, in den die Daten exportiert wurden.
   • Betroffene Ressource, insbesondere die folgenden Felder:
     • Vollständiger Name der Ressource: der Ressourcenname der Cloud SQL-Instanz, deren Daten exfiltriert wurden.
     • Vollständiger Projektname: Das Google Cloud Projekt, das die Cloud SQL-Quelldaten enthält.
   • Weitere Informationen, darunter:
     • Cloud Logging-URI: Link zu Logging-Einträgen.
     • MITRE-ATT&CK-Methode: Link zur MITRE-ATT&CK-Dokumentation.
     • Ähnliche Ergebnisse: Links zu ähnlichen Ergebnissen.

3. Klicken Sie auf den Tab JSON.

4. Achten Sie in der JSON-Datei für das Ergebnis auf die folgenden Felder:

   • sourceProperties:
     • evidence:
     • sourceLogId:
       • projectId: Das Google Cloud Projekt, das die Cloud SQL-Quellinstanz enthält.
     • properties
     • bucketAccess: gibt an, ob der Cloud Storage-Bucket öffentlich zugänglich oder außerhalb der Organisation befindet
     • exportScope: der Umfang der exportierten Daten (die gesamte Instanz, eine oder mehrere Datenbanken, eine oder mehrere Tabellen oder eine durch eine Abfrage angegebene Teilmenge)

Schritt 2: Berechtigungen und Einstellungen prüfen

1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

   IAM aufrufen

2. Wählen Sie bei Bedarf das Projekt der Instanz aus, die im Feld projectId im JSON-Ergebnis aufgeführt ist (aus Schritt 1).

3. Geben Sie auf der angezeigten Seite im Feld Filter die E-Mail-Adresse ein, die auf dem Tab Zusammenfassung der Ergebnisdetails in der Zeile E-Mail-Adresse des Hauptkontos aufgeführt ist (aus Schritt 1). Prüfen Sie, welche Berechtigungen dem Konto zugewiesen sind.

Schritt 3: Protokolle prüfen

1. Rufen Sie in der Google Cloud Console den Log-Explorer auf. Klicken Sie dazu auf den Link im Cloud Logging-URI (aus Schritt 1). Die Seite Log-Explorer enthält alle Logs, die sich auf die relevante Cloud SQL-Instanz beziehen.

Schritt 4: Angriffs- und Reaktionsmethoden untersuchen

1. Sehen Sie sich den MITRE-ATT&CK-Framework-Eintrag für diesen Ergebnistyp an: Exfiltration to Cloud Storage.
2. Prüfen Sie die ähnlichen Ergebnisse. Klicken Sie dazu auf den Link in der Zeile Ähnliche Ergebnisse, die in Schritt 1 beschrieben wurde. Ähnliche Ergebnisse haben denselben Ergebnistyp auf derselben Cloud SQL-Instanz.
3. Um einen Reaktionsplan zu entwickeln, kombinieren Sie die Prüfungsergebnisse mit der MITRE-Studie.

Schritt 5: Antwort implementieren

Der folgende Reaktionplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Abläufe auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Behebung der Ergebnisse zu finden.

• Den Inhaber des Projekts mit exfiltrierten Daten kontaktieren
• Ziehen Sie in Betracht, Berechtigungen für access.principalEmail zu widerrufen, bis die Untersuchung abgeschlossen ist.
• Um eine weitere Daten-Exfiltration zu stoppen, fügen Sie den betroffenen Cloud SQL-Instanzen restriktive Richtlinien hinzu.
  • MySQL
  • PostgreSQL
  • SQL Server
• Beschränken Sie den Zugriff auf die Cloud SQL Admin API und den Export aus der Cloud SQL Admin API mit VPC Service Controls.
• Um IAM-Rollen mit zu vielen Berechtigungen zu identifizieren und zu beheben, verwenden Sie IAM Recommender.

Nächste Schritte

• Informationen zum Arbeiten mit Bedrohungsergebnissen in Security Command Center
• Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
• Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
• Dienste, die Bedrohungsergebnisse generieren