Exfiltration : exfiltration Cloud SQL initiée par Agent Engine

Ce document décrit un type de résultat de détection de menace dans Security Command Center. Ces résultats sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de détection de menace disponibles, consultez cet index.

Présentation

L'exfiltration de données de Cloud SQL initiée par un agent déployé sur Vertex AI Agent Engine est détectée en examinant les journaux d'audit pour deux scénarios :

• Données d'instance actives exportées vers un bucket Cloud Storage en dehors de l'organisation.
• Données d'instance actives exportées vers un bucket Cloud Storage appartenant à l'organisation, mais accessible au public.

Tous les types d'instances Cloud SQL sont compatibles.

Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Event Threat Detection est la source de ce résultat.

Actions à mettre en place

Pour traiter ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

1. Ouvrez un résultat Exfiltration: Agent Engine Initiated Cloud SQL Exfiltration, comme indiqué dans Examiner les résultats. Le panneau des détails du résultat s'ouvre dans l'onglet Résumé.

2. Dans l'onglet Résumé, examinez les informations des sections suivantes :

   • Risque détecté, en particulier les champs suivants :
     • Adresse e-mail du compte principal : compte utilisé pour exfiltrer les données.
     • Sources d'exfiltration : détails concernant l'instance Cloud SQL dont les données ont été exfiltrées.
     • Cibles d'exfiltration : informations sur le bucket Cloud Storage vers lequel les données ont été exportées.
   • Ressource concernée, en particulier le champs suivant :
     • Nom complet de la ressource : nom de la ressource Cloud SQL dont les données ont été exfiltrées.
     • Nom complet du projet : projet Google Cloud contenant les données Cloud SQL sources.
   • Liens associés, y compris :
     • URI Cloud Logging : lien vers les entrées Logging.
     • Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.
     • Résultats associés : liens vers les éventuels résultats associés.

3. Cliquez sur l'onglet JSON.

4. Dans le JSON du résultat, notez les champs suivants :

   • sourceProperties :
     • evidence :
     • sourceLogId :
       • projectId : projet Google Cloud contenant l'instance Cloud SQL source.
     • properties
     • bucketAccess : indique si le bucket Cloud Storage est accessible au public ou externe à l'organisation.
     • exportScope : quantité de données exportées (l'instance entière, une ou plusieurs bases de données, une ou plusieurs tables, ou un sous-ensemble spécifié par une requête).

Étape 2 : Vérifier les autorisations et les paramètres

1. Dans la console Google Cloud , accédez à la page IAM.

   Accéder à IAM

2. Si nécessaire, sélectionnez le projet de l'instance indiqué dans le champ projectId du JSON du résultat (à l'étape 1).

3. Sur la page qui s'affiche, dans la zone Filtre, saisissez l'adresse e-mail indiquée sur la ligne Adresse e-mail du compte principal de l'onglet Résumé des détails du résultat (à l'étape 1). Vérifiez les autorisations attribuées au compte.

Étape 3 : Vérifier les journaux

1. Dans la console Google Cloud , accédez à l'explorateur de journaux en cliquant sur le lien URI Cloud Logging (à l'étape 1). La page Explorateur de journaux inclut tous les journaux liés à l'instance Cloud SQL concernée.

Étape 4 : Étudiez les méthodes d'attaque et de réponse

1. Examinez l'entrée du framework MITRE ATT&CK pour ce type de résultat : Exfiltration vers Cloud Storage.
2. Consultez les résultats associés en cliquant sur le lien de la ligne Résultats associés décrite à l'étape 1. Le type des résultats associés est le même, sur la même instance Cloud SQL.
3. Pour élaborer votre plan de réponse, combinez les résultats de votre enquête aux recherches de MITRE.

Étape 5 : Mettez en œuvre votre plan de réponse

Le plan de réponse suivant peut être adapté à ce résultat, mais il peut également avoir un impact sur vos opérations. Veillez à bien évaluer les informations que vous collectez dans votre enquête pour déterminer quelle est la meilleure réponse à apporter aux problèmes soulevés par les résultats.

• Contactez le propriétaire du projet contenant les données exfiltrées.
• Envisagez de révoquer les autorisations pour access.principalEmail jusqu'à ce que l'enquête soit terminée.
• Pour mettre fin à toute exfiltration, ajoutez des stratégies IAM restrictives sur les instances Cloud SQL concernées.
  • MySQL
  • PostgreSQL
  • SQL Server
• Pour limiter l'accès à l'API Cloud SQL Admin et au module d'exportation, utilisez VPC Service Controls.
• Pour identifier et corriger les rôles trop permissifs, utilisez l'outil de recommandation IAM.

Étapes suivantes

• Découvrez comment travailler avec les résultats de détection de menace dans Security Command Center.
• Consultez l'index des résultats de détection de menace.
• Découvrez comment examiner un résultat dans la console Google Cloud .
• Apprenez-en plus sur les services qui génèrent des résultats de détection de menace.