本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。
總覽
檢查稽核記錄檔時,如果發現代理程式部署至 Vertex AI Agent Engine 後,啟動了 Cloud SQL 資料竊取作業,就會偵測到下列兩種情況:
- 將即時執行個體資料匯出至機構外部的 Cloud Storage bucket。
- 即時執行個體資料匯出至貴機構擁有的公開 Cloud Storage bucket。
支援所有 Cloud SQL 執行個體類型。
如果在專案層級啟用 Security Command Center Premium 方案,只有在父項機構啟用 Standard 方案時,才會顯示這項發現項目。
Event Threat Detection 是這項發現項目的來源。
回應方式
如要回應這項發現,請按照下列步驟操作:
步驟 1:查看調查結果詳細資料
- 按照「查看發現項目」一文的指示,開啟
Exfiltration: Agent Engine Initiated Cloud SQL Exfiltration發現項目。系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。 在「摘要」分頁中,查看下列各節的資訊:
- 偵測到的內容,尤其是下列欄位:
- 主要電子郵件地址:用來外洩資料的帳戶。
- 外洩來源:資料外洩的 Cloud SQL 執行個體詳細資料。
- 外洩目標:資料匯出至 Cloud Storage 值區的詳細資料。
- 受影響的資源,尤其是下列欄位:
- 資源完整名稱:遭外洩資料的 Cloud SQL 資源名稱。
- 專案完整名稱:包含來源 Cloud SQL 資料的 Google Cloud 專案。
- 相關連結,包括:
- Cloud Logging URI:記錄項目連結。
- MITRE ATT&CK 方法:連結至 MITRE ATT&CK 文件。
- 相關發現項目:任何相關發現項目的連結。
- 偵測到的內容,尤其是下列欄位:
按一下「JSON」分頁標籤。
在調查結果的 JSON 中,請注意下列欄位:
sourceProperties:evidence:sourceLogId:projectId:包含來源 Cloud SQL 執行個體的 Google Cloud 專案。
propertiesbucketAccess:Cloud Storage bucket 是否可公開存取或位於機構外部exportScope:匯出多少資料,例如整個執行個體、一或多個資料庫、一或多個資料表,或查詢指定的子集
步驟 2:檢查權限和設定
前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。
如有需要,請選取在發現項目 JSON 的
projectId欄位中列出的執行個體專案 (如步驟 1 所示)。在隨即顯示的頁面中,於「篩選器」方塊中輸入「主要電子郵件」列中列出的電子郵件地址,該列位於調查結果詳細資料的「摘要」分頁 (請參閱步驟 1)。查看帳戶獲派的權限。
步驟 3:檢查記錄
- 在 Google Cloud 控制台中,按一下「Cloud Logging URI」中的連結 (來自步驟 1),前往「Logs Explorer」。 「記錄檔瀏覽器」頁面會顯示與相關 Cloud SQL 執行個體有關的所有記錄。
步驟 4:研究攻擊和應變方法
- 查看這類調查結果的 MITRE ATT&CK 架構項目: Exfiltration to Cloud Storage。
- 按一下「相關發現項目」列中的連結,即可查看相關發現項目,如步驟 1 所述。相關發現項目在同一個 Cloud SQL 執行個體上具有相同的發現項目類型。
- 如要制定回應計畫,請將調查結果與 MITRE 研究結合。
步驟 5:實作回應
下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。
- 與遭外洩資料的專案擁有者聯絡。
- 在調查完成前,請考慮撤銷
access.principalEmail的權限。 - 如要防止資料外洩,請在受影響的 Cloud SQL 執行個體中新增限制性 IAM 政策。
- 如要限制 Cloud SQL Admin API 的存取權和匯出作業,請使用 VPC Service Controls。
- 如要找出並修正過於寬鬆的角色,請使用 IAM 建議。
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解會產生威脅調查結果的服務。