Esfiltrazione: esfiltrazione di Cloud SQL avviata dall'agente AI nel bucket esterno

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati di minaccia vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle risorse cloud. Per un elenco completo dei risultati di minaccia disponibili, consulta l'indice dei risultati di minaccia.

Panoramica

L'esfiltrazione di dati da Cloud SQL avviata da un agente AI viene rilevata esaminando gli audit log per i dati dell'istanza live esportati in un bucket Cloud Storage al di fuori dell'organizzazione.

Sono supportati tutti i tipi di istanze Cloud SQL.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center, questo risultato è disponibile solo se il livello Standard-legacy è abilitato nell'organizzazione principale.

Event Threat Detection è l'origine di questo risultato.

Come rispondere

Per rispondere a questo risultato:

Passaggio 1: esamina i dettagli del risultato

1. Apri un risultato Exfiltration: AI Agent Initiated CloudSQL Exfiltration to External Bucket, come indicato in Esaminare i risultati. Si apre il riquadro dei dettagli del risultato nella scheda Riepilogo.

2. Nella scheda Riepilogo, esamina le informazioni nelle seguenti sezioni:

   • Che cosa è stato rilevato, in particolare i seguenti campi:
     • Email principale : l'account utilizzato per esfiltrare i dati.
     • Origini di esfiltrazione: dettagli sull'istanza Cloud SQL di cui sono stati esfiltrati i dati.
     • Destinazioni di esfiltrazione: dettagli sul bucket Cloud Storage in cui sono stati esportati i dati.
   • Risorsa interessata, in particolare i seguenti campi:
     • Nome completo della risorsa: il nome della risorsa Cloud SQL di cui sono stati esfiltrati i dati.
     • Nome completo del progetto: il Google Cloud progetto che contiene i dati Cloud SQL di origine.
   • Link correlati, tra cui:
     • URI Cloud Logging: link alle voci di Logging.
     • Metodo MITRE ATT&CK: link alla documentazione MITRE ATT&CK.
     • Risultati correlati: link a eventuali risultati correlati.

3. Fai clic sulla scheda JSON.

4. Nel JSON del risultato, prendi nota dei seguenti campi:

   • sourceProperties:
     • evidence:
     • sourceLogId:
       • projectId: il Google Cloud progetto che contiene l'istanza Cloud SQL di origine.
     • properties
     • exportScope: la quantità di dati esportati, ad esempio l'intera istanza, uno o più database, una o più tabelle o un sottoinsieme specificato da una query.

Passaggio 2: esamina le autorizzazioni e le impostazioni

1. Nella Google Cloud console vai alla pagina IAM.

   Vai a IAM

2. Se necessario, seleziona il progetto dell'istanza elencata nel projectId campo nel JSON del risultato (da Passaggio 1).

3. Nella pagina visualizzata, nella casella Filtro, inserisci l'indirizzo email elencato nella riga Email principale nella scheda Riepilogo dei dettagli del risultato (dal passaggio 1). Controlla le autorizzazioni assegnate all'account.

Passaggio 3: controlla i log

1. Nella Google Cloud console, vai a Esplora log facendo clic sul link in URI Cloud Logging (dal passaggio 1). La pagina Esplora log include tutti i log relativi all'istanza Cloud SQL pertinente.

Passaggio 4: ricerca i metodi di attacco e risposta

1. Esamina la voce del framework MITRE ATT&CK per questo tipo di risultato: Esfiltrazione in Cloud Storage.
2. Esamina i risultati correlati facendo clic sul link nella riga Risultati correlati descritta nel passaggio 1. I risultati correlati hanno lo stesso tipo di risultato sulla stessa istanza Cloud SQL.
3. Per sviluppare un piano di risposta, combina i risultati dell'indagine con la ricerca MITRE.

Passaggio 5: implementa la risposta

Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.

• Contatta il proprietario del progetto con i dati esfiltrati.
• Valuta la possibilità di revocare le autorizzazioni per access.principalEmail fino al completamento dell'indagine.
• Per interrompere l'esfiltrazione, aggiungi policy IAM restrittive alle istanze Cloud SQL interessate.
  • MySQL
  • PostgreSQL
  • SQL Server
• Per limitare l'accesso e l'esportazione dall'API Cloud SQL Admin, utilizza Controlli di servizio VPC.
• Per identificare e correggere i ruoli eccessivamente permissivi, utilizza IAM Recommender.

Passaggi successivi

• Scopri come utilizzare i risultati di minaccia in Security Command Center.
• Consulta l'indice dei risultati di minaccia.
• Scopri come esaminare un risultato tramite la Google Cloud console.
• Scopri i servizi che generano risultati di minaccia.