Exfiltração: dados do BigQuery para o Google Drive

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

A exfiltração de dados do BigQuery é detetada através da análise dos registos de auditoria para o seguinte cenário:

  • Um recurso é guardado numa pasta do Google Drive.

A Deteção de ameaças com base em eventos é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

  1. Abra uma descoberta Exfiltration: BigQuery Data to Google Drive, conforme indicado em Rever descobertas.

  2. No separador Resumo do painel de detalhes da deteção, reveja as informações nas seguintes secções:

    • O que foi detetado, incluindo:
      • Email principal: a conta usada para exfiltrar os dados.
      • Origens de exfiltração: detalhes sobre a tabela do BigQuery a partir da qual os dados foram exfiltrados.
      • Alvos de exfiltração: detalhes sobre o destino no Google Drive.
    • Recurso afetado, incluindo:
      • Nome completo do recurso: o nome do recurso do BigQuery cujos dados foram exfiltrados.
      • Nome completo do projeto: o Google Cloud projeto que contém o conjunto de dados do BigQuery de origem.
    • Links relacionados, incluindo:
      • URI do Cloud Logging: link para as entradas do Logging.
      • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
      • Resultados relacionados: links para resultados relacionados.

  3. Para ver informações adicionais, clique no separador JSON.

  4. No JSON, tenha em atenção os seguintes campos.

    • sourceProperties:
      • evidence:
        • sourceLogId:
        • projectId: o projeto que contém o conjunto de dados do BigQuery de origem. Google Cloud
      • properties:
        • extractionAttempt:
        • jobLink: o link para a tarefa do BigQuery que exfiltrou os dados

Passo 2: reveja as autorizações e as definições

  1. Na Google Cloud consola, aceda à página IAM.

    Aceda ao IAM

  2. Se necessário, selecione o projeto indicado no campo projectId no JSON de localização (do passo 1).

  3. Na página apresentada, na caixa Filtrar, introduza o endereço de email indicado em access.principalEmail (do passo 1) e verifique que autorizações estão atribuídas à conta.

Passo 3: verifique os registos

  1. No separador Resumo do painel de detalhes da descoberta, clique no link URI do Cloud Logging para abrir o explorador de registos.
  2. Encontre registos de atividade de administrador relacionados com tarefas do BigQuery através dos seguintes filtros:
    • protoPayload.methodName="Jobservice.insert"
    • protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"

Passo 4: pesquise métodos de ataque e resposta

  1. Reveja a entrada da framework MITRE ATT&CK para este tipo de descoberta: Exfiltração através do serviço Web: exfiltração para o armazenamento na nuvem.
  2. Reveja as conclusões relacionadas clicando no link em Conclusões relacionadas na linha Conclusões relacionadas no separador Resumo dos detalhes das conclusões. As conclusões relacionadas são do mesmo tipo de conclusão na mesma instância e rede.
  3. Para desenvolver um plano de resposta, combine os resultados da sua investigação com a investigação da MITRE.

Passo 5: implemente a sua resposta

O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.

O que se segue?