Pemindahan Tidak Sah: Ekstraksi Data BigQuery

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Pencurian data dari BigQuery terdeteksi dengan memeriksa log audit untuk dua skenario:

  • Resource disimpan ke bucket Cloud Storage di luar organisasi Anda.
  • Resource disimpan ke bucket Cloud Storage yang dapat diakses secara publik dan dimiliki oleh organisasi Anda.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Event Threat Detection adalah sumber temuan ini.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Exfiltration: BigQuery Data Extraction, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan di panel detail temuan, tinjau nilai yang tercantum di bagian berikut:

    • Yang terdeteksi:
      • Email utama: akun yang digunakan untuk mengekstraksi data.
      • Sumber pemindahan data yang tidak sah: detail tentang tabel tempat data dipindahkan tanpa izin.
      • Target pemindahan yang tidak sah: detail tentang tabel tempat data yang dipindahkan secara tidak sah disimpan.
    • Resource yang terpengaruh:
      • Nama lengkap resource: nama resource BigQuery yang datanya diekstraksi.
      • Nama lengkap project: project Google Cloud yang berisi set data BigQuery sumber.
    • Link terkait:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.

  3. Di panel detail temuan, klik tab JSON.

  4. Dalam JSON, perhatikan kolom berikut.

    • sourceProperties:
      • evidence:
        • sourceLogId:
        • projectId: Google Cloud project yang berisi set data BigQuery sumber.
      • properties:
        • extractionAttempt:
        • jobLink: link ke tugas BigQuery yang mengekstraksi data

Langkah 2: Tinjau izin dan setelan

  1. Di konsol Google Cloud , buka halaman IAM.

    Buka IAM

  2. Jika perlu, pilih project yang tercantum di kolom projectId dalam JSON temuan (dari Langkah 1).

  3. Di halaman yang muncul, di kotak Filter, masukkan alamat email yang tercantum di Principal email (dari Langkah 1) dan periksa izin yang ditetapkan ke akun tersebut.

Langkah 3: Periksa log

  1. Di tab Ringkasan pada panel detail temuan, klik link URI Cloud Logging untuk membuka Logs Explorer.
  2. Temukan log aktivitas admin yang terkait dengan tugas BigQuery menggunakan filter berikut:
    • protoPayload.methodName="Jobservice.insert"
    • protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"

Langkah 4: Meneliti metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Exfiltration Over Web Service: Exfiltration to Cloud Storage.
  2. Tinjau temuan terkait dengan mengklik link di baris Temuan terkait pada tab Ringkasan di detail temuan. Temuan terkait adalah jenis temuan yang sama pada instance dan jaringan yang sama.
  3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan penelitian MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

Langkah berikutnya