本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。
總覽
系統會檢查稽核記錄,偵測 BigQuery 資料外洩事件,包括以下情況:
- 資源會儲存至 Google 雲端硬碟資料夾。
回應方式
如要回應這項發現,請按照下列步驟操作:
步驟 1:查看調查結果詳細資料
- 按照「查看結果」一文中的指示,開啟
Exfiltration: BigQuery Data to Google Drive發現項目。 在調查結果詳細資料面板的「摘要」分頁中,查看下列各節的資訊:
- 偵測到的內容,包括:
- 主要電子郵件地址:用來外洩資料的帳戶。
- 外洩來源:資料外洩的 BigQuery 資料表詳細資料。
- 資料竊取目標:Google 雲端硬碟中目標的詳細資料。
- 受影響的資源,包括:
- 資源完整名稱:遭外洩資料的 BigQuery 資源名稱。
- 專案完整名稱:包含來源 BigQuery 資料集的 Google Cloud 專案。
- 相關連結,包括:
- Cloud Logging URI:記錄檔項目的連結。
- MITRE ATT&CK 方法:連結至 MITRE ATT&CK 文件。
- 相關發現項目:任何相關發現項目的連結。
- 偵測到的內容,包括:
如要瞭解更多資訊,請按一下「JSON」分頁標籤。
請注意 JSON 中的下列欄位。
sourceProperties:evidence:sourceLogId:projectId:包含來源 BigQuery 資料集的 Google Cloud 專案。
properties:extractionAttempt:jobLink:外洩資料的 BigQuery 工作連結
步驟 2:檢查權限和設定
前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。
如有需要,請選取在發現項目 JSON (來自步驟 1) 的
projectId欄位中列出的專案。在隨即顯示的頁面中,於「篩選條件」方塊中輸入
access.principalEmail列出的電子郵件地址 (來自步驟 1),然後查看指派給該帳戶的權限。
步驟 3:檢查記錄
- 在「發現項目詳細資料」面板的「摘要」分頁中,按一下「Cloud Logging URI」連結,開啟「記錄檔探索工具」。
- 使用下列篩選器,找出與 BigQuery 工作相關的管理員活動記錄:
protoPayload.methodName="Jobservice.insert"protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"
步驟 4:研究攻擊和回應方法
- 查看這類發現項目的 MITRE ATT&CK 架構項目: 透過網路服務外洩資料:外洩至雲端儲存空間。
- 如要查看相關發現項目,請在發現項目詳細資料的「摘要」分頁中,點選「相關發現項目」列的「相關發現項目」連結。相關發現是指同一執行個體和網路上的相同發現類型。
- 如要制定回應計畫,請將調查結果與 MITRE 研究結合。
步驟 5:實作回應
下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。
- 與遭外洩資料的專案擁有者聯絡。
- 在調查完成前,請考慮撤銷
access.principalEmail欄位中主體的權限。 - 如要防止資料外洩,請為受影響的 BigQuery 資料集 (
exfiltration.sources) 新增限制性身分與存取權管理政策。 - 如要掃描受影響資料集中的私密資訊,請使用 Sensitive Data Protection。您也可以將 Sensitive Data Protection 資料傳送至 Security Command Center。視資訊量而定,Sensitive Data Protection 的費用可能相當高昂。請遵循最佳做法,控管 Sensitive Data Protection 費用。
- 如要限制 BigQuery API 的存取權,請使用 VPC 服務控管。
- 如要找出並修正過於寬鬆的角色,請使用 IAM 建議。
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解會產生威脅發現項目的服務。