Exfiltration : données BigQuery vers Google Drive

Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.

Présentation

L'exfiltration de données de BigQuery est détectée en examinant les journaux d'audit pour le scénario suivant :

  • Une ressource est enregistrée dans un dossier Google Drive.

Event Threat Detection est la source de ce résultat.

Comment répondre

Pour répondre à ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

  1. Ouvrez un résultat Exfiltration: BigQuery Data to Google Drive, comme indiqué dans la section Examiner les résultats.

  2. Dans l'onglet Résumé du panneau "Détails du résultat", examinez les informations des sections suivantes :

    • Ce qui a été détecté, y compris :
      • Adresse e-mail principale : compte utilisé pour exfiltrer les données.
      • Sources d'exfiltration : détails sur la table BigQuery à partir de laquelle les données ont été exfiltrées.
      • Cibles d'exfiltration : détails sur la destination dans Google Drive.
    • Ressource concernée, y compris :
      • Nom complet de la ressource : nom de la ressource BigQuery dont les données ont été exfiltrées.
      • Nom complet du projet : projet Google Cloud contenant l'ensemble de données BigQuery source.
    • Liens associés, y compris :
      • URI Cloud Logging : lien vers les entrées de journalisation.
      • Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.
      • Résultats associés : liens vers les résultats associés.

  3. Pour en savoir plus, cliquez sur l'onglet JSON.

  4. Dans le fichier JSON, notez les champs suivants.

    • sourceProperties :
      • evidence :
        • sourceLogId :
        • projectId : projet Google Cloud contenant l'ensemble de données BigQuery source.
      • properties :
        • extractionAttempt :
        • jobLink : lien vers la tâche BigQuery qui exfiltre des données.

Étape 2 : Vérifier les autorisations et les paramètres

  1. Dans la console Google Cloud , accédez à la page IAM.

    Accéder à IAM

  2. Si nécessaire, sélectionnez le projet répertorié dans le champ projectId du JSON du résultat (à l'étape 1).

  3. Sur la page qui s'affiche, dans la zone Filtre, saisissez l'adresse e-mail répertoriée dans access.principalEmail (à l'étape 1) et vérifiez quelles autorisations sont attribuées au compte.

Étape 3 : Vérifier les journaux

  1. Dans l'onglet Récapitulatif du panneau "Détails du résultat", cliquez sur le lien URI Cloud Logging pour ouvrir l'explorateur de journaux.
  2. Recherchez les journaux d'activité d'administration liés aux tâches BigQuery à l'aide des filtres suivants :
    • protoPayload.methodName="Jobservice.insert"
    • protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"

Étape 4 : Rechercher des méthodes d'attaque et de réponse

  1. Examinez l'entrée du framework MITRE ATT&CK pour ce type de résultat : Exfiltration over Web Service: Exfiltration to Cloud Storage (Exfiltration via service Web : Exfiltration vers Cloud Storage).
  2. Consultez les résultats associés en cliquant sur le lien Résultats associés dans la ligne Résultats associés de l'onglet Récapitulatif des détails du résultat. Les résultats associés sont du même type de résultat, sur la même instance et sur le même réseau.
  3. Pour élaborer un plan de réponse, combinez les résultats de vos enquêtes avec la recherche MITRE.

Étape 5 : Mettre en œuvre votre réponse

Le plan de réponse suivant peut être adapté à ce résultat, mais peut également avoir une incidence sur les opérations. Évaluez soigneusement les informations que vous collectez dans votre enquête pour déterminer la meilleure façon de solutionner les menaces détectées.

Étapes suivantes