竊取:BigQuery 資料竊取

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。

總覽

Exfiltration: BigQuery Data Exfiltration 傳回的結果包含兩種可能的子規則之一。每項子規則的嚴重程度不同:

  • 子規則 exfil_to_external_table,嚴重程度 = HIGH
    • 資源儲存在您的機構或專案外部。
  • 子規則 vpc_perimeter_violation,嚴重程度 = LOW
    • VPC Service Controls 封鎖了複製作業,或嘗試存取 BigQuery 資源的行為。

回應方式

如要回應這項發現,請按照下列步驟操作:

步驟 1:查看調查結果詳細資料

  1. 按照「查看結果」一文的說明,開啟 Exfiltration: BigQuery Data Exfiltration 發現項目。

  2. 在發現項目詳細資料面板的「摘要」分頁中,查看下列區段列出的值:

    • 偵測到的內容
      • 嚴重性:子規則 exfil_to_external_table 的嚴重性為 HIGH,子規則 vpc_perimeter_violation 的嚴重性為 LOW
      • 主要電子郵件地址:用來外洩資料的帳戶。
      • 外洩來源:資料外洩的資料表詳細資料。
      • 資料竊取目標:遭竊資料儲存位置的詳細資料。
    • 受影響的資源
      • 資源完整名稱:資料外洩的專案、資料夾或機構的完整資源名稱。
    • 相關連結
      • Cloud Logging URI:記錄檔項目的連結。
      • MITRE ATT&CK 方法:連結至 MITRE ATT&CK 文件。
      • 相關發現項目:任何相關發現項目的連結。

  3. 按一下「來源屬性」分頁標籤,然後查看顯示的欄位,特別是:

    • detectionCategory
      • subRuleNameexfil_to_external_tablevpc_perimeter_violation
    • evidence
      • sourceLogId
        • projectId:包含來源 BigQuery 資料集的 Google Cloud 專案。
    • properties
      • dataExfiltrationAttempt
        • jobLink:外洩資料的 BigQuery 工作連結。
        • query:在 BigQuery 資料集上執行的 SQL 查詢。

  4. 如要查看完整的 JSON 屬性清單,請按一下「JSON」分頁標籤。

步驟 2:檢查權限和設定

  1. 前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。

    前往「IAM」頁面

  2. 如有需要,請在發現項目 JSON 的 projectId 欄位中選取列出的專案。

  3. 在隨即顯示的頁面中,於「篩選器」方塊中輸入「主要電子郵件」中列出的電子郵件地址,然後查看指派給該帳戶的權限。

步驟 3:檢查記錄

  1. 在「發現項目詳細資料」面板的「摘要」分頁中,按一下「Cloud Logging URI」連結,開啟「記錄檔探索工具」

  2. 使用下列篩選器,找出與 BigQuery 工作相關的管理員活動記錄:

    • protoPayload.methodName="Jobservice.insert"
    • protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"

步驟 4:研究攻擊和回應方法

  1. 查看這類發現項目的 MITRE ATT&CK 架構項目: 透過網路服務外洩資料:外洩至雲端儲存空間
  2. 如要查看相關發現項目,請在發現項目詳細資料的「摘要」分頁中,點選「相關發現項目」列的「相關發現項目」連結。相關發現是指同一執行個體和網路上的相同發現類型。
  3. 如要制定回應計畫,請將調查結果與 MITRE 研究結合。

步驟 5:實作回應

下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。

後續步驟