Exfiltration: BigQuery-Daten in Google Drive

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Eine Daten-Exfiltration in BigQuery wird anhand von Audit-Logs für das folgende Szenario erkannt:

  • Eine Ressource wird in einem Google Drive-Ordner gespeichert.

So reagieren Sie

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

Schritt 1: Ergebnisdetails prüfen

  1. Öffnen Sie ein Exfiltration: BigQuery Data to Google Drive-Ergebnis, wie unter Ergebnisse prüfen beschrieben.

  2. Sehen Sie sich im Bereich „Ergebnisdetails“ auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:

    • Was wurde erkannt?, einschließlich:
      • Haupt-E-Mail-Adresse: Das Konto, das zum Exfiltrieren der Daten verwendet wird.
      • Exfiltrationsquellen: Details zur BigQuery-Tabelle, aus der Daten exfiltriert wurden.
      • Exfiltrationsziele: Details zum Ziel in Google Drive.
    • Betroffene Ressource, einschließlich:
      • Vollständiger Ressourcenname: Der Name der BigQuery-Ressource, deren Daten exfiltriert wurden.
      • Vollständiger Projektname: Das Google Cloud Projekt, das das BigQuery-Quelldataset enthält.
    • Weitere Informationen, darunter:
      • Cloud Logging-URI: Link zu Logging-Einträgen.
      • MITRE-ATT&CK-Methode: Link zur MITRE-ATT&CK-Dokumentation.
      • Ähnliche Ergebnisse: Links zu ähnlichen Ergebnissen.

  3. Klicken Sie auf den Tab JSON, um weitere Informationen zu erhalten.

  4. Achten Sie in der JSON-Datei auf die folgenden Felder.

    • sourceProperties:
      • evidence:
        • sourceLogId:
        • projectId: das Google Cloud Projekt, das das BigQuery-Quelldataset enthält.
      • properties:
        • extractionAttempt:
        • jobLink: der Link zum BigQuery-Job, der Daten exfiltriert hat

Schritt 2: Berechtigungen und Einstellungen prüfen

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen

  2. Wählen Sie bei Bedarf das Projekt aus, das im Feld projectId im JSON-Ergebnis (aus Schritt 1) aufgeführt ist.

  3. Geben Sie auf der angezeigten Seite im Feld Filter die E-Mail-Adresse ein, die in access.principalEmail (aus Schritt 1) aufgeführt ist, und prüfen Sie, welche Berechtigungen dem Konto zugewiesen sind.

Schritt 3: Protokolle prüfen

  1. Klicken Sie im Bereich „Details zu Ergebnissen“ auf dem Tab „Zusammenfassung“ auf den Link Cloud Logging-URI, um den Log-Explorer zu öffnen.
  2. Suchen Sie mit den folgenden Filtern nach Administratoraktivitätslogs, die sich auf BigQuery-Jobs beziehen:
    • protoPayload.methodName="Jobservice.insert"
    • protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"

Schritt 4: Angriffs- und Reaktionsmethoden untersuchen

  1. Prüfen Sie den MITRE-ATT&CK-Framework-Eintrag für diesen Ergebnistyp: Exfiltration over Web Service: Exfiltration to Cloud Storage.
  2. Klicken Sie auf den Tab Zusammenfassung in den Ergebnisdetails in der Zeile Ähnliche Ergebnisse auf den Link unter Ähnliche Ergebnisse, um ähnliche Ergebnisse aufzurufen. Ähnliche Ergebnisse sind für dieselbe Instanz und dasselbe Netzwerk identisch.
  3. Um einen Antwortplan zu entwickeln, kombinieren Sie Ihre Prüfungsergebnisse mit der MITRE-Studie.

Schritt 5: Antwort implementieren

Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.

Nächste Schritte