Exfiltración: datos de BigQuery a Google Drive

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

La exfiltración de datos de BigQuery se detecta examinando los registros de auditoría en el siguiente caso:

  • Un recurso se guarda en una carpeta de Google Drive.

Cómo responder

Para responder a esta observación, sigue estos pasos:

Paso 1: Revisa los detalles de la detección

  1. Abre un resultado Exfiltration: BigQuery Data to Google Drive siguiendo las instrucciones de la sección Revisar los resultados.

  2. En la pestaña Resumen del panel de detalles de la detección, consulta la información de las siguientes secciones:

    • Qué se detectó, incluido lo siguiente:
      • Correo principal: la cuenta que se ha usado para extraer los datos.
      • Fuentes de exfiltración: detalles sobre la tabla de BigQuery de la que se han exfiltrado los datos.
      • Destinos de filtraciones externas: detalles sobre el destino en Google Drive.
    • Recurso afectado, incluido lo siguiente:
      • Nombre completo del recurso: el nombre del recurso de BigQuery cuyos datos se han filtrado.
      • Nombre completo del proyecto: el Google Cloud proyecto que contiene el conjunto de datos de BigQuery de origen.
    • Enlaces relacionados, como los siguientes:
      • URI de Cloud Logging: enlace a las entradas de registro.
      • Método MITRE ATT&CK: enlace a la documentación de MITRE ATT&CK.
      • Hallazgos relacionados: enlaces a los hallazgos relacionados.

  3. Para obtener más información, haga clic en la pestaña JSON.

  4. En el JSON, anota los siguientes campos.

    • sourceProperties:
      • evidence:
        • sourceLogId:
        • projectId: el proyecto Google Cloud que contiene el conjunto de datos de BigQuery de origen.
      • properties:
        • extractionAttempt:
        • jobLink: el enlace al trabajo de BigQuery que ha exfiltrado datos

Paso 2: Revisa los permisos y la configuración

  1. En la consola, ve a la página Gestión de identidades y accesos. Google Cloud

    Ir a IAM

  2. Si es necesario, seleccione el proyecto que aparece en el campo projectId del JSON del resultado (del paso 1).

  3. En la página que aparece, en el cuadro Filtrar, introduce la dirección de correo que se indica en access.principalEmail (en el paso 1) y comprueba qué permisos se han asignado a la cuenta.

Paso 3: Consulta los registros

  1. En la pestaña Resumen del panel de detalles de la detección, haga clic en el enlace URI de Cloud Logging para abrir Explorador de registros.
  2. Para encontrar registros de actividad de administrador relacionados con tareas de BigQuery, usa los siguientes filtros:
    • protoPayload.methodName="Jobservice.insert"
    • protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"

Paso 4: Investiga los métodos de ataque y respuesta

  1. Consulta la entrada del framework ATT&CK de MITRE para este tipo de alerta: Exfiltración a través de un servicio web: exfiltración a Cloud Storage.
  2. Para consultar los hallazgos relacionados, haga clic en el enlace de la sección Hallazgos relacionados de la fila Hallazgos relacionados de la pestaña Resumen de los detalles del hallazgo. Los resultados relacionados son del mismo tipo y se encuentran en la misma instancia y red.
  3. Para desarrollar un plan de respuesta, combina los resultados de tu investigación con la investigación de MITRE.

Paso 5: Implementa tu respuesta

El siguiente plan de respuesta puede ser adecuado para este resultado, pero también puede afectar a las operaciones. Evalúa detenidamente la información que recojas en tu investigación para determinar la mejor forma de resolver los resultados.

Siguientes pasos