Esfiltrazione: dati BigQuery su Google Drive

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.

Panoramica

L'esfiltrazione dei dati da BigQuery viene rilevata esaminando gli audit log per lo scenario seguente:

  • Una risorsa viene salvata in una cartella di Google Drive.

Come rispondere

Per rispondere a questo risultato:

Passaggio 1: esamina i dettagli del risultato

  1. Apri un risultato Exfiltration: BigQuery Data to Google Drive, come indicato in Revisione dei risultati.

  2. Nella scheda Riepilogo del riquadro dei dettagli del risultato, esamina le informazioni nelle seguenti sezioni:

    • Che cosa è stato rilevato, tra cui:
      • Email principale: l'account utilizzato per estrarre i dati.
      • Origini dell'esfiltrazione: dettagli sulla tabella BigQuery da cui sono stati esfiltrati i dati.
      • Target di esfiltrazione: dettagli sulla destinazione in Google Drive.
    • Risorsa interessata, tra cui:
      • Nome completo della risorsa: il nome della risorsa BigQuery i cui dati sono stati esfiltrati.
      • Nome completo del progetto: il progetto Google Cloud che contiene il set di dati BigQuery di origine.
    • Link correlati, tra cui:
      • URI Cloud Logging: link alle voci di log.
      • Metodo MITRE ATT&CK: link alla documentazione MITRE ATT&CK.
      • Risultati correlati: link a eventuali risultati correlati.

  3. Per ulteriori informazioni, fai clic sulla scheda JSON.

  4. Nel JSON, prendi nota dei seguenti campi.

    • sourceProperties:
      • evidence:
        • sourceLogId:
        • projectId: il progetto Google Cloud che contiene il set di dati BigQuery di origine.
      • properties:
        • extractionAttempt:
        • jobLink: il link al job BigQuery che ha esfiltrato i dati

Passaggio 2: rivedi le autorizzazioni e le impostazioni

  1. Nella console Google Cloud , vai alla pagina IAM.

    Vai a IAM

  2. Se necessario, seleziona il progetto elencato nel campo projectId nel JSON del risultato (dal passaggio 1).

  3. Nella pagina visualizzata, inserisci l'indirizzo email elencato in access.principalEmail (dal passaggio 1) nella casella Filtro e controlla quali autorizzazioni sono assegnate all'account.

Passaggio 3: controlla i log

  1. Nella scheda Riepilogo del riquadro dei dettagli del problema, fai clic sul link URI Cloud Logging per aprire Esplora log.
  2. Trova i log delle attività amministrative relativi ai job BigQuery utilizzando i seguenti filtri:
    • protoPayload.methodName="Jobservice.insert"
    • protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"

Passaggio 4: ricerca di metodi di attacco e risposta

  1. Esamina la voce del framework MITRE ATT&CK per questo tipo di risultato: Exfiltration Over Web Service: Exfiltration to Cloud Storage.
  2. Esamina i risultati correlati facendo clic sul link nella sezione Risultati correlati nella riga Risultati correlati della scheda Riepilogo dei dettagli del risultato. I risultati correlati sono lo stesso tipo di risultato sulla stessa istanza e rete.
  3. Per sviluppare un piano di risposta, combina i risultati dell'indagine con la ricerca MITRE.

Passaggio 5: implementa la risposta

Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.

Passaggi successivi