Exfiltração: dados do BigQuery para o Google Drive

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

A exfiltração de dados do BigQuery é detectada examinando registros de auditoria para o seguinte cenário:

  • Um recurso é salvo em uma pasta do Google Drive.

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

  1. Abra uma descoberta Exfiltration: BigQuery Data to Google Drive, conforme direcionado em Como verificar descobertas.

  2. Na guia Resumo do painel de detalhes da descoberta, revise as informações nas seguintes seções:

    • O que foi detectado, incluindo:
      • E-mail principal: a conta usada para exfiltrar os dados.
      • Origens de exfiltração: detalhes sobre a tabela do BigQuery de que os dados foram exfiltados.
      • Metas de exfiltração: detalhes sobre o destino no Google Drive.
    • Recurso afetado, incluindo:
      • Nome completo do recurso: o nome do recurso do BigQuery com dados exfiltrados.
      • Nome completo do projeto: o projeto Google Cloud que contém o conjunto de dados do BigQuery de origem.
    • Links relacionados, incluindo:
      • URI do Cloud Logging: link para as entradas do Logging.
      • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
      • Descobertas relacionadas: links para quaisquer descobertas relacionadas.

  3. Para mais informações, clique na guia JSON.

  4. No JSON, observe os seguintes campos.

    • sourceProperties:
      • evidence:
        • sourceLogId:
        • projectId: o projeto do Google Cloud que contém o conjunto de dados de origem do BigQuery.
      • properties:
        • extractionAttempt:
        • jobLink: o link para o job do BigQuery que exfiltrou dados;

Etapa 2: verificar as permissões e configurações

  1. No console do Google Cloud , acesse a página IAM.

    Acessar IAM

  2. Se necessário, selecione o projeto listado no campo projectId no JSON de descoberta (da Etapa 1).

  3. Na página exibida, na caixa Filtro, digite o endereço de e-mail listado em access.principalEmail (da Etapa 1) e verifique as permissões que estão atribuídas à conta.

Etapa 3: verificar os registros

  1. Na guia "Resumo" do painel de detalhes da descoberta, clique no link URI do Cloud Logging para abrir o Explorador de registros.
  2. Encontre registros de atividades do administrador relacionados a jobs do BigQuery usando estes filtros:
    • protoPayload.methodName="Jobservice.insert"
    • protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"

Etapa 4: pesquisar métodos de ataque e resposta

  1. Verifique a entrada do framework do MITRE ATT&CK em busca deste tipo de descoberta: Exfiltração por serviço da Web: exfiltração para o Cloud Storage.
  2. Verifique as descobertas relacionadas clicando no link em Descobertas relacionadas na linha Descobertas relacionadas na guia Resumo dos detalhes da descoberta. As descobertas relacionadas são o mesmo tipo de descoberta na mesma instância e rede.
  3. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.

Etapa 5: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

A seguir