Filtración externa: filtración externa de datos de BigQuery

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

Los resultados que devuelve Exfiltration: BigQuery Data Exfiltration contienen una de las dos subreglas posibles. Cada subregla tiene una gravedad diferente:

• Subregla exfil_to_external_table con gravedad HIGH:
  • Un recurso se ha guardado fuera de tu organización o proyecto.
• Subregla vpc_perimeter_violation con gravedad LOW:
  • Controles de Servicio de VPC ha bloqueado una operación de copia o un intento de acceder a recursos de BigQuery.

Cómo responder

Para responder a esta observación, sigue estos pasos:

Paso 1: Revisa los detalles de la detección

1. Abre el Exfiltration: BigQuery Data Exfiltration tal como se indica en el artículo Revisar los resultados.

2. En la pestaña Resumen del panel de detalles de la detección, consulta los valores que se indican en las siguientes secciones:

   • Qué se detectó:
     • Gravedad: la gravedad es HIGH para la subregla exfil_to_external_table o LOW para la subregla vpc_perimeter_violation.
     • Correo principal: la cuenta que se ha usado para extraer los datos.
     • Fuentes de exfiltración: detalles sobre las tablas de las que se han exfiltrado datos.
     • Destinos de filtraciones externas: detalles sobre las tablas en las que se almacenaron los datos filtrados.
   • Recurso afectado:
     • Nombre completo del recurso: el nombre completo del recurso del proyecto, la carpeta o la organización de los que se han filtrado datos.
   • Enlaces relacionados:
     • URI de Cloud Logging: enlace a las entradas de registro.
     • Método MITRE ATT&CK: enlace a la documentación de MITRE ATT&CK.
     • Hallazgos relacionados: enlaces a los hallazgos relacionados.

3. Haga clic en la pestaña Propiedades de origen y revise los campos que se muestran, especialmente:

   • detectionCategory:
     • subRuleName: exfil_to_external_table o vpc_perimeter_violation.
   • evidence:
     • sourceLogId:
       • projectId: el proyecto Google Cloud que contiene el conjunto de datos de BigQuery de origen.
   • properties
     • dataExfiltrationAttempt
       • jobLink: el enlace al trabajo de BigQuery que ha exfiltrado los datos.
       • query: la consulta SQL ejecutada en el conjunto de datos de BigQuery.

4. También puede hacer clic en la pestaña JSON para ver la lista completa de las propiedades JSON de la detección.

Paso 2: Revisa los permisos y la configuración

1. En la consola, ve a la página Gestión de identidades y accesos. Google Cloud

   Ir a IAM

2. Si es necesario, seleccione el proyecto que aparece en el campo projectId del JSON del resultado.

3. En la página que aparece, en el cuadro Filtrar, introduce la dirección de correo que figura en Correo principal y comprueba qué permisos se han asignado a la cuenta.

Paso 3: Consulta los registros

1. En la pestaña Resumen del panel de detalles de la detección, haga clic en el enlace URI de Cloud Logging para abrir Explorador de registros.

2. Para encontrar registros de actividad de administrador relacionados con tareas de BigQuery, usa los siguientes filtros:

   • protoPayload.methodName="Jobservice.insert"
   • protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"

Paso 4: Investiga los métodos de ataque y respuesta

1. Consulta la entrada del framework ATT&CK de MITRE para este tipo de alerta: Exfiltración a través de un servicio web: exfiltración a Cloud Storage.
2. Para consultar los hallazgos relacionados, haga clic en el enlace de la sección Hallazgos relacionados de la fila Hallazgos relacionados de la pestaña Resumen de los detalles del hallazgo. Los resultados relacionados son del mismo tipo y se encuentran en la misma instancia y red.
3. Para desarrollar un plan de respuesta, combina los resultados de tu investigación con la investigación de MITRE.

Paso 5: Implementa tu respuesta

El siguiente plan de respuesta puede ser adecuado para este resultado, pero también puede afectar a las operaciones. Evalúa detenidamente la información que recojas en tu investigación para determinar la mejor forma de resolver los resultados.

• Ponte en contacto con el propietario del proyecto con datos filtrados.
• Considera la posibilidad de revocar los permisos de userEmail hasta que se complete la investigación.
• Para evitar que se produzcan más filtraciones, añade políticas de gestión de identidades y accesos restrictivas a los conjuntos de datos de BigQuery afectados (exfiltration.sources y exfiltration.targets).
• Para analizar los conjuntos de datos afectados en busca de información sensible, usa Protección de Datos Sensibles. También puede enviar datos de Protección de Datos Sensibles a Security Command Center. En función de la cantidad de información, los costes de Protección de Datos Sensibles pueden ser significativos. Sigue las prácticas recomendadas para controlar los costes de Protección de Datos Sensibles.
• Para limitar el acceso a la API de BigQuery, usa Controles de Servicio de VPC.
• Para identificar y corregir roles demasiado permisivos, usa Recomendador de IAM.

Siguientes pasos

• Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
• Consulta el índice de hallazgos de amenazas.
• Consulta cómo revisar un resultado a través de la consola Google Cloud .
• Consulta información sobre los servicios que generan detecciones de amenazas.