データ漏洩: BigQuery データの漏洩

このドキュメントでは、Security Command Center の脅威の検出結果のタイプについて説明します。脅威の検出結果は、クラウド リソースで潜在的な脅威が検出されたときに、脅威検出機能によって生成されます。使用可能な脅威の検出結果の一覧については、脅威の検出結果のインデックスをご覧ください。

概要

Exfiltration: BigQuery Data Exfiltration によって返される検出結果には、可能性のある 2 つのサブルールのいずれかが含まれます。サブルールごとに重大度は異なります。

• 重大度 = HIGH のサブルール exfil_to_external_table:
  • リソースが組織またはプロジェクト外に保存された。
• 重大度 = LOW のサブルール vpc_perimeter_violation:
  • VPC Service Controls が、BigQuery リソースへのコピー オペレーションまたは試行をブロックした。

対処方法

この検出結果に対応する手順は次のとおりです。

ステップ 1: 検出結果の詳細を確認する

1. 検出結果の確認の説明に従って、Exfiltration: BigQuery Data Exfiltration の検出結果を開きます。

2. 検出結果の詳細パネルの [概要] タブで、次のセクションに表示されている値を確認します。

   • 検出された内容:
     • 重要度: 重大度は、HIGH（サブルール exfil_to_external_table の場合）または LOW（サブルール vpc_perimeter_violation の場合）です。
     • プリンシパルのメール: データの漏洩に使用されたアカウント。
     • データの引き出しのソース: データが漏洩したテーブルの詳細。
     • データの引き出しのターゲット: 漏洩したデータが格納されていたテーブルの詳細。
   • 影響を受けているリソース:
     • リソースの完全な名前: データが漏洩したプロジェクト、フォルダ、または組織の完全なリソース名。
   • 関連リンク:
     • Cloud Logging URI: Logging エントリへのリンク。
     • MITRE ATT&CK 方式: MITRE ATT&CK ドキュメントへのリンク。
     • 関連する検出結果: 関連する検出結果へのリンク。

3. [ソース プロパティ] タブをクリックし、表示されたフィールドについて、特に次の点を確認します。

   • detectionCategory:
     • subRuleName: exfil_to_external_table または vpc_perimeter_violation。
   • evidence:
     • sourceLogId:
       • projectId: ソースの BigQuery データセットを含む Google Cloud プロジェクト。
   • properties
     • dataExfiltrationAttempt
       • jobLink: データが漏洩した BigQuery ジョブへのリンク。
       • query: BigQuery データセットで実行された SQL クエリ。

4. 必要に応じて、[JSON] タブをクリックして、検出結果の JSON プロパティを一覧表示します。

ステップ 2: 権限と設定を確認する

1. Google Cloud コンソールで、[IAM] ページに移動します。

   [IAM] に移動

2. 必要に応じて、検出結果の JSON の projectId フィールドに表示されているプロジェクトを選択します。

3. 表示されたページの [フィルタ] ボックスに、[プリンシパルのメール] にあるメールアドレスを入力し、アカウントに割り当てられている権限を確認します。

ステップ 3: ログを確認する

1. 検出結果の詳細パネルの [概要] タブで、[Cloud Logging URI] リンクをクリックして [ログ エクスプローラ] を開きます。

2. 次のフィルタを使用して、BigQuery ジョブに関連する管理アクティビティ ログを検索します。

   • protoPayload.methodName="Jobservice.insert"
   • protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"

ステップ 4: 攻撃とレスポンスの手法を調査する

1. この検出結果タイプに対応する MITRE ATT&CK フレームワークのエントリ（Exfiltration Over Web Service: Exfiltration to Cloud Storage）を確認します。
2. 検出結果の詳細の [概要] タブで、[関連する検出結果] 行の [関連する検出結果] リンクをクリックして、関連する検出結果を確認します。関連する検出結果とは、同じインスタンスとネットワークで検出された同じタイプの検出結果のことです。
3. 対応計画を策定するには、独自の調査結果と MITRE の調査を組み合わせる必要があります。

ステップ 5: レスポンスを実装する

次の対応計画は、この検出結果に適切な場合もありますが、運用に影響する可能性もあります。調査で収集した情報を慎重に評価して、検出結果を解決する最適な方法を判断してください。

• データが漏洩したプロジェクトのオーナーに連絡します。
• 調査が完了するまで、userEmail の権限を取り消すことを検討します。
• これ以上の漏洩を止めるには、影響を受けた BigQuery データセット（exfiltration.sources と exfiltration.targets）に制限付きの IAM ポリシーを追加します。
• 影響を受けるデータセットに含まれる機密情報をスキャンするには、Sensitive Data Protection を使用します。Security Command Center に Sensitive Data Protection のデータを送信することもできます。情報の量によっては、Sensitive Data Protection のコストが高額になる場合があります。Sensitive Data Protection のコストを抑えるためのベスト プラクティスに従ってください。
• BigQuery API へのアクセスを制限するには、VPC Service Controls を使用します。
• 過度に制限の緩いロールを特定して修正するには、IAM Recommender を使用します。

次のステップ

• Security Command Center で脅威の検出結果を操作する方法を学習する。
• 脅威の検出結果のインデックスを参照する。
• Google Cloud コンソールで検出結果を確認する方法を学習する。
• 脅威の検出結果を生成するサービスについて学習する。