Exfiltração: exfiltração de dados do BigQuery

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

As descobertas retornadas pelo Exfiltration: BigQuery Data Exfiltration contêm uma das duas sub-regras possíveis. Cada sub-regra tem uma gravidade diferente:

• Sub-regra exfil_to_external_table com gravidade = HIGH:
  • Um recurso foi salvo fora da sua organização ou projeto.
• Sub-regra vpc_perimeter_violation com gravidade = LOW:
  • O VPC Service Controls bloqueou uma operação de cópia ou uma tentativa de acessar os recursos do BigQuery.

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

1. Abra a descoberta Exfiltration: BigQuery Data Exfiltration, conforme instruído em Como verificar descobertas.

2. Na guia Resumo do painel de detalhes da descoberta, revise os valores listados nas seguintes seções:

   • O que foi detectado:
     • Gravidade: a gravidade é HIGH para a sub-regra exfil_to_external_table ou LOW para a vpc_perimeter_violation.
     • E-mail principal: a conta usada para exfiltrar os dados.
     • Origens de exfiltração: detalhes sobre as tabelas das quais os dados foram exfiltados.
     • Destinos de exfiltração: detalhes sobre as tabelas em que os dados de exfiltração foram armazenados.
   • Recurso afetado:
     • Nome completo do recurso: o nome completo do recurso do projeto, da pasta ou da organização da qual os dados foram exfiltados.
   • Links relacionados:
     • URI do Cloud Logging: link para as entradas do Logging.
     • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
     • Descobertas relacionadas: links para quaisquer descobertas relacionadas.

3. Clique na guia Propriedades de origem e revise os campos mostrados, especialmente:

   • detectionCategory:
     • subRuleName: exfil_to_external_table ou vpc_perimeter_violation.
   • evidence:
     • sourceLogId:
       • projectId: o projeto do Google Cloud que contém o conjunto de dados de origem do BigQuery.
   • properties
     • dataExfiltrationAttempt
       • jobLink: o link para o job do BigQuery que exfiltrou dados.
       • query: a consulta SQL executada no conjunto de dados do BigQuery.

4. Se quiser, clique na guia JSON para ver uma lista completa das propriedades JSON da descoberta.

Etapa 2: verificar as permissões e configurações

1. No console do Google Cloud , acesse a página IAM.

   Acessar IAM

2. Se necessário, selecione o projeto listado no campo projectId no JSON de descoberta.

3. Na página exibida, na caixa Filtro, insira o endereço de e-mail listado em E-mail principal e verifique as permissões atribuídas à conta.

Etapa 3: verificar os registros

1. Na guia "Resumo" do painel de detalhes da descoberta, clique no link URI do Cloud Logging para abrir o Explorador de registros.

2. Encontre registros de atividades do administrador relacionados a jobs do BigQuery usando estes filtros:

   • protoPayload.methodName="Jobservice.insert"
   • protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"

Etapa 4: pesquisar métodos de ataque e resposta

1. Verifique a entrada do framework do MITRE ATT&CK em busca deste tipo de descoberta: Exfiltração por serviço da Web: exfiltração para o Cloud Storage.
2. Verifique as descobertas relacionadas clicando no link em Descobertas relacionadas na linha Descobertas relacionadas na guia Resumo dos detalhes da descoberta. As descobertas relacionadas são o mesmo tipo de descoberta na mesma instância e rede.
3. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.

Etapa 5: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

• Entre em contato a pessoa a quem o projeto pertence com dados exfiltrado.
• Considere revogar as permissões de userEmail até que a investigação seja concluída.
• Para interromper a exfiltração, adicione políticas do IAM restritivas aos conjuntos de dados do BigQuery afetados (exfiltration.sources e exfiltration.targets).
• Para verificar se há conjuntos de dados de informações sensíveis, use a Proteção de dados confidenciais. Também é possível enviar dados sensíveis de proteção de dados para o Security Command Center. Dependendo da quantidade de informações, os custos da proteção de dados sensíveis podem ser significativos. Siga as práticas recomendadas para manter os custos de proteção de dados sensíveis sob controle.
• Para limitar o acesso à API BigQuery, use o VPC Service Controls.
• Para identificar e corrigir papéis excessivamente permissivos, use o Recomendador do IAM.

A seguir

• Saiba como trabalhar com descobertas de ameaças no Security Command Center.
• Consulte o índice de descobertas de ameaças.
• Saiba como analisar uma descoberta no console Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.