Exfiltration: KI-Agent initiiert BigQuery-Daten-Exfiltration in externe Tabelle

In diesem Dokument wird ein bestimmter Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Eine Ressource wurde außerhalb Ihrer Organisation oder Ihres Projekts gespeichert, das von einem KI-Agenten initiiert wurde.

Die Quelle von diesem Ergebnis ist Event Threat Detection.

Maßnahmen

So reagieren Sie auf dieses Ergebnis:

Schritt 1: Ergebnisdetails prüfen

1. Öffnen Sie das Ergebnis Exfiltration: AI Agent Initiated BigQuery Data Exfiltration to External Table wie unter Ergebnisse prüfen beschrieben.

2. Sehen Sie sich auf dem Tab Zusammenfassung des Bereichs mit den Ergebnisdetails die aufgeführten Werte in den folgenden Abschnitten an:

   • Erkannte Ereignisse:
     • E-Mail-Adresse des Prinzipals: das Konto, das zur Exfiltration der Daten verwendet wird.
     • Exfiltrationsquellen: Details zu den Tabellen, aus denen Daten exfiltriert wurden.
     • Exfiltrationsziele: Details zu den Tabellen, in denen exfiltrierte Daten gespeichert wurden.
   • Betroffene Ressource:
     • Vollständiger Name der Ressource: der vollständige Ressourcenname des Projekts, Ordners oder der Organisation, aus dem bzw. der Daten exfiltriert wurden.
   • Weitere Informationen:
     • Cloud Logging-URI: Link zu Logging-Einträgen.
     • MITRE ATT&CK-Methode: Link zur MITRE ATT&CK-Dokumentation.
     • Ähnliche Ergebnisse: Links zu ähnlichen Ergebnissen.

3. Klicken Sie auf den Tab Quellattribute und prüfen Sie die angezeigten Felder, insbesondere:

   • evidence:
     • sourceLogId:
       • projectId: das Google Cloud Projekt, das das BigQuery-Quelldataset enthält.
   • properties
     • dataExfiltrationAttempt
       • jobLink: der Link zum BigQuery-Job, der Daten exfiltriert hat.
       • query: die SQL-Abfrage, die für das BigQuery-Dataset ausgeführt wird.

4. Optional: Klicken Sie auf den Tab JSON, um die vollständige Liste der JSON-Attribute des Ergebnisses aufzurufen.

Schritt 2: Berechtigungen und Einstellungen prüfen

1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

   IAM aufrufen

2. Wählen Sie bei Bedarf das Projekt aus, das im projectId Feld im Ergebnis-JSON aufgeführt ist.

3. Geben Sie auf der angezeigten Seite im Feld Filter die E-Mail-Adresse ein, die unter E-Mail-Adresse des Prinzipals aufgeführt ist, und prüfen Sie, welche Berechtigungen dem Konto zugewiesen sind.

Schritt 3: Protokolle prüfen

1. Klicken Sie auf dem Tab Zusammenfassung des Bereichs mit den Ergebnisdetails auf den Link Cloud Logging-URI, um den Log-Explorer zu öffnen.

2. Suchen Sie mit den folgenden Filtern nach Administratoraktivitätslogs, die sich auf BigQuery-Jobs beziehen:

   • protoPayload.methodName="Jobservice.insert"
   • protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"

Schritt 4: Angriffs- und Reaktionsmethoden untersuchen

1. Prüfen Sie den MITRE-ATT&CK-Framework-Eintrag für diesen Ergebnistyp: Exfiltration to Cloud Storage.
2. Klicken Sie auf dem Tab Zusammenfassung der Ergebnisdetails in der Zeile Ähnliche Ergebnisse auf den Link unter Ähnliche Ergebnisse , um ähnliche Ergebnisse abzurufen. Ähnliche Ergebnisse sind für dieselbe Instanz und dasselbe Netzwerk identisch.
3. Um einen Antwortplan zu entwickeln, kombinieren Sie Ihre Prüfungsergebnisse mit der MITRE-Studie.

Schritt 5: Antwort implementieren

Der folgende Reaktionplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Abläufe auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Behebung der Ergebnisse zu finden.

• Den Inhaber des Projekts mit exfiltrierten Daten kontaktieren
• Ziehen Sie in Betracht, Berechtigungen für userEmail zu widerrufen, bis die Untersuchung abgeschlossen ist.
• Wenn Sie die weitere Exfiltration verhindern möchten, fügen Sie restriktive IAM-Richtlinien zu den betroffenen BigQuery-Datasets (exfiltration.sources und exfiltration.targets) hinzu.
• Verwenden Sie Sensitive Data Protection, um betroffene Datasets auf vertrauliche Informationen zu scannen. Sie können auch Sensitive Data Protection-Daten an Security Command Center senden. Abhängig von der Menge der Informationen können die Sensitive Data Protection-Kosten erheblich sein. Halten Sie sich an Best Practices, um die Sensitive Data Protection-Kosten zu kontrollieren.
• Zugriff auf die BigQuery API beschränken, verwenden Sie VPC Service Controls.
• Um IAM-Rollen mit zu vielen Berechtigungen zu identifizieren und zu beheben, verwenden Sie IAM Recommender.

Nächste Schritte

• Informationen zum Arbeiten mit Bedrohungsergebnissen in Security Command Center
• Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
• Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
• Dienste, die Bedrohungsergebnisse generieren