Halaman ini diterjemahkan oleh Cloud Translation API.

Mengaktifkan penemuan data sensitif

Dokumen ini menjelaskan fitur penemuan data sensitif dari Sensitive Data Protection, cara kerjanya di setiap tingkat layanan Security Command Center, dan cara mengaktifkannya.

Sebelum memulai

Untuk menggunakan penemuan data sensitif dengan Security Command Center, selesaikan tugas berikut.

Mengaktifkan Security Command Center

Aktifkan Security Command Center. Bergantung pada cara Anda mengaktifkan Security Command Center, Anda mungkin dikenai biaya tambahan untuk Perlindungan Data Sensitif. Untuk mengetahui detailnya, lihat Harga penemuan untuk pelanggan Security Command Center.

Pastikan Security Command Center dikonfigurasi untuk menerima temuan Sensitive Data Protection

Secara default, Security Command Center dikonfigurasi untuk menerima temuan dari Sensitive Data Protection. Jika organisasi Anda menonaktifkan Sensitive Data Protection sebagai layanan terintegrasi, Anda harus mengaktifkannya kembali untuk menerima temuan penemuan data sensitif. Untuk mengetahui informasi selengkapnya, lihat Menambahkan layanan terintegrasi Google Cloud .

Menyiapkan izin

Untuk mendapatkan izin yang Anda perlukan guna mengonfigurasi penemuan data sensitif, minta administrator Anda untuk memberi Anda peran IAM berikut pada organisasi:

Tujuan	Peran bawaan	Izin yang relevan
Membuat konfigurasi pemindaian penemuan dan melihat profil data	DLP Administrator (`roles/dlp.admin`)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Buat project yang akan digunakan sebagai container agen layanan¹	Project Creator (`roles/resourcemanager.projectCreator`)	resourcemanager.organizations.get resourcemanager.projects.create
Memberikan akses penemuan²	Salah satu dari berikut ini: Administrator Organisasi (`roles/resourcemanager.organizationAdmin`) (`roles/iam.securityAdmin`) Security Admin	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ Jika tidak memiliki peran Project Creator (roles/resourcemanager.projectCreator), Anda tetap dapat membuat konfigurasi pemindaian, tetapi penampung agen layanan yang Anda gunakan harus berupa project yang sudah ada.

² Jika Anda tidak memiliki peran Administrator Organisasi (roles/resourcemanager.organizationAdmin) atau Admin Keamanan (roles/iam.securityAdmin), Anda tetap dapat membuat konfigurasi pemindaian. Setelah Anda membuat konfigurasi pemindaian, seseorang di organisasi Anda yang memiliki salah satu peran ini harus memberikan akses penemuan ke agen layanan.

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Manfaat

Fitur ini menawarkan manfaat berikut:

Anda dapat menggunakan temuan Sensitive Data Protection untuk mengidentifikasi dan memperbaiki kerentanan dan kesalahan konfigurasi di resource Anda yang dapat mengekspos data sensitif kepada publik atau pihak tidak bertanggung jawab.
Anda dapat menggunakan temuan Sensitive Data Protection untuk menambahkan konteks ke proses triase dan memprioritaskan ancaman yang menargetkan resource yang berisi data sensitif.
Anda dapat mengonfigurasi fitur simulasi jalur serangan untuk memprioritaskan resource secara otomatis berdasarkan sensitivitas data yang ada di dalam resource tersebut. Untuk mengetahui informasi selengkapnya, lihat Menetapkan nilai prioritas resource secara otomatis menurut sensitivitas data.

Penemuan data sensitif di Security Command Center Enterprise

Security Command Center Enterprise mencakup langganan tingkat organisasi ke layanan penemuan Sensitive Data Protection. Dengan langganan ini, Anda tidak dikenai biaya Perlindungan Data Sensitif saat menjalankan penemuan data sensitif di tingkat organisasi atau folder. Untuk mengetahui informasi selengkapnya, lihat Kapasitas penemuan di Enterprise dan Premium dalam dokumen ini.

Saat Anda mengaktifkan paket Enterprise Security Command Center, penemuan data sensitif akan otomatis diaktifkan untuk semua jenis resource yang didukung di level organisasi. Proses pengaktifan otomatis ini adalah operasi satu kali yang hanya berlaku untuk jenis resource yang didukung pada saat pengaktifan tingkat Perusahaan. Jika Sensitive Data Protection menambahkan dukungan penemuan untuk jenis resource baru di kemudian hari, Anda harus mengaktifkan jenis penemuan tersebut secara manual. Untuk mengetahui petunjuknya, lihat Mengaktifkan penemuan dengan setelan default di organisasi dalam dokumen ini.

Penemuan data sensitif di Security Command Center Premium

Premium

Jika Anda memiliki aktivasi Security Command Center Premium di level organisasi, langganan Premium Anda mencakup langganan level organisasi untuk layanan penemuan Sensitive Data Protection. Dengan langganan ini, Anda tidak akan dikenai biaya Perlindungan Data Sensitif saat menjalankan penemuan data sensitif di tingkat organisasi atau folder. Untuk mengetahui informasi selengkapnya, lihat Kapasitas penemuan di Enterprise dan Premium dalam dokumen ini.

Penting: Saat mengonfigurasi penemuan data sensitif, pastikan cakupan konfigurasi Anda (juga dikenal sebagai parent) adalah organisasi Anda, bukan project. Langganan tingkat organisasi Anda hanya mencakup penemuan dalam cakupan organisasi. Jika Anda menggunakan cakupan tingkat project, Anda akan dikenai biaya penemuan terpisah.

Untuk menggunakan langganan tingkat organisasi guna menjalankan penemuan di satu project, lihat Membuat profil aset data atau project tertentu dalam organisasi atau folder di dokumentasi Perlindungan Data Sensitif.

Untuk melakukan penemuan data sensitif di tingkat organisasi, lihat Mengaktifkan penemuan dengan setelan default di organisasi dalam dokumen ini.
Jika memiliki aktivasi Security Command Center Premium di tingkat project, Anda dapat mengaktifkan penemuan data sensitif di tingkat project dan mendapatkan temuan di Security Command Center. Namun, fitur ini dikenai biaya terpisah. Untuk mengaktifkan penemuan di tingkat project, lihat Membuat konfigurasi pemindaian di dokumentasi Sensitive Data Protection.

Untuk menentukan jenis aktivasi instance Security Command Center Anda, lihat Melihat jenis aktivasi saat ini.

Penemuan data sensitif di Security Command Center Standard

Standar

Jika memiliki Security Command Center Standard, Anda dapat mengaktifkan penemuan data sensitif dan mendapatkan temuan di Security Command Center. Namun, fitur ini dikenai biaya terpisah.

Cara kerjanya

Layanan penemuan Sensitive Data Protection membantu Anda melindungi data di seluruh organisasi dengan mengidentifikasi lokasi data sensitif dan berisiko tinggi.

Di Sensitive Data Protection, layanan penemuan menghasilkan profil data, yang memberikan metrik dan insight tentang data Anda pada berbagai tingkat detail.
Di Security Command Center, layanan penemuan membuat temuan.

Temuan yang dihasilkan

Sensitive Data Protection menghasilkan temuan pengamatan di Security Command Center yang menunjukkan tingkat sensitivitas dan risiko data yang dihitung dari data Anda. Anda dapat menggunakan temuan ini untuk menginformasikan respons Anda saat Anda menghadapi ancaman dan kerentanan yang terkait dengan aset data Anda. Untuk mengetahui daftar jenis temuan yang dihasilkan, lihat Temuan pengamatan dari layanan penemuan.

Temuan ini dapat menginformasikan penetapan otomatis resource bernilai tinggi berdasarkan sensitivitas data. Untuk mengetahui informasi selengkapnya, lihat Menggunakan insight penemuan untuk mengidentifikasi resource bernilai tinggi dalam dokumen ini.
Sensitive Data Protection menghasilkan temuan kerentanan dan kesalahan konfigurasi di Security Command Center saat Sensitive Data Protection mendeteksi data sensitivitas tinggi atau sensitivitas sedang yang tidak dilindungi. Untuk mengetahui daftar jenis temuan yang dihasilkan, lihat bagian berikut:
- Temuan kerentanan dari layanan penemuan Sensitive Data Protection
- Temuan kesalahan konfigurasi dari layanan penemuan Sensitive Data Protection

Untuk mengetahui daftar lengkap temuan dari Sensitive Data Protection, lihat Sensitive Data Protection.

Menemukan latensi pembuatan

Bergantung pada ukuran organisasi Anda, temuan Sensitive Data Protection dapat mulai muncul di Security Command Center dalam beberapa menit setelah Anda mengaktifkan penemuan data sensitif. Untuk organisasi yang lebih besar atau organisasi dengan konfigurasi tertentu yang memengaruhi pembuatan temuan, mungkin diperlukan waktu hingga 12 jam sebelum temuan awal muncul di Security Command Center.

Selanjutnya, Sensitive Data Protection membuat temuan di Security Command Center dalam beberapa menit setelah layanan penemuan memindai resource Anda.

Mengaktifkan penemuan dengan setelan default di organisasi

Untuk mengaktifkan penemuan, Anda membuat konfigurasi penemuan untuk setiap sumber data yang ingin dipindai. Anda dapat mengedit konfigurasi setelah membuatnya. Untuk menyesuaikan setelan dalam proses pembuatan konfigurasi, lihat Membuat konfigurasi pemindaian.

Untuk mengaktifkan penemuan dengan setelan default di tingkat organisasi, ikuti langkah-langkah berikut:

Di konsol Google Cloud , buka halaman Sensitive Data Protection Enable discovery.

Buka Aktifkan penemuan
Pastikan Anda melihat organisasi tempat Anda mengaktifkan Security Command Center.
Di panel Enable discovery, di kolom Service agent container, tetapkan project yang akan digunakan sebagai service agent container. Dalam project ini, sistem akan membuat agen layanan dan otomatis memberikan peran penemuan yang diperlukan kepadanya.
- Untuk membuat project secara otomatis yang akan digunakan sebagai container agen layanan Anda, ikuti langkah-langkah berikut:
  1. Klik Buat.
  2. Tentukan nama, akun penagihan, dan organisasi induk project baru. Secara opsional, edit project ID.
  3. Klik Buat.
  Diperlukan waktu beberapa menit agar peran diberikan kepada agen layanan project baru.
- Untuk memilih project yang sebelumnya Anda gunakan untuk operasi penemuan, klik kolom Penampung agen layanan, lalu pilih project.
Untuk meninjau setelan default, klik ikon luaskan .
Di bagian Aktifkan penemuan, untuk setiap jenis penemuan yang ingin Anda aktifkan, klik Aktifkan. Mengaktifkan jenis penemuan akan melakukan hal berikut:
- BigQuery: Membuat konfigurasi penemuan untuk memprofilkan tabel BigQuery di seluruh organisasi. Sensitive Data Protection mulai membuat profil data BigQuery Anda dan mengirimkan profil tersebut ke Security Command Center.
- Cloud SQL: Membuat konfigurasi penemuan untuk membuat profil tabel Cloud SQL di seluruh organisasi. Sensitive Data Protection mulai membuat koneksi default untuk setiap instance Cloud SQL Anda. Proses ini dapat memerlukan waktu beberapa jam. Saat koneksi default sudah siap, Anda harus memberikan akses Sensitive Data Protection ke instance Cloud SQL dengan memperbarui setiap koneksi menggunakan kredensial pengguna database yang tepat.
- Kerentanan secret/kredensial: Membuat konfigurasi penemuan untuk mendeteksi dan melaporkan secret yang tidak dienkripsi dalam variabel lingkungan Cloud Run. Perlindungan Data Sensitif mulai memindai variabel lingkungan Anda.
- Cloud Storage: Membuat konfigurasi penemuan untuk membuat profil bucket Cloud Storage di seluruh organisasi. Sensitive Data Protection mulai membuat profil data Cloud Storage Anda dan mengirimkan profil tersebut ke Security Command Center.
- Set data Vertex AI: Membuat konfigurasi penemuan untuk memprofilkan set data Vertex AI di seluruh organisasi. Sensitive Data Protection mulai membuat profil set data Vertex AI Anda dan mengirimkan profil tersebut ke Security Command Center.
- Amazon S3: Membuat konfigurasi penemuan untuk memprofilkan semua data Amazon S3 yang dapat diakses oleh konektor AWS Anda.
  
  Catatan: Fitur ini memerlukan Security Command Center Enterprise. Anda harus membuat konektor AWS terlebih dahulu yang memiliki izin AWS yang diperlukan untuk penemuan Sensitive Data Protection.
- Azure Blob Storage: Membuat konfigurasi penemuan untuk memprofilkan semua data Azure Blob Storage yang dapat diakses oleh konektor Azure Anda.
  
  Catatan: Fitur ini memerlukan Security Command Center Enterprise. Anda harus membuat konektor Azure yang memiliki izin Azure yang diperlukan untuk penemuan Sensitive Data Protection terlebih dahulu.
Untuk melihat konfigurasi penemuan yang baru dibuat, klik Buka konfigurasi penemuan.

Jika Anda mengaktifkan penemuan Cloud SQL, konfigurasi penemuan akan dibuat dalam mode dijeda dengan error yang menunjukkan tidak adanya kredensial. Lihat Mengelola koneksi untuk digunakan dengan penemuan untuk memberikan peran IAM yang diperlukan kepada agen layanan Anda dan memberikan kredensial pengguna database untuk setiap instance Cloud SQL.
Tutup panel.

Untuk melihat temuan yang dihasilkan oleh Sensitive Data Protection, lihat Meninjau temuan Sensitive Data Protection di konsolGoogle Cloud .

Menyesuaikan konfigurasi pemindaian

Setiap jenis penemuan yang Anda aktifkan memiliki konfigurasi pemindaian penemuan yang dapat Anda sesuaikan. Misalnya, Anda dapat melakukan hal berikut:

Sesuaikan frekuensi pemindaian.
Tentukan filter untuk aset data yang tidak ingin Anda buat profil ulang.
Ubah template pemeriksaan, yang menentukan jenis informasi yang dipindai oleh Sensitive Data Protection.
Publikasikan profil data yang dihasilkan ke layanan Google Cloud lain.
Ubah container agen layanan.

Menggunakan insight penemuan untuk mengidentifikasi resource bernilai tinggi

Security Command Center dapat secara otomatis menetapkan resource yang berisi data dengan sensitivitas tinggi atau sedang sebagai resource bernilai tinggi. Untuk resource bernilai tinggi, Security Command Center memberikan skor eksposur serangan dan visualisasi jalur serangan, yang dapat Anda gunakan untuk memprioritaskan keamanan resource yang berisi data sensitif. Untuk mengetahui informasi selengkapnya, lihat Menetapkan nilai prioritas resource secara otomatis menurut sensitivitas data.

Kapasitas penemuan di Enterprise dan Premium

Jika kebutuhan penemuan data sensitif Anda melebihi kapasitas yang dialokasikan untuk pelanggan Security Command Center Enterprise atau Premium (level organisasi), maka Sensitive Data Protection dapat meningkatkan kapasitas Anda untuk sementara. Namun, peningkatan ini tidak dijamin dan bergantung pada ketersediaan resource komputasi. Jika Anda memerlukan kapasitas penemuan yang lebih besar, hubungi perwakilan akun Anda atau Google Cloud spesialis penjualan. Untuk mengetahui informasi selengkapnya, lihat bagian Memantau penggunaan dalam dokumentasi Perlindungan Data Sensitif.