Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Mengaktifkan penemuan data sensitif

Dokumen ini menjelaskan fitur penemuan data sensitif dari Sensitive Data Protection, cara kerjanya di setiap paket layanan Security Command Center, dan cara mengaktifkannya.

Sebelum memulai

Untuk menggunakan penemuan data sensitif dengan Security Command Center, selesaikan tugas berikut.

Mengaktifkan Security Command Center

Aktifkan Security Command Center. Bergantung pada cara Anda mengaktifkan Security Command Center, Anda mungkin dikenai biaya tambahan untuk Sensitive Data Protection. Untuk mengetahui detailnya, lihat Harga penemuan untuk pelanggan Security Command Center.

Pastikan Security Command Center dikonfigurasi untuk menerima temuan Sensitive Data Protection

Secara default, Security Command Center dikonfigurasi untuk menerima temuan dari Sensitive Data Protection. Jika organisasi Anda menonaktifkan Sensitive Data Protection sebagai layanan terintegrasi, Anda harus mengaktifkannya kembali untuk menerima temuan penemuan data sensitif. Untuk mengetahui informasi selengkapnya, lihat Menambahkan layanan Google Cloud terintegrasi.

Menyiapkan izin

Untuk mendapatkan izin yang Anda perlukan untuk mengonfigurasi penemuan data sensitif, minta administrator Anda untuk memberi Anda peran IAM berikut di organisasi:

Tujuan	Peran bawaan	Izin yang relevan
Membuat konfigurasi pemindaian penemuan dan melihat profil data	DLP Administrator (`roles/dlp.admin`)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Membuat project untuk digunakan sebagai penampung agen layanan¹	Project Creator (`roles/resourcemanager.projectCreator`)	resourcemanager.organizations.get resourcemanager.projects.create
Memberikan akses penemuan²	Salah satu hal berikut: Organization Administrator (`roles/resourcemanager.organizationAdmin`) Security Admin (`roles/iam.securityAdmin`)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ Jika Anda tidak memiliki peran Project Creator (roles/resourcemanager.projectCreator), Anda tetap dapat membuat konfigurasi pemindaian, tetapi penampung agen layanan yang Anda gunakan harus berupa project yang ada.

² Jika Anda tidak memiliki peran Organization Administrator (roles/resourcemanager.organizationAdmin) atau Security Admin (roles/iam.securityAdmin), Anda tetap dapat membuat konfigurasi pemindaian. Setelah Anda membuat konfigurasi pemindaian, seseorang di organisasi Anda yang memiliki salah satu peran ini harus memberikan akses penemuan ke agen layanan.

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Manfaat

Fitur ini menawarkan manfaat berikut:

Anda dapat menggunakan temuan Sensitive Data Protection untuk mengidentifikasi dan memperbaiki kerentanan dan kesalahan konfigurasi di resource Anda yang dapat mengekspos data sensitif ke publik atau ke pelaku kejahatan.
Anda dapat menggunakan temuan Sensitive Data Protection untuk menambahkan konteks ke proses triase dan memprioritaskan ancaman yang menargetkan resource yang berisi data sensitif.
Anda dapat mengonfigurasi fitur simulasi jalur serangan untuk otomatis memprioritaskan resource sesuai dengan sensitivitas data yang berisi resource tersebut. Untuk mengetahui informasi selengkapnya, lihat Menetapkan nilai prioritas resource secara otomatis berdasarkan sensitivitas data.

Penemuan data sensitif di Security Command Center Enterprise

Security Command Center Enterprise mencakup langganan tingkat organisasi ke layanan penemuan Sensitive Data Protection. Dengan langganan ini, Anda tidak dikenai biaya Sensitive Data Protection saat menjalankan penemuan data sensitif di tingkat organisasi atau folder. Untuk mengetahui informasi selengkapnya, lihat Kapasitas penemuan di Enterprise dan Premium dalam dokumen ini.

Saat Anda mengaktifkan paket Security Command Center Enterprise, hal berikut akan terjadi:

Cloud Data Loss Prevention API akan otomatis diaktifkan di project pengelolaan yang digunakan untuk mengaktifkan Security Command Center Enterprise. Project pengelolaan ini berfungsi sebagai penampung agen layanan untuk penemuan data sensitif.

Catatan: Dalam log audit, aktor untuk tindakan ini adalah principal di organisasi Anda yang mengaktifkan Security Command Center Enterprise.
Penemuan data sensitif akan otomatis diaktifkan untuk semua jenis resource yang didukung di tingkat organisasi. Sensitive Data Protection menjalankan pemindaian penemuan di semua project dalam organisasi, kecuali jika Anda mengubah konfigurasi pemindaian penemuan untuk mengecualikan project tertentu.

Proses pengaktifan otomatis ini adalah operasi satu kali yang hanya berlaku untuk jenis resource yang didukung pada saat aktivasi paket Enterprise. Jika Sensitive Data Protection menambahkan dukungan penemuan untuk jenis resource baru nanti, Anda harus mengaktifkan jenis penemuan tersebut secara manual. Untuk mengetahui petunjuknya, lihat Mengaktifkan penemuan dengan setelan default di organisasi dalam dokumen ini.

Penemuan data sensitif di Security Command Center Premium

Jika Anda memiliki aktivasi Security Command Center Premium tingkat organisasi, langganan Premium Anda akan mencakup langganan tingkat organisasi ke layanan penemuan Sensitive Data Protection. Dengan langganan ini, Anda tidak dikenai biaya Sensitive Data Protection saat menjalankan penemuan data sensitif di tingkat organisasi atau folder. Untuk mengetahui informasi selengkapnya, lihat Kapasitas penemuan di Enterprise dan Premium dalam dokumen ini.

Penting: Saat mengonfigurasi penemuan data sensitif, pastikan cakupan konfigurasi Anda (juga dikenal sebagai parent) adalah organisasi Anda, bukan project. Langganan tingkat organisasi Anda hanya mencakup penemuan di cakupan organisasi. Jika Anda menggunakan cakupan tingkat project, Anda akan dikenai biaya penemuan terpisah.

Untuk menggunakan langganan tingkat organisasi Anda untuk menjalankan penemuan di satu project, lihat Membuat profil project atau aset data yang dipilih di organisasi atau folder dalam dokumentasi Sensitive Data Protection.

Untuk menjalankan penemuan data sensitif di tingkat organisasi, lihat Mengaktifkan penemuan dengan setelan default di organisasi dalam dokumen ini.
Jika Anda memiliki aktivasi Security Command Center Premium tingkat project, Anda dapat mengaktifkan penemuan data sensitif di tingkat project dan mendapatkan temuan di Security Command Center. Namun, fitur ini dikenai harga terpisah. Untuk mengaktifkan penemuan di tingkat project, lihat Membuat konfigurasi pemindaian dalam dokumentasi Sensitive Data Protection.

Untuk menentukan jenis aktivasi instance Security Command Center Anda, lihat Melihat jenis aktivasi saat ini.

Penemuan data sensitif di Security Command Center Standard

Jika memiliki Security Command Center Standard, Anda dapat mengaktifkan penemuan data sensitif dan mendapatkan temuan di Security Command Center. Namun, fitur ini dikenai harga terpisah.

Cara kerjanya

Layanan penemuan Sensitive Data Protection membantu Anda melindungi data di seluruh organisasi dengan mengidentifikasi lokasi data sensitif dan berisiko tinggi.

Di Sensitive Data Protection, layanan penemuan menghasilkan profil data, yang memberikan metrik dan insight tentang data Anda pada berbagai tingkat detail.
Di Security Command Center, layanan penemuan menghasilkan temuan.

Temuan yang dihasilkan

Sensitive Data Protection menghasilkan temuan observasi di Security Command Center yang menunjukkan tingkat sensitivitas dan risiko data yang dihitung dari data Anda. Anda dapat menggunakan temuan ini untuk menginformasikan respons Anda saat menemukan ancaman dan kerentanan terkait aset data Anda. Untuk mengetahui daftar jenis temuan yang dihasilkan, lihat Temuan observasi dari layanan penemuan.

Temuan ini dapat menginformasikan penetapan otomatis resource bernilai tinggi berdasarkan sensitivitas data. Untuk mengetahui informasi selengkapnya, lihat Menggunakan insight penemuan untuk mengidentifikasi resource bernilai tinggi dalam dokumen ini.
Sensitive Data Protection menghasilkan temuan kerentanan dan kesalahan konfigurasi di Security Command Center saat Sensitive Data Protection mendeteksi data sensitivitas tinggi atau sensitivitas sedang yang tidak terlindungi. Untuk mengetahui daftar jenis temuan yang dihasilkan, lihat hal berikut:
- Temuan kerentanan dari layanan penemuan Sensitive Data Protection
- Temuan kesalahan konfigurasi dari layanan penemuan Sensitive Data Protection

Untuk mengetahui daftar lengkap temuan dari Sensitive Data Protection, lihat Sensitive Data Protection.

Latensi pembuatan temuan

Bergantung pada ukuran organisasi Anda, temuan Sensitive Data Protection dapat mulai muncul di Security Command Center dalam beberapa menit setelah Anda mengaktifkan penemuan data sensitif. Untuk organisasi yang lebih besar atau organisasi dengan konfigurasi tertentu yang memengaruhi pembuatan temuan, mungkin perlu waktu hingga 12 jam sebelum temuan awal muncul di Security Command Center.

Selanjutnya, Sensitive Data Protection akan menghasilkan temuan di Security Command Center dalam beberapa menit setelah layanan penemuan memindai resource Anda.

Mengaktifkan penemuan dengan setelan default di organisasi

Untuk mengaktifkan penemuan, Anda membuat konfigurasi penemuan untuk setiap data sumber yang ingin dipindai. Anda dapat mengedit konfigurasi setelah membuatnya. Untuk menyesuaikan setelan dalam proses pembuatan konfigurasi, lihat Membuat konfigurasi pemindaian sebagai gantinya.

Untuk mengaktifkan penemuan dengan setelan default di tingkat organisasi, ikuti langkah-langkah berikut:

Di Google Cloud konsol, buka halaman Sensitive Data Protection Enable discovery.

Buka Enable discovery
Pastikan Anda melihat organisasi tempat Anda mengaktifkan Security Command Center.
Di panel Enable discovery, di kolom Service agent container , tetapkan project yang akan digunakan sebagai penampung agen layanan. Dalam project ini, sistem akan membuat agen layanan dan otomatis memberikan peran penemuan yang diperlukan.
- Untuk membuat project secara otomatis untuk digunakan sebagai penampung agen layanan, ikuti langkah-langkah berikut:
  1. Klik Create.
  2. Tentukan nama, akun penagihan, dan organisasi induk project baru. Opsional, edit project ID.
  3. Klik Create.
  Mungkin perlu waktu beberapa menit agar peran diberikan kepada agen layanan project baru.
- Untuk memilih project yang sebelumnya Anda gunakan untuk operasi penemuan, klik kolom Service agent container , lalu pilih project.
Untuk meninjau setelan default, klik ikon luaskan.
Di bagian Enable discovery, untuk setiap jenis penemuan yang ingin Anda aktifkan, klik Enable. Mengaktifkan jenis penemuan akan melakukan hal berikut:
- BigQuery: Membuat konfigurasi penemuan untuk membuat profil tabel BigQuery di seluruh organisasi. Sensitive Data Protection mulai membuat profil data BigQuery Anda dan mengirimkan profil ke Security Command Center.
- Cloud SQL: Membuat konfigurasi penemuan untuk membuat profil tabel Cloud SQL di seluruh organisasi. Sensitive Data Protection mulai membuat koneksi default untuk setiap instance Cloud SQL Anda. Proses ini dapat memerlukan waktu beberapa jam. Saat koneksi default siap, Anda harus memberikan akses Sensitive Data Protection ke instance Cloud SQL Anda dengan memperbarui setiap koneksi dengan kredensial pengguna database yang tepat.
- Secrets/credentials vulnerabilities: Membuat konfigurasi penemuan untuk mendeteksi dan melaporkan secret yang tidak dienkripsi dalam variabel lingkungan Cloud Run Sensitive Data Protection mulai memindai variabel lingkungan Anda.
- Cloud Storage: Membuat konfigurasi penemuan untuk membuat profil bucket Cloud Storage di seluruh organisasi. Sensitive Data Protection mulai membuat profil data Cloud Storage Anda dan mengirimkan profil ke Security Command Center.
- Set data Vertex AI: Membuat konfigurasi penemuan untuk membuat profil set data Gemini Enterprise Agent Platform di seluruh organisasi. Sensitive Data Protection mulai membuat profil set data Agent Platform Anda dan mengirimkan profil ke Security Command Center.
- Amazon S3: Membuat konfigurasi penemuan untuk membuat profil semua data Amazon S3 yang dapat diakses oleh konektor AWS Anda.
  
  Catatan: Fitur ini memerlukan Security Command Center Enterprise. Anda harus terlebih dahulu membuat konektor AWS yang memiliki izin AWS yang diperlukan untuk penemuan Sensitive Data Protection.
- Azure Blob Storage: Membuat konfigurasi penemuan untuk membuat profil semua data Azure Blob Storage yang dapat diakses oleh konektor Azure Anda.
  
  Catatan: Fitur ini memerlukan Security Command Center Enterprise. Anda harus terlebih dahulu membuat konektor Azure yang memiliki izin Azure yang diperlukan untuk Sensitive Data Protection penemuan.
Untuk melihat konfigurasi penemuan yang baru dibuat, klik Go to discovery configuration.

Jika Anda mengaktifkan penemuan Cloud SQL, konfigurasi penemuan akan dibuat dalam mode dijeda dengan error yang menunjukkan tidak adanya kredensial. Lihat Mengelola koneksi untuk digunakan dengan penemuan untuk memberikan peran IAM yang diperlukan kepada agen layanan Anda dan memberikan kredensial pengguna database untuk setiap instance Cloud SQL.
Tutup panel.

Untuk melihat temuan yang dihasilkan oleh Sensitive Data Protection, lihat Meninjau temuan Sensitive Data Protection di Google Cloud konsol.

Menyesuaikan konfigurasi pemindaian

Setiap jenis penemuan yang Anda aktifkan memiliki konfigurasi pemindaian penemuan yang Anda dapat sesuaikan. Misalnya, Anda dapat melakukan hal berikut:

Menyesuaikan frekuensi pemindaian.
Menentukan filter untuk aset data yang tidak ingin Anda buat profilnya kembali.
Mengubah template pemeriksaan, yang menentukan jenis informasi yang dipindai oleh Sensitive Data Protection.
Memublikasikan profil data yang dihasilkan ke layanan lain Google Cloud .
Mengubah penampung agen layanan.

Menggunakan insight penemuan untuk mengidentifikasi resource bernilai tinggi

Security Command Center dapat otomatis menetapkan resource yang berisi data sensitivitas tinggi atau sensitivitas sedang sebagai resource bernilai tinggi. Untuk resource bernilai tinggi, Security Command Center menyediakan skor eksposur serangan dan visualisasi jalur serangan, yang dapat Anda gunakan untuk memprioritaskan keamanan resource yang berisi data sensitif. Untuk mengetahui informasi selengkapnya, lihat Menetapkan nilai prioritas resource secara otomatis berdasarkan sensitivitas data.

Kapasitas penemuan di Enterprise dan Premium

Jika kebutuhan penemuan data sensitif Anda melebihi kapasitas yang dialokasikan untuk pelanggan Security Command Center Enterprise atau Premium (tingkat organisasi), Sensitive Data Protection mungkin akan meningkatkan kapasitas Anda untuk sementara. Namun, peningkatan ini tidak dijamin dan bergantung pada ketersediaan resource komputasi. Jika Anda memerlukan lebih banyak kapasitas penemuan, hubungi perwakilan akun Anda atau Google Cloud spesialis penjualan. Untuk mengetahui informasi selengkapnya, lihat Memantau penggunaan dalam dokumentasi Sensitive Data Protection.

Penemuan data sensitif dalam perimeter layanan

Jika Anda menggunakan perimeter layanan Kontrol Layanan VPC dan ingin menemukan data sensitif dalam perimeter tersebut, lihat Mengizinkan penemuan data sensitif dalam perimeter layanan. Jika Anda tidak melakukan tugas ini, Anda mungkin akan menerima peringatan.