Questa sezione descrive come specificare le azioni che vuoi che Sensitive Data Protection intraprenda dopo la profilazione di una risorsa. Queste azioni sono utili se vuoi inviare ad altri Google Cloud servizi gli insight raccolti dai profili di dati.
Per abilitare le azioni di rilevamento, crea o modifica una configurazione di scansione del rilevamento. Le seguenti sezioni descrivono le diverse azioni che puoi abilitare nella sezione Aggiungi azioni della configurazione della scansione.Non tutte le azioni in questa pagina sono disponibili per ogni tipo di rilevamento. Ad esempio, non puoi allegare tag alle risorse se stai configurando il rilevamento per le risorse di un altro cloud provider. Per ulteriori informazioni, consulta Azioni supportate in questa pagina.
Per ulteriori informazioni sul rilevamento dei dati sensibili, consulta Profili di dati.
Le operazioni di ispezione e analisi del rischio hanno un insieme di azioni diverso. Per ulteriori informazioni, consulta Abilitare le azioni di ispezione o analisi del rischio azioni.
Pubblica in Google Security Operations
Le metriche raccolte dai profili di dati possono aggiungere contesto ai risultati di Google Security Operations. Il contesto aggiunto può aiutarti a determinare i problemi di sicurezza più importanti da risolvere.
Ad esempio, se stai esaminando un agente di servizio specifico, Google Security Operations può determinare a quali risorse ha avuto accesso l'agente di servizio e se una di queste risorse contiene dati ad alta sensibilità.
Per inviare i profili di dati alla tua istanza Google Security Operations, attiva Pubblica in Google Security Operations.
Se non hai un'istanza Google Security Operations abilitata per la tua organizzazione, tramite il prodotto autonomo o tramite Security Command Center Enterprise, l'attivazione di questa opzione non ha alcun effetto.
Pubblica su Security Command Center
I risultati dei profili di dati forniscono contesto quando esegui il triage e sviluppi piani di risposta per i risultati di vulnerabilità e minacce in Security Command Center.
Prima di poter utilizzare questa azione, Security Command Center deve essere attivato a livello di organizzazione. L'attivazione di Security Command Center a livello di organizzazione consente il flusso di risultati da servizi integrati come Sensitive Data Protection. Sensitive Data Protection funziona con Security Command Center in tutti i livelli di servizio.Se Security Command Center non è attivato a livello di organizzazione, i risultati di Sensitive Data Protection non verranno visualizzati in Security Command Center. Per ulteriori informazioni, consulta Controllare il livello di attivazione di Security Command Center.
Per inviare i risultati dei profili di dati a Security Command Center, assicurati che l'opzione Pubblica su Security Command Center sia attiva.
Per ulteriori informazioni, consulta Pubblicare i profili di dati in Security Command Center.
Salva le copie dei profili di dati su BigQuery
Sensitive Data Protection salva una copia di ogni profilo di dati generato in una tabella BigQuery. Se non fornisci i dettagli della tabella che preferisci, Sensitive Data Protection crea un set di dati e una tabella nel container dell'agente di servizio.
Per impostazione predefinita, il set di dati si chiama sensitive_data_protection_discovery e la tabella si chiama discovery_profiles.
Questa azione ti consente di conservare una cronologia di tutti i profili generati. Questa cronologia può essere utile per creare report di audit e visualizzare i profili di dati . Puoi anche caricare queste informazioni in altri sistemi.
Inoltre, questa opzione ti consente di visualizzare tutti i profili di dati in un'unica visualizzazione, indipendentemente dalla regione in cui risiedono i dati. Sebbene tu possa anche visualizzare i profili di dati tramite la Google Cloud console, la console mostra i profili in una sola regione alla volta.
Quando Sensitive Data Protection non riesce a profilare una risorsa, riprova periodicamente. Per ridurre al minimo il rumore nei dati esportati, Sensitive Data Protection esporta in BigQuery solo i profili generati correttamente.
Sensitive Data Protection inizia a esportare i profili dal momento in cui attivi questa opzione. I profili generati prima dell'attivazione dell'esportazione non vengono salvati in BigQuery.
Per esempi di query che puoi utilizzare durante l'analisi dei profili di dati, consulta Analizzare i profili di dati.
Salva i risultati del rilevamento di esempio in BigQuery
Sensitive Data Protection può aggiungere risultati di esempio a una tabella BigQuery di tua scelta. I risultati di esempio rappresentano un sottoinsieme di tutti i risultati e potrebbero non rappresentare tutti gli infoType rilevati. In genere, il sistema genera circa 10 risultati di esempio per risorsa, ma questo numero può variare per ogni esecuzione del rilevamento.
Ogni risultato include la stringa effettiva (chiamata anche citazione) rilevata e la sua posizione esatta.
Questa azione è utile se vuoi valutare se la configurazione dell'ispezione corrisponde correttamente al tipo di informazioni che vuoi contrassegnare come sensibili. Utilizzando i profili di dati esportati e i risultati di esempio esportati, puoi eseguire query per ottenere ulteriori informazioni sugli elementi specifici contrassegnati, sugli infoType corrispondenti, sulle loro posizioni esatte, sui livelli di sensibilità calcolati e su altri dettagli.
Query di esempio: mostra i risultati di esempio relativi ai profili di dati dell'archivio file
Questo esempio richiede l'attivazione di Salva le copie dei profili di dati su BigQuery e Salva i risultati del rilevamento di esempio in BigQuery.
La seguente query utilizza un'operazione INNER JOIN sia sulla tabella dei profili di dati esportati sia sulla tabella dei risultati di esempio esportati. Nella tabella risultante, ogni record mostra la citazione del risultato, l'infoType corrispondente, la risorsa che contiene il risultato e il livello di sensibilità calcolato della risorsa.
SELECT findings_table.quote, findings_table.infotype.name, findings_table.location.container_name, profiles_table.file_store_profile.file_store_path as bucket_name, profiles_table.file_store_profile.sensitivity_score as bucket_sensitivity_score FROM `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table INNER JOIN `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table ON findings_table.data_profile_resource_name=profiles_table.file_store_profile.name
Query di esempio: mostra i risultati di esempio relativi ai profili di dati della tabella
Questo esempio richiede l'attivazione di Salva le copie dei profili di dati su BigQuery e Salva i risultati del rilevamento di esempio in BigQuery.
La seguente query utilizza un'operazione INNER JOIN sia sulla tabella dei profili di dati esportati sia sulla tabella dei risultati di esempio esportati. Nella tabella risultante, ogni record mostra la citazione del risultato, l'infoType corrispondente, la risorsa che contiene il risultato e il livello di sensibilità calcolato della risorsa.
SELECT findings_table.quote, findings_table.infotype.name, findings_table.location.container_name, findings_table.location.data_profile_finding_record_location.field.name AS field_name, profiles_table.table_profile.dataset_project_id AS project_id, profiles_table.table_profile.dataset_id AS dataset_id, profiles_table.table_profile.table_id AS table_id, profiles_table.table_profile.sensitivity_score AS table_sensitivity_score FROM `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table INNER JOIN `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table ON findings_table.data_profile_resource_name=profiles_table.table_profile.name
Per salvare i risultati di esempio in una tabella BigQuery:
Attiva Salva i risultati del rilevamento di esempio in BigQuery.
Inserisci i dettagli della tabella BigQuery in cui vuoi salvare i risultati di esempio.
La tabella specificata per questa azione deve essere diversa dalla tabella utilizzata per l'azione Salva le copie dei profili di dati su BigQuery.
In ID progetto, inserisci l'ID di un progetto esistente in cui vuoi esportare i risultati.
In ID set di dati, inserisci il nome di un set di dati esistente nel progetto.
In ID tabella, inserisci il nome della tabella BigQuery in cui vuoi salvare i risultati. Se questa tabella non esiste, Sensitive Data Protection la crea automaticamente utilizzando il nome che fornisci.
Per informazioni sui contenuti di ogni risultato salvato nella
tabella BigQuery, consulta
DataProfileFinding.
Allega tag alle risorse
Se attivi l'opzione Allega tag alle risorse , Sensitive Data Protection contrassegna automaticamente i dati in base al livello di sensibilità calcolato. Per questa sezione, devi prima completare le attività descritte in Controllare l'accesso IAM alle risorse in base alla sensibilità dei dati.
Per contrassegnare automaticamente una risorsa in base al livello di sensibilità calcolato:
- Attiva l'opzione Tagga risorse.
Per ogni livello di sensibilità (alto, moderato, basso e sconosciuto), inserisci il percorso del valore del tag creato per il livello di sensibilità specificato.
Se salti un livello di sensibilità, non viene allegato alcun tag.
Per ridurre automaticamente il livello di rischio dei dati di una risorsa quando è presente il tag del livello di sensibilità, seleziona Quando un tag viene applicato a una risorsa, riduci il rischio dei dati del profilo impostandolo su BASSO. Questa opzione ti aiuta a misurare il miglioramento della postura di sicurezza e privacy dei dati.
Seleziona una o entrambe le seguenti opzioni:
- Tagga una risorsa quando viene profilata per la prima volta.
Tagga una risorsa quando il suo profilo viene aggiornato. Seleziona questa opzione se vuoi che Sensitive Data Protection sovrascriva il valore del tag del livello di sensibilità nelle esecuzioni di rilevamento successive. Di conseguenza, l'accesso di un'entità a una risorsa cambia automaticamente man mano che il livello di sensibilità dei dati calcolato per quella risorsa aumenta o diminuisce.
Non selezionare questa opzione se prevedi di aggiornare manualmente i valori dei tag del livello di sensibilità che il servizio di rilevamento ha allegato alle tue risorse. Se selezioni questa opzione, Sensitive Data Protection può sovrascrivere gli aggiornamenti manuali.
Pubblica in Pub/Sub
Se attivi l'opzione Pubblica in Pub/Sub , puoi intraprendere azioni programmatiche in base ai risultati della profilazione. Puoi utilizzare le notifiche Pub/Sub per sviluppare un flusso di lavoro per rilevare e correggere i risultati con un rischio o una sensibilità dei dati significativi.
Per inviare notifiche a un argomento Pub/Sub:
Attiva Pubblica in Pub/Sub.
Viene visualizzato un elenco di opzioni. Ogni opzione descrive un evento che fa sì che Sensitive Data Protection invii una notifica a Pub/Sub.
Seleziona gli eventi che devono attivare una notifica Pub/Sub.
Se selezioni Invia una notifica Pub/Sub ogni volta che un profilo viene aggiornato, Sensitive Data Protection invia una notifica quando si verifica una modifica del livello di sensibilità, del livello di rischio dei dati, degli infoType rilevati, dell'accesso pubblico e di altre metriche importanti nel profilo.
Per ogni evento selezionato:
Inserisci il nome dell'argomento. Il nome deve essere nel seguente formato:
projects/PROJECT_ID/topics/TOPIC_IDSostituisci quanto segue:
- PROJECT_ID: l'ID del progetto associato all' argomento Pub/Sub.
- TOPIC_ID: l'ID dell'argomento Pub/Sub.
Specifica se includere il profilo completo della risorsa nella notifica o solo il nome completo della risorsa profilata.
Imposta i livelli minimi di rischio e sensibilità dei dati che devono essere soddisfatti affinché Sensitive Data Protection invii una notifica.
Specifica se deve essere soddisfatta solo una o entrambe le condizioni di rischio e sensibilità dei dati. Ad esempio, se scegli
AND, devono essere soddisfatte sia le condizioni di rischio dei dati sia quelle di sensibilità prima che Sensitive Data Protection invii una notifica.
Invia a Data Catalog come tag
Questa funzionalità è deprecata.
Questa azione ti consente di creare tag Data Catalog in Knowledge Catalog in base agli insight dei profili di dati. Questa azione viene applicata solo ai profili nuovi e aggiornati. I profili esistenti non aggiornati non vengono inviati a Knowledge Catalog.
Data Catalog è un servizio di gestione dei metadati completamente gestito e scalabile. Quando abiliti questa azione, le tabelle che profili vengono automaticamente contrassegnate in Data Catalog in base agli insight raccolti dai profili di dati. Puoi quindi utilizzare Knowledge Catalog per cercare tabelle con valori di tag specifici nella tua organizzazione e nei tuoi progetti.
Per inviare i profili di dati a Knowledge Catalog come tag Data Catalog, assicurati che l'opzione Invia a Dataplex come tag sia attiva.
Per ulteriori informazioni, consulta Contrassegnare le tabelle in Data Catalog in base agli insight dei profili di dati.
Invia a Knowledge Catalog come aspetti
Questa azione ti consente di aggiungere aspetti di Knowledge Catalog alle risorse profilate in base agli insight dei profili di dati. Questa azione viene applicata solo ai profili nuovi e aggiornati. I profili esistenti non aggiornati non vengono inviati a Knowledge Catalog.
Quando abiliti questa azione, Sensitive Data Protection allega l'aspetto
Sensitive Data Protection profile alla voce Knowledge Catalog
per ogni risorsa nuova o aggiornata
che profili. Gli aspetti generati contengono insight raccolti dai profili di dati. Puoi quindi cercare voci con valori specifici dell'aspetto Sensitive Data Protection profile nella tua organizzazione e nei tuoi progetti.
Per inviare i profili di dati a Knowledge Catalog, assicurati che l'opzione Invia a Dataplex Catalog come aspetti sia attiva.
Per ulteriori informazioni, consulta Aggiungere aspetti di Knowledge Catalog in base agli insight dei profili di dati.
Azioni supportate
La tabella seguente mostra le azioni supportate per ogni tipo di rilevamento.
| Pubblica in Google Security Operations | Pubblica su Security Command Center | Salva le copie dei profili di dati su BigQuery | Salva i risultati del rilevamento di esempio in BigQuery | Allega tag alle risorse | Pubblica in Pub/Sub | Invia a Knowledge Catalog come tag Data Catalog (deprecato) | Invia a Knowledge Catalog come aspetti | |
|---|---|---|---|---|---|---|---|---|
| Amazon S3 | ✓ | ✓ | ✓ | ✓ | ✓ | |||
| Azure Blob Storage | ✓ | ✓ | ✓ | ✓ | ✓ | |||
| BigQuery | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Cloud SQL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Cloud Storage | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| Vertex AI | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
Passaggi successivi
- Scopri come utilizzare i dati di contesto dei profili di dati in Google Security Operations.
- Scopri i risultati che Sensitive Data Protection può generare in Security Command Center.
- Scopri come analizzare i profili di dati in BigQuery e Looker Studio.
- Scopri come controllare l'accesso IAM alle risorse in base alla sensibilità dei dati.
- Scopri come ricevere ed eseguire il parsing dei messaggi Pub/Sub relativi ai profili di dati.
- Scopri come aggiungere aspetti di Knowledge Catalog in base agli insight dei profili di dati.