Cloud Data Loss Prevention (Cloud DLP) is now a part of Sensitive Data Protection. The API name remains the same: Cloud Data Loss Prevention API (DLP API). For information about the services that make up Sensitive Data Protection, see Sensitive Data Protection overview.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הפעלת פעולות גילוי

בקטע הזה מוסבר איך מציינים פעולות שרוצים ש-Sensitive Data Protection יבצע אחרי יצירת פרופיל של משאב. הפעולות האלה שימושיות אם רוצים לשלוח תובנות שנאספו מפרופילי נתונים לשירותים אחרים שלGoogle Cloud .

כדי להפעיל פעולות Discovery, יוצרים או עורכים הגדרת סריקת Discovery. בקטעים הבאים מפורטות הפעולות השונות שאפשר להפעיל בקטע הוספת פעולות בהגדרת הסריקה.

לא כל הפעולות בדף הזה זמינות לכל סוג של קמפיין לגילוי אפליקציות. לדוגמה, אי אפשר לצרף תגים למשאבים אם מגדירים גילוי של משאבים מספק שירותי ענן אחר. מידע נוסף זמין בקטע פעולות נתמכות שבדף הזה.

מידע נוסף על מיון מידע אישי רגיש זמין במאמר פרופילים של נתונים.

לפעולות של בדיקה וניתוח סיכונים יש קבוצה שונה של פעולות. מידע נוסף מופיע במאמר הפעלת פעולות של בדיקה או ניתוח סיכונים.

פרסום ב-Google Security Operations

מדדים שנאספים מפרופילי נתונים יכולים להוסיף הקשר לממצאים של Google Security Operations. ההקשר הנוסף יכול לעזור לכם לקבוע אילו בעיות אבטחה הכי חשוב לפתור.

לדוגמה, אם אתם בודקים סוכן שירות מסוים, Google Security Operations יכול לקבוע לאילו משאבים סוכן השירות ניגש, ואם יש במשאבים האלה נתונים רגישים.

כדי לשלוח את פרופילי הנתונים למופע של Google Security Operations, מפעילים את האפשרות פרסום ב-Google Security Operations.

אם לא הפעלתם מופע של Google Security Operations בארגון שלכם – באמצעות מוצר עצמאי או באמצעות Security Command Center Enterprise – הפעלת האפשרות הזו לא תשפיע על כלום.

פרסום ב-Security Command Center

הממצאים מפרופילי הנתונים מספקים הקשר כשממיינים ומפתחים תוכניות תגובה לממצאי נקודות החולשה והאיומים ב-Security Command Center.

כדי להשתמש בפעולה הזו, צריך להפעיל את Security Command Center ברמת הארגון. הפעלת Security Command Center ברמת הארגון מאפשרת את זרימת הממצאים משירותים משולבים כמו Sensitive Data Protection. השירות Sensitive Data Protection פועל עם Security Command Center בכל רמות השירות.

אם Security Command Center לא מופעל ברמת הארגון, הממצאים של Sensitive Data Protection לא יופיעו ב-Security Command Center. מידע נוסף זמין במאמר בנושא בדיקת רמת ההפעלה של Security Command Center.

כדי לשלוח את התוצאות של פרופילי הנתונים אל Security Command Center, מוודאים שהאפשרות פרסום ב-Security Command Center מופעלת.

מידע נוסף זמין במאמר בנושא פרסום פרופילי נתונים ב-Security Command Center.

שמירת עותקים של פרופיל הנתונים ב-BigQuery

‫Sensitive Data Protection שומר עותק של כל פרופיל נתונים שנוצר בטבלה ב-BigQuery. אם לא תספקו את הפרטים של הטבלה המועדפת, שירות Sensitive Data Protection ייצור מערך נתונים וטבלה במאגר של סוכן השירות. כברירת מחדל, קבוצת הנתונים נקראת sensitive_data_protection_discovery והטבלה נקראת discovery_profiles.

הפעולה הזו מאפשרת לכם לשמור היסטוריה של כל הפרופילים שנוצרו. היסטוריה כזו יכולה להיות שימושית ליצירת דוחות ביקורת ולהצגת פרופילים של נתונים. אפשר גם לטעון את המידע הזה למערכות אחרות.

בנוסף, האפשרות הזו מאפשרת לכם לראות את כל פרופילי הנתונים בתצוגה אחת, בלי קשר לאזור שבו הנתונים נמצאים. אפשר גם לראות את פרופילי הנתונים דרך מסוףGoogle Cloud , אבל במסוף מוצגים הפרופילים רק מאזור אחד בכל פעם.

כאשר Sensitive Data Protection לא מצליחה ליצור פרופיל של משאב, היא מנסה שוב באופן תקופתי. כדי למזער רעשים בנתונים המיוצאים, Sensitive Data Protection מייצא ל-BigQuery רק את הפרופילים שנוצרו בהצלחה.

הייצוא של פרופילים באמצעות Sensitive Data Protection מתחיל מרגע שמפעילים את האפשרות הזו. פרופילים שנוצרו לפני שהפעלתם את הייצוא לא נשמרים ב-BigQuery.

לדוגמה, שאילתות שאפשר להשתמש בהן כשמנתחים פרופילי נתונים מופיעות במאמר ניתוח פרופילי נתונים.

שמירת ממצאים לדוגמה של גילוי ב-BigQuery

בעזרת Sensitive Data Protection אפשר להוסיף ממצאים לדוגמה לטבלה ב-BigQuery שתבחרו. ממצאי הדוגמה מייצגים קבוצת משנה של כל הממצאים, ויכול להיות שהם לא מייצגים את כל סוגי המידע שהמערכת גילתה. בדרך כלל, המערכת יוצרת כ-10 ממצאים לדוגמה לכל משאב, אבל המספר הזה יכול להשתנות בכל הרצה של גילוי.

כל ממצא כולל את המחרוזת בפועל (שנקראת גם ציטוט) שזוהתה ואת המיקום המדויק שלה.

הפעולה הזו שימושית אם רוצים לבדוק אם הגדרת הבדיקה מתאימה לסוג המידע שרוצים לסמן כרגיש. באמצעות פרופילי הנתונים המיוצאים וממצאי הדגימה המיוצאים, אפשר להריץ שאילתות כדי לקבל מידע נוסף על הפריטים הספציפיים שסומנו, על סוגי המידע שהם תואמים להם, על המיקומים המדויקים שלהם, על רמות הרגישות המחושבות שלהם ועל פרטים נוספים.

כדי להשתמש בדוגמה הזו, צריך להפעיל את האפשרויות שמירת עותקים של פרופיל הנתונים ב-BigQuery ושמירת ממצאי גילוי לדוגמה ב-BigQuery.

השאילתה הבאה משתמשת בפעולה INNER JOIN גם בטבלה של פרופילי הנתונים המיוצאים וגם בטבלה של ממצאי הדוגמה המיוצאים. בטבלה שמתקבלת, כל רשומה מציגה את הציטוט של הממצא, את סוג המידע שתאם לו, את המשאב שמכיל את הממצא ואת רמת הרגישות המחושבת של המשאב.

SELECT
 findings_table.quote,
 findings_table.infotype.name,
 findings_table.location.container_name,
 profiles_table.file_store_profile.file_store_path as bucket_name,
 profiles_table.file_store_profile.sensitivity_score as bucket_sensitivity_score
FROM
 `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table
INNER JOIN
 `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table
ON
 findings_table.data_profile_resource_name=profiles_table.file_store_profile.name

SELECT
 findings_table.quote,
 findings_table.infotype.name,
 findings_table.location.container_name,
 findings_table.location.data_profile_finding_record_location.field.name AS field_name,
 profiles_table.table_profile.dataset_project_id AS project_id,
 profiles_table.table_profile.dataset_id AS dataset_id,
 profiles_table.table_profile.table_id AS table_id,
 profiles_table.table_profile.sensitivity_score AS table_sensitivity_score
 FROM
 `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table
INNER JOIN
 `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table
ON
 findings_table.data_profile_resource_name=profiles_table.table_profile.name

כדי לשמור ממצאים לדוגמה בטבלה ב-BigQuery, פועלים לפי השלבים הבאים:

מפעילים את האפשרות שמירת ממצאי גילוי לדוגמה ב-BigQuery.
מזינים את הפרטים של הטבלה ב-BigQuery שבה רוצים לשמור את הממצאים לדוגמה.

הטבלה שמציינים לפעולה הזו צריכה להיות שונה מהטבלה שמשמשת לפעולה שמירת עותקים של פרופיל הנתונים ב-BigQuery.
- בקטע מזהה פרויקט, מזינים את המזהה של פרויקט קיים שאליו רוצים לייצא את הממצאים.
- בשדה Dataset ID מזינים את השם של מערך נתונים קיים בפרויקט.
- בשדה מזהה הטבלה, מזינים את השם של הטבלה ב-BigQuery שבה רוצים לשמור את הממצאים. אם הטבלה הזו לא קיימת, Sensitive Data Protection יוצר אותה באופן אוטומטי בשם שאתם מספקים.

למידע על התוכן של כל ממצא שנשמר בטבלה ב-BigQuery, אפשר לעיין במאמר DataProfileFinding.

צירוף תגים למשאבים

הפעלת האפשרות צירוף תגים למשאבים מורה לשירות Sensitive Data Protection לתייג אוטומטית את הנתונים בהתאם לרמת הרגישות המחושבת שלהם. כדי להשלים את השלב הזה, צריך קודם לבצע את המשימות שבקטע שליטה בגישת IAM למשאבים על סמך רגישות הנתונים.

כדי לתייג באופן אוטומטי משאב לפי רמת הרגישות המחושבת שלו: פועלים לפי השלבים הבאים:

מפעילים את האפשרות תיוג משאבים.
לכל רמת רגישות (גבוהה, בינונית, נמוכה ולא ידועה), מזינים את הנתיב של ערך התג שיצרתם לרמת הרגישות הנתונה.

אם מדלגים על רמת רגישות, לא מצורף תג לרמה הזו.
כדי להנמיך אוטומטית את רמת הסיכון של נתונים במשאב מסוים כשתג רמת הרגישות קיים, בוחרים באפשרות כשתג מוחל על משאב, רמת הסיכון של הנתונים בפרופיל שלו תוגדר כנמוכה. האפשרות הזו עוזרת לכם למדוד את השיפור ברמת אבטחת המידע והפרטיות שלכם.

חשוב: האפשרות הזו מבטלת את רמת הסיכון המחושבת של הנתונים של המשאב שנוצר לו פרופיל.
בוחרים אחת מהאפשרויות הבאות או את שתיהן:
- תיוג משאב כשיוצרים לו פרופיל בפעם הראשונה
- תיוג משאב כשמעדכנים את הפרופיל שלו בוחרים באפשרות הזו אם רוצים ש-Sensitive Data Protection יחליף את הערך של תג רמת הרגישות בהפעלות הבאות של הגילוי. כתוצאה מכך, הגישה של גורם מרכזי למשאב משתנה אוטומטית ככל שרמת הרגישות של הנתונים המחושבת עבור המשאב הזה עולה או יורדת.
  
  לא בוחרים באפשרות הזו אם מתכננים לעדכן באופן ידני את ערכי התוויות של רמת הרגישות ששירות הגילוי צירף למשאבים. אם בוחרים באפשרות הזו, Sensitive Data Protection יכול לדרוס את העדכונים הידניים שלכם.

פרסום ב-Pub/Sub

הפעלת האפשרות פרסום ב-Pub/Sub מאפשרת לכם לבצע פעולות פרוגרמטיות על סמך תוצאות הפרופילים. אתם יכולים להשתמש בהתראות של Pub/Sub כדי לפתח תהליך עבודה לזיהוי ולתיקון של ממצאים עם סיכון משמעותי לנתונים או רגישות משמעותית של נתונים.

כדי לשלוח התראות לנושא Pub/Sub, פועלים לפי השלבים הבאים:

מפעילים את האפשרות פרסום ב-Pub/Sub.

מופיעה רשימת אפשרויות. כל אפשרות מתארת אירוע שגורם ל-Sensitive Data Protection לשלוח התראה ל-Pub/Sub.
בוחרים את האירועים שיפעילו התראת Pub/Sub.

אם בוחרים באפשרות שליחת התראה ב-Pub/Sub בכל פעם שמתעדכן פרופיל, המערכת של Sensitive Data Protection שולחת התראה כשמתבצע שינוי במדדים חשובים בפרופיל, כמו רמת הרגישות, רמת הסיכון של הנתונים, סוגי המידע שזוהו, הגישה הציבורית ועוד.
לכל אירוע שבוחרים, פועלים לפי השלבים הבאים:
1. מזינים את שם הנושא. השם צריך להיות בפורמט הבא:
```
projects/PROJECT_ID/topics/TOPIC_ID
```
  מחליפים את מה שכתוב בשדות הבאים:
  - ‫PROJECT_ID: מזהה הפרויקט שמשויך לנושא ב-Pub/Sub.
  - ‫TOPIC_ID: המזהה של נושא ה-Pub/Sub.
2. מציינים אם לכלול בהתראה את פרופיל המשאב המלא או רק את שם המשאב המלא של המשאב שנוצר לו פרופיל.
3. מגדירים את רמות הסיכון והרגישות המינימליות של הנתונים שצריך לעמוד בהן כדי ש-Sensitive Data Protection תשלח התראה.
4. מציינים אם צריך לעמוד רק באחד מהתנאים של רמת הסיכון והרגישות של הנתונים, או בשניהם. לדוגמה, אם בוחרים באפשרות AND, התראת Sensitive Data Protection תישלח רק אם יתקיימו גם התנאים של סיכון הנתונים וגם התנאים של הרגישות.

הערה: לסוכן השירות צריכה להיות גישת פרסום בנושא Pub/Sub. דוגמה לתפקיד עם גישת פרסום היא התפקיד 'פרסום הודעות ב-Pub/Sub'‏ (roles/pubsub.publisher). אם עדיין אין לכם סוכן שירות, תוכלו ליצור אותו בהמשך בדף יצירת הגדרות סריקה ב-Sensitive Data Protection. אם יש בעיות בהגדרות או בהרשאות של נושא Pub/Sub, Sensitive Data Protection מנסה לשלוח את ההתראה ל-Pub/Sub במשך שבועיים. אחרי שבועיים, ההתראה נמחקת.

שליחה ל-Data Catalog כתגים

התכונה הזו יצאה משימוש.

הפעולה הזו מאפשרת ליצור תגים של Data Catalog ב-Knowledge Catalog על סמך תובנות מפרופילי נתונים. הפעולה הזו חלה רק על פרופילים חדשים ומעודכנים. פרופילים קיימים שלא עודכנו לא נשלחים אל Knowledge Catalog.

‫Data Catalog הוא שירות מנוהל וניתן להתאמה לעומס לניהול מטא-נתונים. כשמפעילים את הפעולה הזו, טבלאות שיוצרים להן פרופיל מתויגות באופן אוטומטי ב-Data Catalog בהתאם לתובנות שנאספו מפרופילי הנתונים. אחר כך תוכלו להשתמש ב-Knowledge Catalog כדי לחפש בארגון ובפרויקטים שלכם טבלאות עם ערכי תגים ספציפיים.

כדי לשלוח את פרופילי הנתונים אל Knowledge Catalog בתור תגים של Data Catalog, מוודאים שהאפשרות שליחה אל Dataplex בתור תגים מופעלת.

מידע נוסף זמין במאמר תיוג טבלאות ב-Data Catalog על סמך תובנות מפרופילי נתונים.

שליחה אל Knowledge Catalog כהיבטים

הפעולה הזו מאפשרת להוסיף היבטים של Knowledge Catalog למשאבים עם פרופיל על סמך תובנות מפרופילי נתונים. הפעולה הזו חלה רק על פרופילים חדשים ומעודכנים. פרופילים קיימים שלא עודכנו לא נשלחים אל Knowledge Catalog.

כשמפעילים את הפעולה הזו, Sensitive Data Protection מצרף את ההיבט Sensitive Data Protection profile לרשומה Knowledge Catalog של כל משאב חדש או מעודכן שיוצרים לו פרופיל. ההיבטים שנוצרו מכילים תובנות שנאספו מפרופילי הנתונים. אחר כך תוכלו לחפש בארגון ובפרויקטים רשומות עם ערכים ספציפיים של Sensitive Data Protection profileמאפיינים.

כדי לשלוח את פרופילי הנתונים אל Knowledge Catalog, מוודאים שהאפשרות Send to Dataplex Catalog as aspects (שליחה אל Dataplex Catalog כהיבטים) מופעלת.

מידע נוסף זמין במאמר הוספת היבטים ל-Knowledge Catalog על סמך תובנות מפרופילי נתונים.

פעולות נתמכות

בטבלה הבאה מוצגות הפעולות הנתמכות לכל סוג של גילוי.

	פרסום ב-Google Security Operations	פרסום ב-Security Command Center	שמירת עותקים של פרופיל הנתונים ב-BigQuery	שמירת ממצאים לדוגמה של גילוי ב-BigQuery	צירוף תגים למשאבים	פרסום ב-Pub/Sub	שליחה אל Knowledge Catalog כתגים של Data Catalog (הוצא משימוש)	שליחה אל Knowledge Catalog כהיבטים
Amazon S3	✓	✓	✓	✓		✓
Azure Blob Storage	✓	✓	✓	✓		✓
BigQuery	✓	✓	✓	✓	✓	✓	✓	✓
Cloud SQL	✓	✓	✓	✓	✓	✓		✓
Cloud Storage	✓	✓	✓	✓	✓	✓
Vertex AI	✓	✓	✓	✓		✓		✓