启用发现操作

本部分介绍如何在 Sensitive Data Protection 分析资源后指定要执行的操作。如果您想将从数据分析中收集的分析洞见发送给其他 Google Cloud 服务，这些操作 会很有用。

并非此页面上的所有操作都适用于每种 发现 类型。例如，如果您要为来自其他云提供商的 资源配置发现服务，则无法将标记关联到 资源。如需了解详情，请参阅本页面上的支持 的操作。

如需详细了解敏感数据发现，请参阅数据 分析。

检查和风险分析操作具有不同的操作集。如需了解详情，请参阅启用检查或风险分析 操作。

发布到 Google Security Operations

从数据 分析中收集的指标可以为 Google Security Operations 发现结果添加背景信息。添加的背景信息可以帮助您确定要解决的最重要的安全问题。

例如，如果您正在调查某个特定服务代理，Google Security Operations 可以确定该服务代理访问了哪些资源，以及这些资源中是否有任何资源包含高敏感度数据。

如需将数据分析发送到 Google Security Operations 实例，请开启发布到 Google Security Operations 。

如果您没有为组织启用 Google Security Operations 实例（通过独立产品或通过 Security Command Center 企业方案），则开启此选项没有任何效果。

发布到 Security Command Center

在 Security Command Center 中对漏洞和威胁发现结果进行分类并制定应对 方案时，数据分析中的发现结果会提供背景信息。

如果未在组织级层激活 Security Command Center，Sensitive Data Protection 发现结果将不会显示在 Security Command Center 中。如需了解详情，请参阅 检查 Security Command Center 的激活级别。

如需将数据分析的结果发送到 Security Command Center，请确保发布到 Security Command Center 选项已开启。

如需了解详情，请参阅将数据分析发布到 Security Command Center。

将数据分析副本保存到 BigQuery

Sensitive Data Protection 会将每个生成的数据分析的副本保存在 BigQuery 表中。如果您未提供首选表的详细信息，Sensitive Data Protection 会在服务代理容器中创建数据集和表。 默认情况下，数据集名为 sensitive_data_protection_discovery，表名为 discovery_profiles。

借助此操作，您可以保留所有生成的数据分析的历史记录。此 历史记录对于创建审核报告和直观呈现数据 分析非常有用。您还可以将此信息加载到其他系统中。

此外，使用此选项，您可以在单个视图中查看所有数据分析，而不考虑数据位于哪个区域。虽然您也可以通过 控制台 Google Cloud 查看数据分析，但 控制台一次仅显示一个区域中的数据分析。

如果 Sensitive Data Protection 无法分析资源，它会定期重试。为了最大限度地减少导出数据中的噪声，Sensitive Data Protection 仅将成功生成的分析导出到 BigQuery。

Sensitive Data Protection 会从您开启此选项时开始导出分析。在您开启导出之前生成的分析不会保存到 BigQuery。

如需查看分析数据时可以使用的示例查询， 请参阅分析数据分析。

将发现结果示例保存到 BigQuery

Sensitive Data Protection 可以将发现结果示例添加到您选择的 BigQuery 表中。发现结果示例代表所有发现结果的子集，可能无法代表所有发现的 infoType。通常，系统会为每个资源生成大约 10 个发现结果示例，但此数字可能会因每次发现运行而异。

每项发现结果都包含检测到的实际字符串（也称为“引用”），以及其确切位置。

如果您想评估您的 检查 配置是否正确 匹配您要标记为敏感的信息类型，此操作会很有用。使用导出的数据分析和导出的发现结果示例，您可以运行查询来获取有关标记的特定项、它们匹配的 infoType、它们的确切位置、计算出的敏感度级别以及其他详细信息的更多信息。

SELECT
 findings_table.quote,
 findings_table.infotype.name,
 findings_table.location.container_name,
 profiles_table.file_store_profile.file_store_path as bucket_name,
 profiles_table.file_store_profile.sensitivity_score as bucket_sensitivity_score
FROM
 `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table
INNER JOIN
 `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table
ON
 findings_table.data_profile_resource_name=profiles_table.file_store_profile.name

SELECT
 findings_table.quote,
 findings_table.infotype.name,
 findings_table.location.container_name,
 findings_table.location.data_profile_finding_record_location.field.name AS field_name,
 profiles_table.table_profile.dataset_project_id AS project_id,
 profiles_table.table_profile.dataset_id AS dataset_id,
 profiles_table.table_profile.table_id AS table_id,
 profiles_table.table_profile.sensitivity_score AS table_sensitivity_score
 FROM
 `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table
INNER JOIN
 `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table
ON
 findings_table.data_profile_resource_name=profiles_table.table_profile.name

如需将发现结果示例保存到 BigQuery 表，请按以下步骤操作：

1. 开启将发现结果示例保存到 BigQuery 。

2. 输入要保存发现结果示例的 BigQuery 表的详细信息。

   为此操作指定的表必须与用于将数据分析副本保存到 BigQuery 操作的表不同。

   • 对于项目 ID，请输入要将发现结果导出到的现有项目的 ID。

   • 对于数据集 ID，请输入项目中现有数据集的名称。

   • 对于表 ID，请输入要将发现结果保存到的 BigQuery 表的名称。如果此表不存在，Sensitive Data Protection 会使用您提供的名称自动为您创建该表。

如需了解保存在 BigQuery 表中的每项发现结果的内容，请参阅 DataProfileFinding。

将标记关联到资源

开启将标记关联到资源 后，Sensitive Data Protection 会根据计算出的敏感度级别自动为您的数据添加标记。在本部分中，您需要先完成 根据数据 敏感度控制对资源的 IAM 访问权限中的任务。

如需根据计算出的敏感度级别自动为资源添加标记，请按以下步骤操作：

1. 开启为资源添加标记 选项。

2. 对于每个敏感度级别（高、中、低和未知），请输入您为给定敏感度级别创建的标记值的路径。

   如果您跳过某个敏感度级别，则不会为其添加任何标记。

3. 如需在存在敏感度级别标记时自动降低资源的数据风险级别，请选择对资源应用标记时，将其分析文件的数据风险降为“低” 。此选项有助于衡量数据安全和隐私保护状况的改进情况。

4. 选择以下一个或两个选项：

   • 首次分析资源时对其添加标记。

   • 更新资源分析文件时对资源添加标记。如果您希望 Sensitive Data Protection 在后续发现运行中覆盖敏感度级别标记值，请选择此选项。因此，随着资源的计算数据敏感度级别升高或降低，正文对资源的访问权限会自动更改。

     如果您计划手动更新发现服务关联到资源的敏感度级别标记值，请勿选择此选项。 如果您选择此选项，Sensitive Data Protection 可能会覆盖您的手动更新。

发布到 Pub/Sub

开启发布到 Pub/Sub 后，您可以根据分析结果执行程序化操作。您可以使用 Pub/Sub 通知来开发工作流，以捕获和补救具有重大数据风险或敏感度的发现结果。

如需向 Pub/Sub 主题发送通知，请按以下步骤操作：

1. 开启发布到 Pub/Sub 。

   系统会显示一个选项列表。每个选项都描述了一个事件，该事件会导致 Sensitive Data Protection 向 Pub/Sub 发送通知。

2. 选择应触发 Pub/Sub 通知的事件。

   如果您选择每当更新配置文件时就发送 Pub/Sub 通知， 则当配置文件中的 敏感度级别、数据风险级别、检测到的 infoType、公开访问权限和其他 重要指标发生变化时，Sensitive Data Protection 会发送通知。

3. 对于您选择的每个事件，请按以下步骤操作：

   1. 输入主题的名称。名称必须采用以下格式：

      projects/PROJECT_ID/topics/TOPIC_ID
      

      替换以下内容：

      • PROJECT_ID：与 Pub/Sub 主题关联的项目的 ID。
      • TOPIC_ID：Pub/Sub 主题的 ID。

   2. 指定是在通知中包含完整的资源分析，还是仅包含所分析资源的完整资源名称。

   3. 设置 Sensitive Data Protection 发送通知时必须满足的最低数据风险和敏感度级别。

   4. 指定是必须满足数据风险和敏感度条件中的一个还是两个。例如，如果您选择 AND，则必须同时满足数据风险和敏感度条件，Sensitive Data Protection 才会发送通知。

以标记形式发送到 Data Catalog

此功能已弃用。

借助此操作，您可以根据数据分析中的分析洞见在 Knowledge Catalog 中创建 Data Catalog 标记。此操作仅适用于新的和更新的分析。 未更新的现有分析不会发送到 Knowledge Catalog。

Data Catalog 是一项可伸缩的全代管式式元数据管理服务。启用此操作后，您分析的表会在 Data Catalog 中根据从数据分析中收集的分析洞见自动添加标记。然后，您可以使用 Knowledge Catalog 在组织和项目中搜索具有特定标记值的表。

如需将数据分析以 Data Catalog 标记的形式发送到 Knowledge Catalog，请确保以标记形式发送到 Dataplex 选项已开启。

如需了解详情，请参阅根据数据分析中的分析洞见在 Data Catalog 中为表添加标记 。

以切面形式发送到 Knowledge Catalog

借助此操作，您可以根据数据分析中的分析洞见将 Knowledge Catalog 切面 添加到所分析的资源。 此操作仅适用于新的和更新的分析。 未更新的现有分析不会发送到 Knowledge Catalog。

启用此操作后，Sensitive Data Protection 会将 Sensitive Data Protection profile切面关联到您分析的每个新资源或更新资源的Knowledge Catalog 条目。生成的切面包含从数据分析中收集的分析洞见。然后，您可以在组织和项目中搜索具有特定 Sensitive Data Protection profile 切面值的条目。

如需将数据分析发送到 Knowledge Catalog，请确保以切面形式发送到 Dataplex Catalog 选项已开启。

如需了解详情，请参阅根据数据分析中的分析洞见添加 Knowledge Catalog 切面。

支持的操作

下表展示了每种 发现 类型支持的操作。

后续步骤

• 了解如何在 Google Security Operations 中使用数据分析中的情境数据。
• 了解 Sensitive Data Protection 可以在 Security Command Center中生成的发现结果。
• 了解如何在 BigQuery 和 Looker Studio 中分析数据分析 。
• 了解如何根据数据 敏感度控制对资源的 IAM 访问权限。
• 了解如何接收和解析有关数据 分析的 Pub/Sub 消息。
• 了解如何根据数据分析中的分析洞见添加 Knowledge Catalog 切面。