ניהול נכון של מידע רגיש שמאוחסן במאגר אחסון מתחיל בסיווג האחסון: זיהוי המיקום של המידע הרגיש במאגר, סוג המידע הרגיש ושימושיו. הידע הזה יכול לעזור לכם להגדיר בצורה נכונה את בקרת הגישה ואת הרשאות השיתוף, והוא יכול להיות חלק מתוכנית מעקב שוטפת.
באמצעות Sensitive Data Protection אפשר לזהות ולסווג מידע אישי רגיש שמאוחסן במיקום ב-Cloud Storage, בסוג Datastore או בטבלה ב-BigQuery. כשסורקים קבצים במיקומים של Cloud Storage, Sensitive Data Protection תומכת בסריקה של קבצים בינאריים, קובצי טקסט, קובצי תמונה, קובצי Microsoft Word, קובצי Microsoft Excel, קובצי Microsoft Powerpoint, קובצי PDF וקובצי Apache Avro. קבצים מסוגים לא מזוהים נסרקים כקבצים בינאריים. מידע נוסף על סוגי הקבצים הנתמכים זמין במאמר סוגי קבצים נתמכים.
כדי לבדוק אם יש מידע אישי רגיש באחסון ובמסדי נתונים, מציינים את מיקום הנתונים ואת סוג המידע האישי הרגיש ש-Sensitive Data Protection צריך לחפש. Sensitive Data Protection מתחיל עבודה שבודקת את הנתונים במיקום שצוין, ואז מציג פרטים על infoTypes (infoTypes) שנמצאו בתוכן, ערכי הסבירות ועוד.
אפשר להגדיר בדיקה של אחסון ומסדי נתונים באמצעות Sensitive Data Protection ב Google Cloud מסוף, דרך DLP API בארכיטקטורת REST, או באופן פרוגרמטי באמצעות ספריית לקוח של Sensitive Data Protection באחת מכמה שפות.
הנושא הזה כולל:
- שיטות מומלצות להגדרת סריקות של Google Cloud מאגרי אחסון ומסדי נתונים.
- הוראות להגדרת סריקת בדיקה באמצעות Sensitive Data Protection במסוף Google Cloud , ואפשרות לתזמון סריקות בדיקה חוזרות תקופתיות.
- דוגמאות קוד ו-JSON לכל Google Cloud סוג של מאגר אחסון: (Cloud Storage, Firestore במצב Datastore (Datastore) ו-BigQuery).
- סקירה מפורטת של אפשרויות ההגדרה של משימות סריקה.
- הוראות לאחזור תוצאות הסריקה ולניהול משימות הסריקה שנוצרות מכל בקשה שהושלמה בהצלחה.
שיטות מומלצות
זיהוי ותעדוף של סריקות
חשוב קודם להעריך את הנכסים שלכם ולציין אילו מהם הם בעדיפות הכי גבוהה לסריקה. כשמתחילים להשתמש בתכונה, יכול להיות שיש לכם הרבה נתונים שצריך לסווג, ולא תוכלו לסרוק את כולם באופן מיידי. מומלץ לבחור בהתחלה נתונים שעלולים להוות סיכון גבוה – לדוגמה, נתונים שיש להם גישה תכופה, נתונים שנגישים לכולם או נתונים לא ידועים.
מוודאים של-Sensitive Data Protection יש גישה לנתונים שלכם
ל-Sensitive Data Protection צריכה להיות גישה לנתונים שרוצים לסרוק. חשוב לוודא שלחשבון השירות של Sensitive Data Protection יש הרשאה לקרוא את המשאבים שלכם.
הגבלת היקף הסריקות הראשונות
כדי לקבל את התוצאות הטובות ביותר, כדאי להגביל את היקף העבודה של המשימות הראשונות במקום לסרוק את כל הנתונים. מתחילים עם טבלה אחת, מאגר אחד או כמה קבצים ומשתמשים בדגימה. הגבלת ההיקף של הסריקות הראשונות מאפשרת לכם להבין טוב יותר אילו אמצעי זיהוי כדאי להפעיל ואילו כללי החרגה עשויים להידרש כדי לצמצם את התוצאות החיוביות הכוזבות, כך שהממצאים יהיו משמעותיים יותר. כדאי להימנע מהפעלת כל סוגי המידע אם לא צריך את כולם, כי טעויות בזיהוי או ממצאים לא שמישים עלולים להקשות על הערכת הסיכון. למרות שסוגי מידע כמו DATE, TIME, DOMAIN_NAME ו-URL שימושיים בתרחישים מסוימים, הם מתאימים למגוון רחב של ממצאים, ולכן לא מומלץ להפעיל אותם לסריקות של נתונים גדולים.
כשדוגמים קובץ מובנה – כמו קובץ CSV, TSV או Avro – חשוב לוודא שגודל הדגימה מספיק גדול כדי לכסות את הכותרת המלאה של הקובץ ושורה של נתונים. מידע נוסף זמין במאמר בנושא סריקת קבצים מובְנים במצב ניתוח מובְנה.
תזמון הסריקות
אפשר להשתמש בטריגרים של משימות של Sensitive Data Protection כדי להריץ סריקות באופן אוטומטי וליצור ממצאים מדי יום, מדי שבוע או מדי רבעון. אפשר גם להגדיר את הסריקות האלה כך שיבדקו רק נתונים שהשתנו מאז הסריקה האחרונה, וכך לחסוך זמן ולהפחית עלויות. הפעלת סריקות באופן קבוע יכולה לעזור לכם לזהות מגמות או חריגות בתוצאות הסריקה.
זמן האחזור של המשימה
אין יעדים למדידת רמת השירות (SLO) שמובטחים לגבי משימות וטריגרים של משימות. ההשהיה מושפעת מכמה גורמים, כולל כמות הנתונים שצריך לסרוק, מאגר האחסון שנסרק, הסוג והמספר של סוגי המידע שאתם סורקים, האזור שבו העבודה מעובדת ומשאבי המחשוב שזמינים באזור הזה. לכן, אי אפשר לקבוע מראש את זמן האחזור של עבודות הבדיקה.
כדי לצמצם את זמן האחזור של העבודות, אפשר לנסות את הפעולות הבאות:
- אם האפשרות דגימה זמינה למשימה או לטריגר של המשימה, מפעילים אותה.
אל תפעילו סוגי מידע שאתם לא צריכים. למרות שהמידע הבא שימושי בתרחישים מסוימים, סוגי המידע האלה יכולים להאט משמעותית את הרצת הבקשות בהשוואה לבקשות שלא כוללות אותם:
PERSON_NAMEFEMALE_NAMEMALE_NAMEFIRST_NAMELAST_NAMEDATE_OF_BIRTHLOCATIONSTREET_ADDRESSORGANIZATION_NAME
תמיד צריך לציין במפורש את סוגי המידע. אל תשתמשו ברשימה ריקה של infoTypes.
אם אפשר, כדאי להשתמש באזור עיבוד אחר.
אם עדיין יש בעיות של זמן אחזור בעבודות אחרי שמנסים את הטכניקות האלה,
אפשר לשקול להשתמש בבקשות של
content.inspect או של
content.deidentify במקום בעבודות. השיטות האלה מכוסות בהסכם רמת השירות. מידע נוסף מופיע בהסכם רמת השירות (SLA) של שירות Sensitive Data Protection.
לפני שמתחילים
ההנחיות בנושא הזה מבוססות על ההנחות הבאות:
הפעלתם את החיוב.
הפעלתם את Sensitive Data Protection.
סיווג האחסון דורש את היקף ההרשאות הבא ב-OAuth:
https://www.googleapis.com/auth/cloud-platform. מידע נוסף זמין במאמר בנושא אימות ל-DLP API.
בדיקת מיקום של Cloud Storage
אפשר להגדיר בדיקה של Sensitive Data Protection במיקום ב-Cloud Storage באמצעות Google Cloud המסוף, DLP API דרך בקשות REST או RPC, או באופן פרוגרמטי בכמה שפות באמצעות ספריית לקוח. מידע על הפרמטרים שכלולים בדוגמאות הקוד וב-JSON הבאים מופיע בהמשך המאמר בקטע הגדרת בדיקת אחסון.
התכונה Sensitive Data Protection מסתמכת על סיומות של קבצים ועל סוגי מדיה (MIME) כדי לזהות את סוגי הקבצים שצריך לסרוק ואת מצבי הסריקה שצריך להחיל. לדוגמה, Sensitive Data Protection סורק קובץ .txt במצב טקסט פשוט, גם אם הקובץ בנוי כקובץ CSV, שבדרך כלל נסרק במצב ניתוח מובנה.
כדי להגדיר עבודת סריקה של קטגוריה של Cloud Storage באמצעות Sensitive Data Protection:
המסוף
בקטע הזה מוסבר איך לבדוק קטגוריה של Cloud Storage או תיקייה. אם רוצים ש-Sensitive Data Protection ייצור גם עותק של הנתונים אחרי הסרת פרטי הזיהוי, אפשר לעיין במאמר הסרת פרטי זיהוי ממידע אישי רגיש שמאוחסן ב-Cloud Storage באמצעות מסוף Google Cloud .
בקטע Sensitive Data Protection (הגנה על מידע רגיש) במסוף Google Cloud , עוברים לדף Create job or job trigger (יצירת משימה או הפעלה של משימה).
מזינים את פרטי המשימה של Sensitive Data Protection ולוחצים על Continue כדי להשלים כל שלב:
בשדה בחירת נתוני קלט, נותנים שם לעבודה על ידי הזנת ערך בשדה שם. בקטע מיקום, בוחרים באפשרות Cloud Storage מתוך התפריט סוג האחסון, ואז מזינים את מיקום הנתונים לסריקה. הקטע דגימה מוגדר מראש להפעלת סריקת דגימה של הנתונים. אם יש לכם כמות גדולה של נתונים, אתם יכולים לשנות את הערך בשדה אחוז האובייקטים שנסרקו בתוך הדלי כדי לחסוך במשאבים. מידע נוסף מופיע במאמר בנושא בחירת נתוני קלט.
(אופציונלי) בקטע Configure detection (הגדרת זיהוי), אפשר להגדיר את סוגי הנתונים לחיפוש, שנקראים infoTypes. אפשר לבחור מתוך רשימת סוגי המידע המוגדרים מראש, או לבחור תבנית אם קיימת כזו. פרטים נוספים מופיעים במאמר בנושא הגדרת זיהוי.
בקטע Add actions (הוספת פעולות), בוחרים פעולה אחת או יותר שרוצים שמערכת Sensitive Data Protection תבצע אחרי שהעבודה תסתיים. מידע נוסף זמין במאמר בנושא הפעלת פעולות של בדיקה או ניתוח סיכונים.
אחרי שבוחרים פעולות, לוחצים על המשך.
(אופציונלי) אם בוחרים באפשרות תזמון ורוצים שהסריקה תפעל רק פעם אחת, לא משנים את התפריט שמוגדר כללא. כדי לתזמן סריקות שיפעלו מעת לעת, לוחצים על Create a trigger to run the job on a periodic schedule (יצירת טריגר להפעלת העבודה לפי לוח זמנים תקופתי). פרטים נוספים זמינים במאמר בנושא תזמון.
לוחצים על יצירה.
אחרי שהעבודה של Sensitive Data Protection מסתיימת, מועברים לדף פרטי העבודה ומקבלים על כך הודעה באימייל. אפשר לראות את תוצאות הבדיקה בדף פרטי המשרה.
(אופציונלי) אם בחרתם לפרסם את הממצאים של Sensitive Data Protection ב-BigQuery, בדף Job details (פרטי המשימה) לוחצים על View Findings in BigQuery (הצגת הממצאים ב-BigQuery) כדי לפתוח את הטבלה בממשק המשתמש האינטרנטי של BigQuery. אחר כך תוכלו להריץ שאילתות על הטבלה ולנתח את הממצאים. מידע נוסף על הפעלת שאילתות על התוצאות ב-BigQuery זמין במאמר הפעלת שאילתות על הממצאים של Sensitive Data Protection ב-BigQuery.
פרוטוקול
זו דוגמה ל-JSON שאפשר לשלוח בבקשת POST לנקודת הקצה של Sensitive Data Protection REST שצוינה. בדוגמה הזו של JSON אפשר לראות איך משתמשים ב-DLP API כדי לבדוק קטגוריות ב-Cloud Storage. מידע על הפרמטרים שנכללים בבקשה מופיע בהמשך הנושא בקטע הגדרת בדיקת האחסון.
אפשר להתנסות בזה במהירות ב-APIs Explorer בדף ההפניה של
content.inspect:
חשוב לזכור שבקשה מוצלחת, גם ב-APIs Explorer, תיצור משימת סריקה חדשה. מידע על שליטה בעבודות סריקה זמין בהמשך הנושא, בקטע אחזור תוצאות הבדיקה. למידע כללי על שימוש ב-JSON לשליחת בקשות ל-DLP API, אפשר לעיין במדריך להתחלה מהירה בנושא JSON.
קלט JSON:
POST https://dlp.googleapis.com/v2/projects/[PROJECT-ID]/dlpJobs?key={YOUR_API_KEY}
{
"inspectJob":{
"storageConfig":{
"cloudStorageOptions":{
"fileSet":{
"url":"gs://[BUCKET-NAME]/*"
},
"bytesLimitPerFile":"1073741824"
},
"timespanConfig":{
"startTime":"2017-11-13T12:34:29.965633345Z",
"endTime":"2018-01-05T04:45:04.240912125Z"
}
},
"inspectConfig":{
"infoTypes":[
{
"name":"PHONE_NUMBER"
}
],
"excludeInfoTypes":false,
"includeQuote":true,
"minLikelihood":"LIKELY"
},
"actions":[
{
"saveFindings":{
"outputConfig":{
"table":{
"projectId":"[PROJECT-ID]",
"datasetId":"[DATASET-ID]"
}
}
}
}
]
}
}
פלט JSON:
{
"name":"projects/[PROJECT-ID]/dlpJobs/[JOB-ID]",
"type":"INSPECT_JOB",
"state":"PENDING",
"inspectDetails":{
"requestedOptions":{
"snapshotInspectTemplate":{
},
"jobConfig":{
"storageConfig":{
"cloudStorageOptions":{
"fileSet":{
"url":"gs://[BUCKET-NAME]/*"
},
"bytesLimitPerFile":"1073741824"
},
"timespanConfig":{
"startTime":"2017-11-13T12:34:29.965633345Z",
"endTime":"2018-01-05T04:45:04.240912125Z"
}
},
"inspectConfig":{
"infoTypes":[
{
"name":"PHONE_NUMBER"
}
],
"minLikelihood":"LIKELY",
"limits":{
},
"includeQuote":true
},
"actions":[
{
"saveFindings":{
"outputConfig":{
"table":{
"projectId":"[PROJECT-ID]",
"datasetId":"[DATASET-ID]",
"tableId":"[NEW-TABLE-ID]"
}
}
}
}
]
}
}
},
"createTime":"2018-11-07T18:01:14.225Z"
}
Java
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Node.js
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Python
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Go
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
PHP
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
C#
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
בדיקת סוג ב-Datastore
אפשר להגדיר בדיקה של סוג Datastore באמצעותGoogle Cloud המסוף, DLP API באמצעות בקשות REST או RPC, או באופן פרוגרמטי בכמה שפות באמצעות ספריית לקוח.
כדי להגדיר עבודת סריקה של סוג Datastore באמצעות Sensitive Data Protection:
המסוף
כדי להגדיר עבודת סריקה של סוג Datastore באמצעות Sensitive Data Protection:
בקטע Sensitive Data Protection במסוף Google Cloud , עוברים לדף Create job or job trigger.
מזינים את פרטי המשימה של Sensitive Data Protection ולוחצים על Continue (המשך) כדי להשלים כל שלב:
בקטע Choose input data (בחירת נתוני קלט), מזינים את המזהים של הפרויקט, מרחב השמות (אופציונלי) והסוג שרוצים לסרוק. פרטים נוספים מופיעים במאמר בחירת נתוני קלט.
(אופציונלי) בקטע Configure detection (הגדרת זיהוי), אפשר להגדיר את סוגי הנתונים לחיפוש, שנקראים infoTypes. אפשר לבחור מתוך רשימת סוגי המידע המוגדרים מראש, או לבחור תבנית אם קיימת כזו. פרטים נוספים מופיעים במאמר בנושא הגדרת זיהוי.
בקטע Add actions (הוספת פעולות), בוחרים פעולה אחת או יותר שרוצים שמערכת Sensitive Data Protection תבצע אחרי שהעבודה תסתיים. מידע נוסף זמין במאמר בנושא הפעלת פעולות של בדיקה או ניתוח סיכונים.
אחרי שבוחרים פעולות, לוחצים על המשך.
(אופציונלי) בקטע תזמון, מגדירים טווח זמן או תזמון על ידי בחירה באחת מהאפשרויות: ציון טווח זמן או יצירת טריגר להפעלת העבודה לפי תזמון מחזורי. מידע נוסף זמין במאמר בנושא תזמון.
לוחצים על יצירה.
אחרי שהעבודה של Sensitive Data Protection מסתיימת, מועברים לדף פרטי העבודה ומקבלים על כך הודעה באימייל. אפשר לראות את תוצאות הבדיקה בדף פרטי המשרה.
(אופציונלי) אם בחרתם לפרסם את הממצאים של Sensitive Data Protection ב-BigQuery, בדף Job details (פרטי המשימה) לוחצים על View Findings in BigQuery (הצגת הממצאים ב-BigQuery) כדי לפתוח את הטבלה בממשק האינטרנט של BigQuery. לאחר מכן תוכלו להריץ שאילתות על הטבלה ולנתח את הממצאים. מידע נוסף על שאילתות של התוצאות ב-BigQuery זמין במאמר שאילתות של ממצאי Sensitive Data Protection ב-BigQuery.
פרוטוקול
זוהי דוגמה ל-JSON שאפשר לשלוח בבקשת POST לנקודת הקצה של DLP API REST שצוינה. בדוגמה הזו של JSON אפשר לראות איך משתמשים ב-DLP API כדי לבדוק סוגי Datastore. מידע על הפרמטרים שנכללים בבקשה מופיע בהמשך המאמר בקטע הגדרה של בדיקת אחסון.
אפשר להתנסות בזה במהירות ב-APIs Explorer בדף ההפניה של
dlpJobs.create:
חשוב לזכור שבקשה מוצלחת, גם ב-APIs Explorer, תיצור משימת סריקה חדשה. מידע על שליטה בעבודות סריקה מופיע בהמשך הנושא, בקטע אחזור תוצאות בדיקה. למידע כללי על שימוש ב-JSON לשליחת בקשות ל-DLP API, אפשר לעיין במדריך להתחלה מהירה בנושא JSON.
קלט JSON:
POST https://dlp.googleapis.com/v2/projects/[PROJECT-ID]/dlpJobs?key={YOUR_API_KEY}
{
"inspectJob":{
"storageConfig":{
"datastoreOptions":{
"kind":{
"name":"Example-Kind"
},
"partitionId":{
"namespaceId":"[NAMESPACE-ID]",
"projectId":"[PROJECT-ID]"
}
}
},
"inspectConfig":{
"infoTypes":[
{
"name":"PHONE_NUMBER"
}
],
"excludeInfoTypes":false,
"includeQuote":true,
"minLikelihood":"LIKELY"
},
"actions":[
{
"saveFindings":{
"outputConfig":{
"table":{
"projectId":"[PROJECT-ID]",
"datasetId":"[BIGQUERY-DATASET-NAME]",
"tableId":"[BIGQUERY-TABLE-NAME]"
}
}
}
}
]
}
}
Java
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Node.js
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Python
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Go
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
PHP
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
C#
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
בדיקת טבלה ב-BigQuery
אפשר להגדיר בדיקה של טבלה ב-BigQuery באמצעות Sensitive Data Protection דרך בקשות REST, או באופן פרוגרמטי בכמה שפות באמצעות ספריית לקוח.
כדי להגדיר משימת סריקה של טבלה ב-BigQuery באמצעות Sensitive Data Protection:
המסוף
כדי להגדיר משימת סריקה של טבלה ב-BigQuery באמצעות Sensitive Data Protection:
בקטע Sensitive Data Protection במסוף Google Cloud , עוברים לדף Create job or job trigger.
מזינים את פרטי המשימה של Sensitive Data Protection ולוחצים על Continue (המשך) כדי להשלים כל שלב:
בשדה בחירת נתוני קלט, נותנים שם לעבודה על ידי הזנת ערך בשדה שם. בקטע מיקום, בוחרים באפשרות BigQuery מתוך התפריט סוג אחסון, ואז מזינים את הפרטים של הטבלה לסריקה.
הקטע דגימה מוגדר מראש להרצת סריקה לדוגמה של הנתונים. אם יש לכם כמות גדולה של נתונים, אתם יכולים לשנות את ההגדרות בשדות Limit rows by (הגבלת שורות לפי) ו-Maximum number of rows (מספר השורות המקסימלי) כדי לחסוך במשאבים. פרטים נוספים מופיעים במאמר בנושא בחירת נתוני קלט.
(אופציונלי) אם רוצים לקשר כל ממצא לשורה שמכילה אותו, מגדירים את השדה שדות לזיהוי.
מזינים את שמות העמודות שמזהות באופן ייחודי כל שורה בטבלה. אם יש צורך, אפשר להשתמש בסימון נקודות כדי לציין שדות מקוננים. אפשר להוסיף כמה שדות שרוצים.
כדי לייצא את הממצאים ל-BigQuery, צריך גם להפעיל את הפעולה שמירה ב-BigQuery. כשמייצאים את הממצאים ל-BigQuery, כל ממצא מכיל את הערכים המתאימים של השדות המזהים. מידע נוסף זמין במאמר
identifyingFields.(אופציונלי) בקטע Configure detection (הגדרת זיהוי), אפשר להגדיר את סוגי הנתונים לחיפוש, שנקראים infoTypes. אפשר לבחור מתוך רשימת סוגי המידע המוגדרים מראש, או לבחור תבנית אם קיימת כזו. פרטים נוספים מופיעים במאמר בנושא הגדרת זיהוי.
בקטע Add actions (הוספת פעולות), בוחרים פעולה אחת או יותר שרוצים שמערכת Sensitive Data Protection תבצע אחרי שהעבודה תסתיים. מידע נוסף זמין במאמר בנושא הפעלת פעולות של בדיקה או ניתוח סיכונים.
אחרי שבוחרים פעולות, לוחצים על המשך.
(אופציונלי) אם בוחרים באפשרות תזמון ורוצים שהסריקה תפעל רק פעם אחת, לא משנים את התפריט שמוגדר כללא. כדי לתזמן סריקות שיפעלו מעת לעת, לוחצים על Create a trigger to run the job on a periodic schedule (יצירת טריגר להפעלת העבודה לפי לוח זמנים תקופתי). פרטים נוספים זמינים במאמר בנושא תזמון.
לוחצים על יצירה.
אחרי שהעבודה של Sensitive Data Protection מסתיימת, מועברים לדף פרטי העבודה ומקבלים על כך הודעה באימייל. אפשר לראות את תוצאות הבדיקה בדף פרטי המשרה.
(אופציונלי) אם בחרתם לפרסם את הממצאים של Sensitive Data Protection ב-BigQuery, בדף Job details (פרטי המשימה) לוחצים על View Findings in BigQuery (הצגת הממצאים ב-BigQuery) כדי לפתוח את הטבלה בממשק האינטרנט של BigQuery. לאחר מכן תוכלו להריץ שאילתות על הטבלה ולנתח את הממצאים. מידע נוסף על שאילתות של התוצאות ב-BigQuery זמין במאמר שאילתות של ממצאי Sensitive Data Protection ב-BigQuery.
פרוטוקול
זוהי דוגמה ל-JSON שאפשר לשלוח בבקשת POST לנקודת הקצה של DLP API REST שצוינה. בדוגמה הזו של JSON מוסבר איך להשתמש ב-DLP API כדי לבדוק טבלאות ב-BigQuery. מידע על הפרמטרים שנכללים בבקשה מופיע בהמשך המאמר בקטע הגדרה של בדיקת אחסון.אפשר להתנסות בזה במהירות ב-APIs Explorer בדף ההפניה של
dlpJobs.create:
חשוב לזכור שבקשה מוצלחת, גם ב-APIs Explorer, תיצור משימת סריקה חדשה. מידע על שליטה בעבודות סריקה זמין בהמשך הנושא, בקטע אחזור תוצאות הבדיקה. למידע כללי על שימוש ב-JSON לשליחת בקשות ל-DLP API, אפשר לעיין במדריך להתחלה מהירה בנושא JSON.
קלט JSON:
POST https://dlp.googleapis.com/v2/projects/[PROJECT-ID]/dlpJobs?key={YOUR_API_KEY}
{
"inspectJob":{
"storageConfig":{
"bigQueryOptions":{
"tableReference":{
"projectId":"[PROJECT-ID]",
"datasetId":"[BIGQUERY-DATASET-NAME]",
"tableId":"[BIGQUERY-TABLE-NAME]"
},
"identifyingFields":[
{
"name":"id"
}
]
},
"timespanConfig":{
"startTime":"2017-11-13T12:34:29.965633345Z ",
"endTime":"2018-01-05T04:45:04.240912125Z "
}
},
"inspectConfig":{
"infoTypes":[
{
"name":"PHONE_NUMBER"
}
],
"excludeInfoTypes":false,
"includeQuote":true,
"minLikelihood":"LIKELY"
},
"actions":[
{
"saveFindings":{
"outputConfig":{
"table":{
"projectId":"[PROJECT-ID]",
"datasetId":"[BIGQUERY-DATASET-NAME]",
"tableId":"[BIGQUERY-TABLE-NAME]"
},
"outputSchema": "BASIC_COLUMNS"
}
}
}
]
}
}
Java
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Node.js
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Python
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Go
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
PHP
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
C#
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
הגדרת בדיקת אחסון
כדי לבדוק מיקום ב-Cloud Storage, סוג של Datastore או טבלה ב-BigQuery, שולחים בקשה לשיטה projects.dlpJobs.create של DLP API, שמכילה לפחות את מיקום הנתונים לסריקה ואת מה שצריך לסרוק. בנוסף לפרמטרים הנדרשים האלה, אפשר גם לציין איפה לכתוב את תוצאות הסריקה, את ערכי הסף של הגודל והסבירות ועוד. בקשה מוצלחת מובילה ליצירה של מופע אובייקט DlpJob, שמוסבר במאמר אחזור תוצאות הבדיקה.
אלה אפשרויות ההגדרה הזמינות:
InspectJobConfigobject: מכיל את פרטי ההגדרה של משימת הבדיקה. הערה: האובייקטInspectJobConfigמשמש גם את האובייקטJobTriggersלתזמון היצירה שלDlpJob. האובייקט הזה כולל:
StorageConfigobject: חובה. מכיל פרטים על מאגר האחסון שצריך לסרוק:אחד מהפרטים הבאים צריך להיכלל באובייקט
StorageConfig, בהתאם לסוג מאגר האחסון שנסרק:
CloudStorageOptionsobject: מכיל מידע על קטגוריית Cloud Storage לסריקה.DatastoreOptionsobject: מכיל מידע על קבוצת הנתונים של Datastore שצריך לסרוק.
BigQueryOptionsobject: מכיל מידע על הטבלה ב-BigQuery (ובאופן אופציונלי, על שדות מזהים) שצריך לסרוק. האובייקט הזה גם מאפשר דגימת תוצאות. מידע נוסף זמין בקטע הפעלת דגימת תוצאות בהמשך המאמר.
TimespanConfigobject: אופציונלי. מציין את טווח הזמן של הפריטים שייכללו בסריקה.
InspectConfigobject: חובה. מציינים מה לחפש, כמו ערכים של infoTypes ושל likelihood.-
InfoTypeobjects: חובה. ערך אחד או יותר של infoType לסריקה. -
Likelihoodenumeration: אופציונלי. אם מגדירים את הערך הזה, Sensitive Data Protection יחזיר רק ממצאים ששווים לערך הסף של הסבירות או גבוהים ממנו. אם לא מציינים את הערך הזה, ערך ברירת המחדל הואPOSSIBLE. -
FindingLimitsobject: אופציונלי. כשמגדירים את האובייקט הזה, אפשר לציין מגבלה על מספר הממצאים שמוחזרים. - פרמטר
includeQuote: אופציונלי. ברירת המחדל היאfalse. אם ההגדרה היאtrue, כל ממצא יכלול ציטוט מהנתונים שהפעילו אותו, עם הקשר. - פרמטר
excludeInfoTypes: אופציונלי. ברירת המחדל היאfalse. אם המדיניות מוגדרת לערךtrue, תוצאות הסריקה לא יכללו מידע על סוג הממצאים. CustomInfoTypeאובייקטים: סוגי מידע מותאמים אישית שנוצרו על ידי משתמש אחד או יותר. מידע נוסף על יצירת סוגי מידע בהתאמה אישית זמין במאמר יצירת גלאי סוגי מידע בהתאמה אישית.
-
inspectTemplateNamestring: אופציונלי. מציין תבנית שאפשר להשתמש בה כדי לאכלס ערכי ברירת מחדל באובייקטInspectConfig. אם כבר ציינתם אתInspectConfig, ערכי התבנית ימוזגו.Actionobjects: אופציונלי. פעולה אחת או יותר לביצוע בסיום העבודה. כל פעולה מבוצעת לפי הסדר שבו היא מופיעה ברשימה. כאן מציינים לאן לכתוב את התוצאות, או אם לפרסם התראה בנושא Pub/Sub.
jobId: אופציונלי. מזהה של המשימה שמוחזר על ידי Sensitive Data Protection. אםjobIdמושמט או ריק, המערכת יוצרת מזהה למשרה. אם מציינים ערך, המשרה מקבלת את ערך המזהה הזה. מזהה העבודה צריך להיות ייחודי, והוא יכול להכיל אותיות רישיות וקטנות, מספרים ומקפים. כלומר, הוא צריך להתאים לביטוי הרגולרי הבא:[a-zA-Z\\d-]+.
הגבלת כמות התוכן שנבדקת
אם אתם סורקים טבלאות ב-BigQuery או מאגרי מידע ב-Cloud Storage, תוכלו להשתמש ב-Sensitive Data Protection כדי לסרוק קבוצת משנה של מערך הנתונים. התוצאה היא שמתקבלת דגימה של תוצאות הסריקה בלי לשלם את העלויות הפוטנציאליות של סריקת מערך נתונים שלם.
בקטעים הבאים מוסבר איך להגביל את הגודל של סריקות ב-Cloud Storage ושל סריקות ב-BigQuery.
הגבלת הסריקות של Cloud Storage
כדי להפעיל דגימה ב-Cloud Storage, צריך להגביל את כמות הנתונים שנסרקים. אתם יכולים להנחות את DLP API לסרוק רק קבצים בגודל מסוים, רק סוגים מסוימים של קבצים ורק אחוז מסוים ממספר הקבצים הכולל בקבוצת קובצי הקלט. כדי לעשות זאת, מציינים את השדות האופציונליים הבאים בתוך CloudStorageOptions:
-
bytesLimitPerFile: הגדרת המספר המקסימלי של בייטים לסריקה מקובץ. אם גודל קובץ סרוק גדול מהערך הזה, המערכת משמיטה את שאר הבייטים. הגדרת השדה הזה לא משפיעה על סוגים מסוימים של קבצים. מידע נוסף זמין במאמר בנושא מגבלות על מספר הבייטים שנסרקים בכל קובץ. -
fileTypes[]: רשימה שלFileTypesשייכללו בסריקה. אפשר להגדיר את הערך הזה לאחד או יותר מהערכים הבאים של סוגים מנויים. -
filesLimitPercent: מגביל את מספר הקבצים לסריקה לאחוז שצוין מתוך קובץ הקלטFileSet. אם מציינים כאן את הערך0או100, המשמעות היא שאין מגבלה. -
sampleMethod: איך לדגום בייטים אם לא כל הבייטים נסרקים. הגדרת הערך הזה רלוונטית רק כשמשתמשים בו בשילוב עםbytesLimitPerFile. אם לא מציינים ערך, הסריקה מתחילה מלמעלה. אפשר להגדיר בשדה הזה אחד משני ערכים:-
TOP: הסריקה מתחילה מלמעלה. -
RANDOM_START: לכל קובץ שגדול מהגודל שצוין ב-bytesLimitPerFile, המערכת בוחרת באופן אקראי את ההיסט שבו מתחילה הסריקה. הבייטים שנסרקו הם רציפים.
-
בדוגמאות הבאות מוצג שימוש ב-DLP API כדי לסרוק קבוצת משנה של 90% מקטגוריית Cloud Storage ולחפש שמות של אנשים. הסריקה מתחילה ממיקום אקראי במערך הנתונים, וכוללת רק קובצי טקסט בגודל של עד 200 בייט.
C#
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Go
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Java
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Node.js
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
PHP
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Python
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
REST
קלט JSON:
POST https://dlp.googleapis.com/v2/projects/[PROJECT-ID]/dlpJobs?key={YOUR_API_KEY}
{
"inspectJob":{
"storageConfig":{
"cloudStorageOptions":{
"fileSet":{
"url":"gs://[BUCKET-NAME]/*"
},
"bytesLimitPerFile":"200",
"fileTypes":[
"TEXT_FILE"
],
"filesLimitPercent":90,
"sampleMethod":"RANDOM_START"
}
},
"inspectConfig":{
"infoTypes":[
{
"name":"PERSON_NAME"
}
],
"excludeInfoTypes":true,
"includeQuote":true,
"minLikelihood":"POSSIBLE"
},
"actions":[
{
"saveFindings":{
"outputConfig":{
"table":{
"projectId":"[PROJECT-ID]",
"datasetId":"testingdlp"
},
"outputSchema":"BASIC_COLUMNS"
}
}
}
]
}
}
אחרי ששולחים את קלט ה-JSON בבקשת POST לנקודת הקצה שצוינה, נוצרת משימה של Sensitive Data Protection, וה-API שולח את התגובה הבאה.
פלט JSON:
{
"name":"projects/[PROJECT-ID]/dlpJobs/[JOB-ID]",
"type":"INSPECT_JOB",
"state":"PENDING",
"inspectDetails":{
"requestedOptions":{
"snapshotInspectTemplate":{
},
"jobConfig":{
"storageConfig":{
"cloudStorageOptions":{
"fileSet":{
"url":"gs://[BUCKET_NAME]/*"
},
"bytesLimitPerFile":"200",
"fileTypes":[
"TEXT_FILE"
],
"sampleMethod":"TOP",
"filesLimitPercent":90
}
},
"inspectConfig":{
"infoTypes":[
{
"name":"PERSON_NAME"
}
],
"minLikelihood":"POSSIBLE",
"limits":{
},
"includeQuote":true,
"excludeInfoTypes":true
},
"actions":[
{
"saveFindings":{
"outputConfig":{
"table":{
"projectId":"[PROJECT-ID]",
"datasetId":"[DATASET-ID]",
"tableId":"[TABLE-ID]"
},
"outputSchema":"BASIC_COLUMNS"
}
}
}
]
}
}
},
"createTime":"2018-05-30T22:22:08.279Z"
}
הגבלת סריקות ב-BigQuery
כדי להפעיל דגימה ב-BigQuery על ידי הגבלת כמות הנתונים שנסרקים, צריך לציין את השדות האופציונליים הבאים בתוך BigQueryOptions:
-
rowsLimit: המספר המקסימלי של השורות לסריקה. אם בטבלה יש יותר שורות מהערך הזה, שאר השורות מושמטות. אם לא מגדירים את המדיניות או אם מגדירים אותה ל-0, כל השורות ייסרקו.
rowsLimitPercent: אחוז השורות המקסימלי לסריקה (בין 0 ל-100). השורות הנותרות מושמטות. אם מגדירים את הערך הזה ל-0 או ל-100, לא חלה מגבלה. ברירת המחדל היא 0. אפשר לציין רק אחד מהערכיםrowsLimitו-rowsLimitPercent.sampleMethod: איך לדגום שורות אם לא כל השורות נסרקות. אם לא מציינים ערך, הסריקה מתחילה מלמעלה. אפשר להגדיר בשדה הזה אחד משני ערכים:-
TOP: הסריקה מתחילה מלמעלה. -
RANDOM_START: הסריקה מתחילה משורה שנבחרה באופן אקראי.
-
excludedFields: שדות בטבלה שמזהים באופן ייחודי עמודות שצריך להחריג מקריאה. כך אפשר לצמצם את כמות הנתונים שנסרקים ולהפחית את העלות הכוללת של עבודת הבדיקה.
includedFields: שדות בטבלה שמזהים באופן ייחודי שורות ספציפיות בטבלה לסריקה.
תכונה נוספת שימושית להגבלת הנתונים שנסרקים, במיוחד כשסורקים טבלאות מחולקות, היא TimespanConfig.
TimespanConfig מאפשרת לסנן שורות בטבלה ב-BigQuery על ידי ציון ערכי שעת התחלה ושעת סיום להגדרת טווח זמן. Sensitive Data Protection
סורק רק שורות שמכילות חותמת זמן בטווח הזמן הזה.
בדוגמאות הבאות מוסבר איך להשתמש ב-DLP API כדי לסרוק קבוצת משנה של 1,000 שורות בטבלת BigQuery. הסריקה מתחילה משורה אקראית.
Go
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Java
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Node.js
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
PHP
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Python
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
C#
מידע על התקנת ספריית הלקוח של Sensitive Data Protection והשימוש בה מופיע במאמר ספריות הלקוח של Sensitive Data Protection.
כדי לבצע אימות ב-Sensitive Data Protection, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
REST
קלט JSON:
POST https://dlp.googleapis.com/v2/projects/[PROJECT-ID]/dlpJobs?key={YOUR_API_KEY}
{
"inspectJob":{
"storageConfig":{
"bigQueryOptions":{
"tableReference":{
"projectId":"bigquery-public-data",
"datasetId":"usa_names",
"tableId":"usa_1910_current"
},
"rowsLimit":"1000",
"sampleMethod":"RANDOM_START",
"includedFields":[
{
"name":"name"
}
]
}
},
"inspectConfig":{
"infoTypes":[
{
"name":"FIRST_NAME"
}
],
"includeQuote":true
},
"actions":[
{
"saveFindings":{
"outputConfig":{
"table":{
"projectId":"[PROJECT-ID]",
"datasetId":"testingdlp",
"tableId":"bqsample3"
},
"outputSchema":"BASIC_COLUMNS"
}
}
}
]
}
}
אחרי ששולחים את קלט ה-JSON בבקשת POST לנקודת הקצה שצוינה, נוצרת משימה של Sensitive Data Protection, וה-API שולח את התגובה הבאה.
פלט JSON:
{
"name": "projects/[PROJECT-ID]/dlpJobs/[JOB-ID]",
"type": "INSPECT_JOB",
"state": "PENDING",
"inspectDetails": {
"requestedOptions": {
"snapshotInspectTemplate": {},
"jobConfig": {
"storageConfig": {
"bigQueryOptions": {
"tableReference": {
"projectId": "bigquery-public-data",
"datasetId": "usa_names",
"tableId": "usa_1910_current"
},
"rowsLimit": "1000",
"sampleMethod": "RANDOM_START",
"includedFields": [
{
"name": "name"
}
]
}
},
"inspectConfig": {
"infoTypes": [
{
"name": "FIRST_NAME"
}
],
"limits": {},
"includeQuote": true
},
"actions": [
{
"saveFindings": {
"outputConfig": {
"table": {
"projectId": "[PROJECT-ID]",
"datasetId": "[DATASET-ID]",
"tableId": "bqsample"
},
"outputSchema": "BASIC_COLUMNS"
}
}
}
]
}
},
"result": {}
},
"createTime": "2022-11-04T18:53:48.350Z"
}
אחרי שהעבודה של הבדיקה מסתיימת והתוצאות שלה עוברות עיבוד ב-BigQuery, התוצאות של הסריקה זמינות בטבלת הפלט שצוינה ב-BigQuery. מידע נוסף על אחזור תוצאות הבדיקה זמין בקטע הבא.
אחזור תוצאות הבדיקה
אפשר לאחזר סיכום של DlpJob באמצעות ה-method projects.dlpJobs.get. התגובה כוללת את האובייקט DlpJob, שכולל את InspectDataSourceDetails, שמכיל סיכום של הגדרות העבודה (RequestedOptions) וסיכום של תוצאות העבודה (Result). סיכום התוצאות כולל:
-
processedBytes: הגודל הכולל בבייטים שעברו עיבוד. totalEstimatedBytes: הערכה של מספר הבייטים שנותרו לעיבוד.-
InfoTypeStatisticsobject: נתונים סטטיסטיים לגבי מספר המקרים של כל infoType שנמצאו במהלך משימת הבדיקה.
יש כמה אפשרויות לראות את התוצאות המלאות של עבודת הבדיקה. בהתאם לAction שבחרתם, עבודות הבדיקה הן:
- הנתונים נשמרים ב-BigQuery (האובייקט
SaveFindings) בטבלה שצוינה. לפני שצופים בתוצאות או מנתחים אותן, צריך לוודא שהעבודה הסתיימה באמצעות השיטהprojects.dlpJobs.getשמתוארת בהמשך. שימו לב שאפשר לציין סכימה לאחסון הממצאים באמצעות אובייקטOutputSchema. - פורסם בנושא Pub/Sub (האובייקט
PublishToPubSub). לנושא צריכות להיות הרשאות גישה לפרסום בחשבון השירות של Sensitive Data Protection שמריץ אתDlpJobהשליחה של ההתראות. - פורסם ב-Security Command Center.
- פורסם ב-Data Catalog.
- פורסם ב-Cloud Monitoring.
כדי לעזור לכם לסנן כמויות גדולות של נתונים שנוצרו על ידי Sensitive Data Protection, אתם יכולים להשתמש בכלים מובנים של BigQuery כדי להריץ ניתוח SQL מפורט או בכלים כמו Data Studio כדי ליצור דוחות. מידע נוסף זמין במאמר ניתוח של ממצאי Sensitive Data Protection ודיווח עליהם. כמה שאילתות לדוגמה מופיעות במאמר Querying findings in BigQuery.
שליחת בקשה לבדיקת מאגר אחסון ל-Sensitive Data Protection יוצרת ומריצה מופע של אובייקט DlpJob בתגובה. הזמן שיידרש להפעלת המשימות האלה יכול להיות שניות, דקות או שעות, בהתאם לגודל הנתונים ולהגדרה שציינתם. אם בוחרים לפרסם בנושא Pub/Sub (על ידי ציון PublishToPubSub ב-Action), המערכת שולחת באופן אוטומטי התראות לנושא עם השם שצוין כשהסטטוס של העבודה משתנה. שם הנושא ב-Pub/Sub מצוין בפורמט projects/[PROJECT-ID]/topics/[PUBSUB-TOPIC-NAME].
יש לכם שליטה מלאה על המשימות שאתם יוצרים, כולל שיטות הניהול הבאות:
-
projects.dlpJobs.cancelmethod: מפסיק עבודה שנמצאת כרגע בתהליך. השרת עושה כמיטב יכולתו כדי לבטל את העבודה, אבל אין ערובה לכך שהפעולה תצליח. העבודה וההגדרות שלה יישארו עד שתמחקו אותה (עם . -
projects.dlpJobs.deletemethod: מחיקת משימה וההגדרה שלה. - השיטה
projects.dlpJobs.get: מאחזרת משימה אחת ומחזירה את הסטטוס שלה, את ההגדרות שלה ואם המשימה הסתיימה, את תוצאות הסיכום. -
projects.dlpJobs.listmethod: מאחזר רשימה של כל המשימות, ויש אפשרות לסנן את התוצאות.
השלבים הבאים
- מידע נוסף על יצירת משימות לבדיקת אחסון זמין במאמר יצירה ותזמון של משימות Sensitive Data Protection.
- מידע נוסף על יצירת עותק של נתונים באחסון שעברו הסרת פרטים מזהים
- מידע נוסף על סוגי הקבצים הנתמכים זמין במאמר סוגי קבצים נתמכים.