本頁提供高階總覽,說明如要讓資料剖析檔在 Security Command Center 中產生發現項目,必須採取哪些動作。這個頁面也提供查詢範例,方便您找出產生的發現項目。
關於資料剖析檔
您可以設定 Sensitive Data Protection,自動產生機構、資料夾或專案中資料的剖析檔。資料剖析檔包含資料的指標和中繼資料,可協助您判斷機密和高風險資料的存放位置。 Sensitive Data Protection 會在不同詳細程度的層級回報這些指標。如要瞭解可剖析的資料類型,請參閱「支援的資源」。
將資料剖析檔發布至 Security Command Center 的好處
這項功能在 Security Command Center 中有下列優點:
您可以根據 Sensitive Data Protection 的結果,找出並修正資源中的安全漏洞和設定錯誤,避免機密資料外洩給大眾或惡意行為人。
您可以運用「機密資料防護」的發現項目,為分類程序新增背景資訊,並優先處理以含有機密資料的資源為目標的威脅。
您可以設定攻擊路徑模擬功能,根據資源所含資料的機密程度,自動排定資源優先順序。詳情請參閱「自動依據資料機密程度設定資源優先順序值」。
產生的 Security Command Center 發現項目
將探索服務設定為將資料剖析檔發布至 Security Command Center 時,每個資料表資料剖析檔或檔案儲存空間資料剖析檔都會產生下列 Security Command Center 發現項目。
探索服務的安全漏洞發現項目
Sensitive Data Protection 探索服務可協助您判斷是否儲存未受保護的高度機密資料。
| 類別 | 摘要 |
|---|---|
|
發現項目說明:指定資源含有 高度機密資料,網際網路上的任何人都能存取。 支援的素材資源:
補救措施: 如要移除 Google Cloud 資料,請從資料資產的 IAM 政策中移除 如果是 Amazon S3 資料,請設定封鎖公開存取權設定,或更新物件的 ACL,拒絕公開讀取權限。詳情請參閱 AWS 說明文件中的「 為 S3 儲存貯體設定封鎖公開存取設定」和「設定 ACL」。 如果是 Azure Blob 儲存體資料,請移除容器和 Blob 的公開存取權。詳情請參閱 Azure 說明文件中的「總覽:修正 Blob 資料的匿名讀取存取權」。 法規遵循標準:未對應 |
|
發現說明:環境變數中含有密碼、驗證權杖和憑證等 密鑰。 Google Cloud 如要啟用這項偵測器,請參閱 Sensitive Data Protection 說明文件中的「 向 Security Command Center 回報環境變數中的密鑰」。 支援的素材資源: 補救措施: 如果是 Cloud Run 函式的環境變數,請從環境變數中移除密碼,並改為儲存在 Secret Manager。 如要移除 Cloud Run 服務修訂版本的環境變數,請先將所有流量從該修訂版本移出,然後刪除該修訂版本。 法規遵循標準:
|
|
發現項目說明:指定資源中含有密鑰,例如密碼、驗證權杖和雲端憑證。 支援的素材資源:
補救措施:
法規遵循標準:未對應 |
探索服務發現的設定錯誤
Sensitive Data Protection 探索服務可協助您判斷是否有可能導致機密資料外洩的設定錯誤。
| 類別 | 摘要 |
|---|---|
|
發現項目說明:指定資源含有 高敏感度或中等敏感度資料,但未使用客戶自行管理的加密金鑰 (CMEK)。 支援的素材資源:
補救措施:
法規遵循標準:未對應 |
探索服務的觀察結果
Data sensitivity- 指出特定資料資產中資料的機密程度。如果資料中包含個人識別資訊或其他可能需要進一步控管或管理的元素,就會將其視為機密資料。發現項目的嚴重程度是 Sensitive Data Protection 在產生資料剖析檔時計算出的機密程度。
Data risk- 資料在目前狀態下的風險。計算資料風險時,Sensitive Data Protection 會考量資料資產中資料的機密程度,以及是否有保護該資料的存取權控管機制。發現項目的嚴重程度是 Sensitive Data Protection 在產生資料設定檔時計算出的資料風險等級。
找出生成延遲
視貴機構規模而定,啟用機密資料探索功能後,Security Command Center 可能會在幾分鐘內開始顯示 Sensitive Data Protection 發現項目。如果貴機構規模較大,或有影響發現項目生成的特定設定,Security Command Center 最多可能需要 12 小時,才會顯示初始發現項目。
隨後,Sensitive Data Protection 會在探索服務掃描資源後幾分鐘內,在 Security Command Center 中產生發現項目。
將資料剖析檔傳送至 Security Command Center
以下是將資料剖析檔發布至 Security Command Center 的高階工作流程。
查看 Security Command Center 的啟用類型。 視 Security Command Center 服務層級而定,您可能會有預設的組織層級探索服務訂閱方案。
如果 Security Command Center 尚未啟用,請啟用。
確認 Security Command Center 已設定為接受 Sensitive Data Protection 的發現項目,也就是在 Security Command Center 中啟用 Sensitive Data Protection 做為整合式服務。詳情請參閱 Security Command Center 說明文件中的「新增整合服務」。Google Cloud
為要掃描的每個資料來源建立探索掃描設定,藉此啟用探索功能。在掃描設定中,請務必啟用「發布至 Security Command Center」選項。
如果現有的探索掃描設定不會將資料剖析檔發布至 Security Command Center,請參閱本頁面的「在現有設定中啟用發布至 Security Command Center 的功能」。
在機構中啟用探索功能,並使用預設設定
如要啟用探索功能,請為每個要掃描的資料來源建立探索設定。建立設定後,您可以編輯設定。如要在建立設定的過程中自訂設定,請參閱「建立掃描設定」一文。
如要在機構層級啟用探索功能並使用預設設定,請按照下列步驟操作:
前往 Google Cloud 控制台的「啟用探索」頁面。
確認您正在查看啟用 Security Command Center 的機構。
在「啟用探索」窗格的「服務代理容器」欄位中,設定要當做服務代理容器使用的專案。系統會在專案中建立服務代理,並自動授予必要的探索角色。
如要自動建立專案做為服務代理容器,請按照下列步驟操作:
- 點選「建立」。
- 指定新專案的名稱、帳單帳戶和上層機構。視需要編輯專案 ID。
- 點選「建立」。
系統可能需要幾分鐘的時間,才會將角色授予新專案的服務代理程式。
如要選取先前用於探索作業的專案,請按一下「服務代理容器」欄位並選取專案。
如要查看預設設定,請按一下「展開」圖示 。
在「啟用探索」部分中,針對要啟用的每種探索類型,按一下「啟用」。啟用探索類型會產生下列影響:
- BigQuery:為整個機構的 BigQuery 資料表建立剖析探索設定。Sensitive Data Protection 會開始剖析 BigQuery 資料,並將剖析檔傳送至 Security Command Center。
- Cloud SQL:為剖析整個機構的 Cloud SQL 資料表建立探索設定。Sensitive Data Protection 會開始為每個 Cloud SQL 執行個體建立預設連線。這項程序可能需要數小時才能完成。預設連線準備就緒後,您必須更新每項連線,提供正確的資料庫使用者憑證,授予 Sensitive Data Protection 存取 Cloud SQL 執行個體的權限。
- 密鑰/憑證安全漏洞:建立探索設定,偵測並回報 Cloud Run 環境變數中未加密的密鑰。Sensitive Data Protection 開始掃描環境變數。
- Cloud Storage:為整個機構的 Cloud Storage bucket 建立剖析探索設定。Sensitive Data Protection 會開始剖析 Cloud Storage 資料,並將剖析檔傳送至 Security Command Center。
- Vertex AI 資料集:為整個機構的 Vertex AI 資料集建立剖析探索設定。Sensitive Data Protection 會開始剖析 Vertex AI 資料集,並將剖析檔傳送至 Security Command Center。
Amazon S3:為 AWS 連接器可存取的所有 Amazon S3 資料建立探索設定,以進行剖析。
Azure Blob 儲存體:建立探索設定,剖析 Azure 連接器可存取的所有 Azure Blob 儲存體資料。
如要查看新建立的探索設定,請按一下「前往探索設定」。
如果您已啟用 Cloud SQL 探索功能,系統會以暫停模式建立探索設定,並顯示缺少憑證的錯誤訊息。請參閱「管理用於探索的連線」,將必要的 IAM 角色授予服務代理程式,並為每個 Cloud SQL 執行個體提供資料庫使用者憑證。
關閉窗格。
在現有設定中啟用發布至 Security Command Center 的功能
如果現有的探索掃描設定未設為將探索結果發布至 Security Command Center,請按照下列步驟操作:
在「動作」部分,啟用「發布至 Security Command Center」。
按一下 [儲存]。
查詢與資料剖析檔相關的 Security Command Center 發現項目
以下是範例查詢,可用於在 Security Command Center 中尋找相關的 Data
sensitivity 和 Data risk 發現項目。您可以在「Query editor」(查詢編輯器) 欄位中輸入這些查詢。如要進一步瞭解查詢編輯器,請參閱「在 Security Command Center 資訊主頁中編輯發現項目查詢」。
列出特定 BigQuery 資料表的所有 Data sensitivity 和 Data risk 發現項目
舉例來說,如果 Security Command Center 偵測到 BigQuery 資料表儲存至其他專案的事件,這項查詢就很有用。在此情況下,系統會產生 Exfiltration: BigQuery Data
Exfiltration 發現項目,其中包含遭外洩資料表的完整顯示名稱。您可以搜尋與表格相關的任何 Data sensitivity 和 Data risk 發現項目。查看資料表計算出的敏感程度和資料風險等級,並據此規劃因應措施。
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"
更改下列內容:
- PROJECT_ID:包含 BigQuery 資料表的專案 ID
- DATASET_ID:資料表的資料集 ID
- TABLE_ID:資料表 ID
列出特定 Cloud SQL 執行個體的所有 Data sensitivity 和 Data risk 發現項目
舉例來說,如果 Security Command Center 偵測到某個事件,其中即時 Cloud SQL 執行個體資料已匯出至組織外部的 Cloud Storage bucket,這項查詢就非常實用。在本例中,系統會產生 Exfiltration: Cloud SQL Data
Exfiltration 發現項目,其中包含遭外洩的執行個體完整資源名稱。您可以搜尋與執行個體相關的任何 Data sensitivity 和 Data risk 發現項目。查看執行個體的計算敏感度和資料風險等級,並據此規劃因應措施。
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"
更改下列內容:
- INSTANCE_NAME:Cloud SQL 執行個體名稱的一部分
列出所有嚴重性等級為 High 的 Data risk 和 Data sensitivity 發現項目
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"
後續步驟
- 瞭解如何在 Security Command Center 中自動依據資料機密程度設定資源優先順序值。
- 瞭解如何向 Security Command Center 報告環境變數中是否有密碼。