בדף הזה מוצגת סקירה כללית של הפעולות שצריך לבצע אם רוצים שפרופילי הנתונים יפיקו ממצאים בSecurity Command Center. בדף הזה יש גם דוגמאות לשאילתות שאפשר להשתמש בהן כדי למצוא את הממצאים שנוצרו.
מידע על פרופילי נתונים
אתם יכולים להגדיר את Sensitive Data Protection כך שיפיק באופן אוטומטי פרופילים של נתונים בארגון, בתיקייה או בפרויקט. פרופילים של נתונים מכילים מדדים ומטא-נתונים על הנתונים שלכם, ועוזרים לכם לקבוע איפה נמצאים נתונים רגישים ונתונים בסיכון גבוה. הדוחות של Sensitive Data Protection כוללים את המדדים האלה ברמות שונות של פירוט. מידע על סוגי הנתונים שאפשר ליצור להם פרופיל זמין במאמר בנושא משאבים נתמכים.
היתרונות של פרסום פרופילי נתונים ב-Security Command Center
התכונה הזו מציעה את היתרונות הבאים ב-Security Command Center:
אתם יכולים להשתמש בממצאים של Sensitive Data Protection כדי לזהות ולתקן נקודות חולשה והגדרות שגויות במשאבים שלכם, שעלולות לחשוף מידע אישי רגיש לציבור או לגורמים זדוניים.
אפשר להשתמש בתוצאות של Sensitive Data Protection כדי להוסיף הקשר לתהליך המיון ולתת עדיפות לאיומים שמטרגטים מקורות שמכילים נתונים רגישים.
אתם יכולים להגדיר את התכונה 'סימולציה של נתיב התקפה' כדי לתעדף באופן אוטומטי את המשאבים בהתאם לרגישות הנתונים שהם מכילים. מידע נוסף זמין במאמר בנושא הגדרת ערכי עדיפות של משאבים באופן אוטומטי לפי רגישות הנתונים.
ממצאים שנוצרו ב-Security Command Center
כשמגדירים את שירות הגילוי לפרסום פרופילי נתונים ב-Security Command Center, כל פרופיל נתונים של טבלה או פרופיל נתונים של מאגר קבצים יוצר את הממצאים הבאים ב-Security Command Center.
ממצאים של נקודות חולשה משירות הגילוי
שירות הגילוי Sensitive Data Protection עוזר לכם לקבוע אם אתם מאחסנים נתונים רגישים מאוד שלא מוגנים.
| קטגוריה | סיכום |
|---|---|
|
תיאור: במשאב שצוין יש נתונים רגישים מאוד שאפשר לגשת אליהם מכל מקום באינטרנט. נכסים נתמכים:
תיקון: לגבי נתוני Google Cloud , צריך להסיר את לגבי נתונים ב-Amazon S3, צריך להגדיר חסימה של גישה ציבורית או לעדכן את רשימת ה-ACL של האובייקט כדי למנוע גישה ציבורית לקריאה. מידע נוסף זמין במאמרים הגדרת חסימת גישה ציבורית לקטגוריות S3 והגדרת רשימות ACL במסמכי AWS. לגבי נתונים ב-Azure Blob Storage, צריך להסיר את הגישה הציבורית למאגר ול-Blobs. מידע נוסף זמין במאמר Overview: Remediating anonymous read access for blob data במסמכי התיעוד של Azure. תקני תאימות: לא ממופים |
|
מציאת תיאור: יש secrets – כמו סיסמאות, אסימוני אימות ופרטי כניסה ל- Google Cloud – במשתני סביבה. הוראות להפעלת אמצעי הגילוי הזה מופיעות במאמר דיווח על סודות במשתני סביבה אל Security Command Center במסמכי התיעוד של Sensitive Data Protection. נכסים נתמכים: תיקון: במשתני הסביבה של פונקציות Cloud Run, צריך להסיר את הסוד ממשתנה הסביבה ולאחסן אותו ב-Secret Manager במקום זאת. במשתני סביבה של גרסת שירות ב-Cloud Run, מעבירים את כל התנועה מהגרסה ואז מוחקים אותה. תקני תאימות:
|
|
מציאת תיאור: יש סודות – כמו סיסמאות, אסימוני אימות ופרטי כניסה לענן – במשאב שצוין. נכסים נתמכים:
תיקון:
תקני תאימות: לא ממופים |
ממצאים של הגדרות שגויות משירות הגילוי
שירות הגילוי של Sensitive Data Protection עוזר לכם לקבוע אם יש לכם הגדרות שגויות שעשויות לחשוף מידע אישי רגיש.
| קטגוריה | סיכום |
|---|---|
|
תיאור הממצא: במשאב שצוין יש נתונים ברמת רגישות גבוהה או בינונית, ולא נעשה בו שימוש במפתח הצפנה בניהול הלקוח (CMEK). נכסים נתמכים:
תיקון:
תקני תאימות: לא ממופים |
ממצאי התצפיות משירות הגילוי
Data sensitivity- אינדיקציה לרמת הרגישות של הנתונים בנכס נתונים מסוים. נתונים נחשבים רגישים אם הם מכילים פרטים אישיים מזהים (PII) או רכיבים אחרים שעשויים לדרוש בקרה או ניהול נוספים. חומרת הממצא היא רמת הרגישות שחושבה על ידי Sensitive Data Protection כשנוצר פרופיל הנתונים.
Data risk- הסיכון שמשויך לנתונים במצבם הנוכחי. כשמחשבים את הסיכון לנתונים, Sensitive Data Protection לוקח בחשבון את רמת הרגישות של הנתונים בנכס הנתונים ואת קיומם של אמצעים לבקרת גישה כדי להגן על הנתונים האלה. רמת החומרה של הממצא היא רמת הסיכון לנתונים שחושבה על ידי Sensitive Data Protection במהלך יצירת פרופיל הנתונים.
איך מוצאים את זמן האחזור של יצירת התוכן
בהתאם לגודל הארגון, הממצאים של Sensitive Data Protection יכולים להתחיל להופיע ב-Security Command Center תוך כמה דקות אחרי שמפעילים את האפשרות 'מיון מידע אישי רגיש'. בארגונים גדולים או בארגונים עם הגדרות ספציפיות שמשפיעות על יצירת הממצאים, יכול להיות שיחלפו עד 12 שעות לפני שהממצאים הראשוניים יופיעו ב-Security Command Center.
לאחר מכן, Sensitive Data Protection יוצר ממצאים ב-Security Command Center תוך כמה דקות אחרי ששירות הגילוי סורק את המשאבים.
שליחת פרופילי נתונים אל Security Command Center
זהו תרשים זרימה כללי של תהליך פרסום פרופילי נתונים ב-Security Command Center.
בדיקת סוג ההפעלה של Security Command Center יכול להיות שיש לכם מינוי discovery ברמת הארגון כברירת מחדל, בהתאם לרמת השירות של Security Command Center.
אם Security Command Center לא מופעל, צריך להפעיל אותו.
מוודאים ש-Security Command Center מוגדר לקבל ממצאים מ-Sensitive Data Protection, כלומר ש-Sensitive Data Protection מופעל ב-Security Command Center כשירות משולב. מידע נוסף זמין במאמר הוספת שירות משולב במסמכי התיעוד של Security Command Center.Google Cloud
כדי להפעיל את הגילוי, יוצרים הגדרת סריקה לגילוי לכל מקור נתונים שרוצים לסרוק. בהגדרות הסריקה, מוודאים שהאפשרות פרסום ב-Security Command Center מופעלת.
אם יש לכם הגדרה קיימת של סריקת גילוי שלא מפרסמת פרופילי נתונים ב-Security Command Center, תוכלו לעיין בקטע הפעלת פרסום ב-Security Command Center בהגדרה קיימת בדף הזה.
הפעלת גילוי עם הגדרות ברירת מחדל בארגון
כדי להפעיל את האפשרות 'גילוי', צריך ליצור הגדרת גילוי לכל מקור נתונים שרוצים לסרוק. אפשר לערוך את ההגדרות אחרי שיוצרים אותן. כדי להתאים אישית את ההגדרות במהלך יצירת ההגדרה, אפשר לעיין במאמר יצירת הגדרת סריקה.
כדי להפעיל את האפשרות 'גילוי' עם הגדרות ברירת מחדל ברמת הארגון, מבצעים את השלבים הבאים:
במסוף Google Cloud , עוברים לדף Sensitive Data Protection (הגנה על נתונים רגישים) Enable discovery (הפעלת גילוי).
מוודאים שאתם צופים בארגון שבו הפעלתם את Security Command Center.
בחלונית Enable discovery, בשדה Service agent container, מגדירים את הפרויקט שישמש כמאגר של סוכני שירות. בפרויקט הזה, המערכת יוצרת סוכן שירות ומקצה לו באופן אוטומטי את תפקידי הגילוי הנדרשים.
כדי ליצור באופן אוטומטי פרויקט לשימוש כמאגר של סוכן השירות:
- לוחצים על יצירה.
- מציינים את השם, החשבון לחיוב והארגון הראשי של הפרויקט החדש. אם רוצים, עורכים את מזהה הפרויקט.
- לוחצים על יצירה.
יכול להיות שיחלפו כמה דקות עד שהתפקידים יוקצו לסוכן השירות של הפרויקט החדש.
כדי לבחור פרויקט שהשתמשתם בו בעבר לפעולות גילוי, לוחצים על השדה Service agent container ובוחרים את הפרויקט.
כדי לראות את הגדרות ברירת המחדל, לוחצים על סמל ההרחבה .
בקטע Enable discovery, לוחצים על Enable ליד כל סוג של Discovery שרוצים להפעיל. הפעלת סוג גילוי מסוים גורמת לפעולות הבאות:
- BigQuery: יוצר הגדרת גילוי ליצירת פרופילים של טבלאות ב-BigQuery בכל הארגון. השירות Sensitive Data Protection מתחיל ליצור פרופילים של נתוני BigQuery ושולח את הפרופילים ל-Security Command Center.
- Cloud SQL: יצירת הגדרת גילוי ליצירת פרופילים של טבלאות Cloud SQL בארגון. Sensitive Data Protection התחילה יצירה של חיבורי ברירת מחדל לכל אחת מהמכונות של Cloud SQL. התהליך הזה יכול להימשך כמה שעות. כשהחיבורים שמוגדרים כברירת מחדל מוכנים, צריך לתת ל-Sensitive Data Protection גישה למכונות Cloud SQL. לשם כך, מעדכנים כל חיבור עם פרטי הכניסה המתאימים של משתמש מסד הנתונים.
- פגיעויות של סודות/פרטי כניסה: יוצרת הגדרת גילוי לזיהוי ולדיווח על סודות לא מוצפנים במשתני סביבה של Cloud Run. השירות Sensitive Data Protection מתחיל לסרוק את משתני הסביבה.
- Cloud Storage: יוצר תצורת גילוי ליצירת פרופילים של קטגוריות Cloud Storage בארגון. השירות Sensitive Data Protection מתחיל ליצור פרופילים של הנתונים ב-Cloud Storage ושולח את הפרופילים ל-Security Command Center.
- Vertex AI datasets: יוצרת הגדרת גילוי ליצירת פרופיל של מערכי נתונים של Vertex AI בכל הארגון. השירות Sensitive Data Protection מתחיל ליצור פרופילים של מערכי הנתונים שלכם ב-Vertex AI ושולח את הפרופילים ל-Security Command Center.
Amazon S3: יוצרת הגדרת גילוי ליצירת פרופיל של כל הנתונים ב-Amazon S3 שלמחבר AWS יש גישה אליהם.
Azure Blob Storage: יוצר תצורת גילוי ליצירת פרופיל של כל הנתונים ב-Azure Blob Storage שהמחבר של Azure יכול לגשת אליהם.
כדי לראות את הגדרות הגילוי החדשות שנוצרו, לוחצים על להגדרות הגילוי.
אם הפעלתם את האפשרות 'גילוי Cloud SQL', הגדרת הגילוי נוצרת במצב מושהה עם שגיאות שמציינות היעדר פרטי כניסה. בקטע ניהול חיבורים לשימוש בתכונת הגילוי מוסבר איך להעניק לסוכן השירות את תפקידי ה-IAM הנדרשים ולספק פרטי כניסה של משתמש במסד הנתונים לכל מופע של Cloud SQL.
סוגרים את החלונית.
הפעלת פרסום ב-Security Command Center בהגדרה קיימת
אם יש לכם הגדרה קיימת של סריקת גילוי שלא מוגדרת לפרסום תוצאות הגילוי ב-Security Command Center, אתם צריכים לפעול לפי השלבים הבאים:
בקטע פעולות, מפעילים את האפשרות פרסום ב-Security Command Center.
לוחצים על Save.
שאילתה לממצאים של Security Command Center שקשורים לפרופילי נתונים
אלה דוגמאות לשאילתות שאפשר להשתמש בהן כדי למצוא ממצאים רלוונטיים של Data
sensitivity ושל Data risk ב-Security Command Center. אפשר להזין את השאילתות האלה בשדה עורך השאילתות. מידע נוסף על עורך השאילתות זמין במאמר עריכת שאילתת ממצאים בלוח הבקרה של Security Command Center.
הצגת כל הממצאים של Data sensitivity ושל Data risk בטבלה ב-BigQuery מסוימת
השאילתה הזו שימושית, למשל, אם Security Command Center מזהה אירוע שבו טבלה ב-BigQuery נשמרה בפרויקט אחר. במקרה כזה, נוצרת תוצאת חיפוש Exfiltration: BigQuery Data
Exfiltration, והיא מכילה את השם המוצג המלא של הטבלה שחולצה. אתם יכולים לחפש כל ממצא של Data sensitivity ושל Data risk שקשור לטבלה. מעיינים ברמות הרגישות וסיכון הנתונים שחושבו עבור הטבלה ומתכננים את התגובה בהתאם.
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"
מחליפים את מה שכתוב בשדות הבאים:
- PROJECT_ID: מזהה הפרויקט שמכיל את הטבלה ב-BigQuery
- DATASET_ID: מזהה מערך הנתונים של הטבלה
- TABLE_ID: מזהה הטבלה
הצגת כל הממצאים של Data sensitivity ושל Data risk עבור מכונה מסוימת של Cloud SQL
השאילתה הזו שימושית, למשל, אם Security Command Center מזהה אירוע שבו נתוני מכונה פעילה של Cloud SQL יוצאו לקטגוריה של Cloud Storage מחוץ לארגון. במקרה כזה, נוצר ממצא Exfiltration: Cloud SQL Data
Exfiltration, והוא מכיל את שם המשאב המלא של המופע שבו בוצעה האקספילטרציה. אפשר לחפש כל Data sensitivity וData risk
ממצא שקשור למופע. אפשר לראות את רמות הרגישות וסיכון הנתונים שחושבו עבור המופע ולתכנן את התגובה בהתאם.
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"
מחליפים את מה שכתוב בשדות הבאים:
- INSTANCE_NAME: חלק מהשם של מופע Cloud SQL
תפרט את כל הממצאים מסוג Data risk ו-Data sensitivity ברמת חומרה High
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"
המאמרים הבאים
- איך מגדירים ערכי עדיפות של משאבים באופן אוטומטי לפי רגישות הנתונים ב-Security Command Center
- איך מדווחים על נוכחות של סודות במשתני סביבה ל-Security Command Center