Halaman ini memberikan ringkasan tingkat tinggi tentang tindakan yang harus Anda lakukan jika Anda ingin profil data menghasilkan temuan di Security Command Center. Halaman ini juga menyediakan contoh kueri yang dapat Anda gunakan untuk menemukan temuan yang dihasilkan.
Tentang profil data
Anda dapat mengonfigurasi Sensitive Data Protection untuk otomatis membuat profil tentang data di seluruh organisasi, folder, atau project. Profil data berisi metrik dan metadata tentang data Anda serta membantu menentukan lokasi data sensitif dan berisiko tinggi. Sensitive Data Protection melaporkan metrik ini pada berbagai tingkat detail. Untuk mengetahui informasi tentang jenis data yang dapat Anda buat profilnya, lihat Resource yang didukung.
Manfaat memublikasikan profil data ke Security Command Center
Fitur ini menawarkan manfaat berikut di Security Command Center:
Anda dapat menggunakan temuan Sensitive Data Protection untuk mengidentifikasi dan memulihkan kerentanan dan kesalahan konfigurasi di resource Anda yang dapat mengekspos data sensitif ke publik atau ke pelaku kejahatan.
Anda dapat menggunakan temuan Sensitive Data Protection untuk menambahkan konteks ke proses triase dan memprioritaskan ancaman yang menargetkan resource yang berisi data sensitif.
Anda dapat mengonfigurasi fitur simulasi jalur serangan untuk otomatis memprioritaskan resource sesuai dengan sensitivitas data yang berisi resource tersebut. Untuk mengetahui informasi selengkapnya, lihat Menetapkan nilai prioritas resource secara otomatis berdasarkan sensitivitas data.
Temuan Security Command Center yang dihasilkan
Saat Anda mengonfigurasi layanan penemuan untuk memublikasikan profil data ke Security Command Center, setiap profil data tabel atau profil data penyimpanan file akan menghasilkan temuan Security Command Center berikut.
Temuan kerentanan dari layanan penemuan
Layanan penemuan Sensitive Data Protection membantu Anda menentukan apakah Anda menyimpan data yang sangat sensitif dan tidak dilindungi.
| Kategori | Ringkasan |
|---|---|
|
Deskripsi temuan: Resource yang ditentukan memiliki data sensitivitas tinggi yang dapat diakses oleh siapa saja di internet. Aset yang didukung:
Pemulihan: Untuk Google Cloud data, hapus Untuk data Amazon S3, konfigurasi setelan blokir akses publik atau perbarui ACL objek untuk menolak akses baca publik. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi setelan blokir akses publik untuk bucket S3 dan Mengonfigurasi ACL di dokumentasi AWS. Untuk data Azure Blob Storage, hapus akses publik ke kontainer dan blob. Untuk mengetahui informasi selengkapnya, lihat Ringkasan: Memulihkan akses baca anonim untuk data blob di dokumentasi Azure. Standar kepatuhan: Tidak dipetakan |
|
Deskripsi temuan: Ada secret—seperti sandi, token autentikasi, dan Google Cloud kredensial—dalam variabel lingkungan. Untuk mengaktifkan detektor ini, lihat Melaporkan secret dalam variabel lingkungan ke Security Command Center di dokumentasi Sensitive Data Protection. Aset yang didukung: Pemulihan: Untuk variabel lingkungan fungsi Cloud Run, hapus secret dari variabel lingkungan dan simpan di Secret Manager sebagai gantinya. Untuk variabel lingkungan revisi layanan Cloud Run, pindahkan semua traffic dari revisi, lalu hapus revisi. Standar kepatuhan:
|
|
Deskripsi temuan: Ada secret—seperti sandi, token autentikasi, dan kredensial cloud—di resource yang ditentukan. Aset yang didukung:
Pemulihan:
Standar kepatuhan: Tidak dipetakan |
Temuan kesalahan konfigurasi dari layanan penemuan
Layanan penemuan Sensitive Data Protection membantu Anda menentukan apakah Anda memiliki kesalahan konfigurasi yang mungkin mengekspos data sensitif.
| Kategori | Ringkasan |
|---|---|
|
Deskripsi temuan: Resource yang ditentukan memiliki data sensitivitas tinggi atau sensitivitas sedang dan resource tidak menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Aset yang didukung:
Pemulihan:
Standar kepatuhan: Tidak dipetakan |
Temuan observasi dari layanan penemuan
Data sensitivity- Indikasi tingkat sensitivitas data dalam aset data tertentu. Data bersifat sensitif jika berisi PII atau elemen lain yang mungkin memerlukan kontrol atau pengelolaan tambahan. Tingkat keparahan temuan adalah tingkat sensitivitas yang dihitung Sensitive Data Protection saat membuat profil data.
Data risk- Risiko yang terkait dengan data dalam statusnya saat ini. Saat menghitung risiko data, Sensitive Data Protection mempertimbangkan tingkat sensitivitas data dalam aset data dan keberadaan kontrol akses untuk melindungi data tersebut. Tingkat keparahan temuan adalah tingkat risiko data yang Sensitive Data Protection dihitung saat membuat profil data.
Latensi pembuatan temuan
Bergantung pada ukuran organisasi Anda, temuan Sensitive Data Protection dapat mulai muncul di Security Command Center dalam beberapa menit setelah Anda mengaktifkan penemuan data sensitif. Untuk organisasi yang lebih besar atau organisasi dengan konfigurasi tertentu yang memengaruhi pembuatan temuan, mungkin diperlukan waktu hingga 12 jam sebelum temuan awal muncul di Security Command Center.
Selanjutnya, Sensitive Data Protection akan membuat temuan di Security Command Center dalam beberapa menit setelah layanan penemuan memindai resource Anda.
Mengirim profil data ke Security Command Center
Berikut adalah alur kerja tingkat tinggi untuk memublikasikan profil data ke Security Command Center.
Periksa jenis aktivasi Security Command Center. Anda mungkin memiliki langganan penemuan tingkat organisasi default, bergantung pada paket layanan Security Command Center Anda.
Jika Security Command Center tidak diaktifkan, aktifkan.
Pastikan Security Command Center dikonfigurasi untuk menerima temuan dari Sensitive Data Protection; yaitu, Sensitive Data Protection diaktifkan di Security Command Center sebagai layanan terintegrasi. Untuk mengetahui informasi selengkapnya, lihat Menambahkan Google Cloud layanan terintegrasi di dokumentasi Security Command Center.
Aktifkan penemuan dengan membuat konfigurasi pemindaian penemuan untuk setiap sumber data yang ingin Anda pindai. Dalam konfigurasi pemindaian, pastikan Anda mengaktifkan opsi Publikasikan ke Security Command Center.
Jika Anda memiliki konfigurasi pemindaian penemuan yang ada dan tidak memublikasikan profil data ke Security Command Center, lihat Mengaktifkan publikasi ke Security Command Center dalam konfigurasi yang ada di halaman ini.
Mengaktifkan penemuan dengan setelan default di organisasi
Untuk mengaktifkan penemuan, Anda membuat konfigurasi penemuan untuk setiap data sumber yang ingin Anda pindai. Anda dapat mengedit konfigurasi setelah membuatnya. Untuk menyesuaikan setelan dalam proses pembuatan konfigurasi, lihat Membuat konfigurasi pemindaian sebagai gantinya.
Untuk mengaktifkan penemuan dengan setelan default di tingkat organisasi, ikuti langkah-langkah berikut:
Di Google Cloud konsol, buka halaman Sensitive Data Protection Aktifkan penemuan.
Pastikan Anda melihat organisasi tempat Anda mengaktifkan Security Command Center.
Di panel Aktifkan penemuan, di kolom Kontainer agen layanan , tetapkan project yang akan digunakan sebagai kontainer agen layanan. Dalam project ini, sistem akan membuat agen layanan dan otomatis memberikan peran penemuan yang diperlukan.
Untuk otomatis membuat project yang akan digunakan sebagai kontainer agen layanan, ikuti langkah-langkah berikut:
- Klik Buat.
- Tentukan nama, akun penagihan, dan organisasi induk project baru. Secara opsional, edit project ID.
- Klik Buat.
Diperlukan waktu beberapa menit agar peran diberikan ke agen layanan project baru.
Untuk memilih project yang sebelumnya Anda gunakan untuk operasi penemuan, klik kolom Kontainer agen layanan , lalu pilih project.
Untuk meninjau setelan default, klik ikon luaskan .
Di bagian Aktifkan penemuan, untuk setiap jenis penemuan yang ingin Anda aktifkan, klik Aktifkan. Mengaktifkan jenis penemuan akan melakukan hal berikut:
- BigQuery: Membuat konfigurasi penemuan untuk membuat profil tabel BigQuery di seluruh organisasi. Sensitive Data Protection mulai membuat profil data BigQuery Anda dan mengirimkan profil ke Security Command Center.
- Cloud SQL: Membuat konfigurasi penemuan untuk membuat profil tabel Cloud SQL di seluruh organisasi. Sensitive Data Protection mulai membuat koneksi default untuk setiap instance Cloud SQL Anda. Proses ini dapat memerlukan waktu beberapa jam. Saat koneksi default siap, Anda harus memberikan akses Sensitive Data Protection ke instance Cloud SQL Anda dengan memperbarui setiap koneksi menggunakan kredensial pengguna database yang tepat.
- Kerentanan secret/kredensial: Membuat konfigurasi penemuan untuk mendeteksi dan melaporkan secret yang tidak dienkripsi dalam variabel lingkungan Cloud Run Sensitive Data Protection mulai memindai variabel lingkungan Anda.
- Cloud Storage: Membuat konfigurasi penemuan untuk membuat profil bucket Cloud Storage di seluruh organisasi. Sensitive Data Protection mulai membuat profil data Cloud Storage Anda dan mengirimkan profil ke Security Command Center.
- Set data Vertex AI: Membuat konfigurasi penemuan untuk membuat profil set data Vertex AI di seluruh organisasi. Sensitive Data Protection mulai membuat profil set data Vertex AI Anda dan mengirimkan profil ke Security Command Center.
Amazon S3: Membuat konfigurasi penemuan untuk membuat profil semua data Amazon S3 yang dapat diakses oleh konektor AWS Anda.
Azure Blob Storage: Membuat konfigurasi penemuan untuk membuat profil semua data Azure Blob Storage yang dapat diakses oleh konektor Azure Anda.
Untuk melihat konfigurasi penemuan yang baru dibuat, klik Buka konfigurasi penemuan.
Jika Anda mengaktifkan penemuan Cloud SQL, konfigurasi penemuan akan dibuat dalam mode dijeda dengan error yang menunjukkan tidak adanya kredensial. Lihat Mengelola koneksi untuk digunakan dengan penemuan untuk memberikan peran IAM yang diperlukan ke agen layanan Anda dan memberikan kredensial pengguna database untuk setiap instance Cloud SQL.
Tutup panel.
Mengaktifkan publikasi ke Security Command Center dalam konfigurasi yang ada
Jika Anda memiliki konfigurasi pemindaian penemuan yang ada dan tidak ditetapkan untuk memublikasikan hasil penemuan ke Security Command Center, ikuti langkah-langkah berikut:
Di bagian Tindakan, aktifkan Publikasikan ke Security Command Center.
Klik Simpan.
Membuat kueri untuk temuan Security Command Center yang terkait dengan profil data
Berikut adalah contoh kueri yang dapat Anda gunakan untuk menemukan temuan Data
sensitivity dan Data risk yang relevan di Security Command Center. Anda dapat memasukkan kueri ini di kolom Editor kueri. Untuk mengetahui informasi selengkapnya tentang
editor kueri, lihat Mengedit kueri temuan di dasbor Security Command Center.
Mencantumkan semua temuan Data sensitivity dan Data risk untuk tabel BigQuery tertentu
Kueri ini berguna, misalnya, jika Security Command Center mendeteksi peristiwa saat tabel BigQuery disimpan ke project lain. Dalam hal ini,
temuan Exfiltration: BigQuery Data
Exfiltration
akan dibuat, dan berisi nama tampilan lengkap tabel yang
dieksfiltrasi. Anda dapat menelusuri temuan Data sensitivity dan Data risk yang terkait dengan tabel. Lihat tingkat sensitivitas dan risiko data yang dihitung untuk tabel dan rencanakan respons Anda.
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"
Ganti kode berikut:
- PROJECT_ID: ID project yang berisi tabel BigQuery
- DATASET_ID: ID set data tabel
- TABLE_ID: ID tabel
Mencantumkan semua temuan Data sensitivity dan Data risk untuk instance Cloud SQL tertentu
Kueri ini berguna, misalnya, jika Security Command Center mendeteksi peristiwa saat data instance Cloud SQL aktif diekspor ke bucket Cloud Storage di luar organisasi. Dalam hal ini, temuan Exfiltration: Cloud SQL Data
Exfiltration
akan dibuat, dan berisi nama resource lengkap instance
yang dieksfiltrasi. Anda dapat menelusuri temuan Data sensitivity dan Data risk yang terkait dengan instance. Lihat tingkat sensitivitas dan risiko data yang dihitung untuk instance dan rencanakan respons Anda.
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"
Ganti kode berikut:
- INSTANCE_NAME: sebagian nama instance Cloud SQL
Mencantumkan semua temuan Data risk dan Data sensitivity dengan tingkat keparahan High
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"
Langkah berikutnya
- Pelajari cara Menetapkan nilai prioritas resource secara otomatis berdasarkan sensitivitas data di Security Command Center.
- Pelajari cara melaporkan keberadaan secret dalam variabel lingkungan ke Security Command Center.