Questa pagina descrive come configurare il rilevamento dei dati di BigQuery a livello di organizzazione o cartella. Se vuoi profilare un progetto, consulta Profilare i dati di BigQuery in un singolo progetto.
Per ulteriori informazioni sul servizio di rilevamento, consulta Profili dati.
Per avviare la profilazione dei dati, devi creare una configurazione di scansione.
Prima di iniziare
Conferma di disporre delle autorizzazioni IAM necessarie per configurare i profili dati a livello di organizzazione.
Se non hai il ruolo Amministratore organizzazione (
roles/resourcemanager.organizationAdmin
) o Amministratore sicurezza (roles/iam.securityAdmin
), puoi comunque creare una configurazione di scansione. Tuttavia, dopo aver creato la configurazione di scansione, qualcuno che dispone di uno di questi ruoli deve concedere l'accesso alla profilazione dei dati all'agente di servizio.Devi disporre di un modello di ispezione in ogni regione in cui esistono dati da profilare. Se vuoi utilizzare un singolo modello per più regioni, puoi usare un modello archiviato nella regione
global
. Se i criteri dell'organizzazione impediscono di creare un modello di ispezioneglobal
, devi impostare un modello di ispezione dedicato per ogni regione. Per saperne di più, consulta Considerazioni sulla residenza dei dati.Questa attività consente di creare un modello di ispezione solo nella regione
global
. Se hai bisogno di modelli di ispezione dedicati per una o più regioni, devi crearli prima di eseguire questa attività.Puoi configurare Sensitive Data Protection in modo da inviare notifiche a Pub/Sub quando si verificano determinati eventi, ad esempio quando Sensitive Data Protection profila una nuova tabella. Per utilizzare questa funzionalità, devi prima creare un argomento Pub/Sub.
Per generare profili di dati, è necessario un container dell'agente di servizio e un agente di servizio al suo interno. Questa attività consente di crearli automaticamente.
Creazione di una configurazione di scansione
Vai alla pagina Crea configurazione di scansione.
Vai alla tua organizzazione. Sulla barra degli strumenti, fai clic sul selettore dei progetti e seleziona la tua organizzazione.
Le seguenti sezioni forniscono ulteriori informazioni sui passaggi nella pagina Crea configurazione di scansione. Alla fine di ogni sezione, fai clic su Continua.
Seleziona un tipo di rilevamento
Seleziona BigQuery.
Seleziona ambito
Esegui una di queste operazioni:- Per configurare la profilazione a livello di organizzazione, seleziona Esegui la scansione dell'intera organizzazione.
- Per configurare la profilazione a livello di una cartella, seleziona Esegui la scansione della cartella selezionata. Fai clic su Sfoglia e seleziona la cartella.
Gestisci pianificazioni
Se la frequenza di profilazione predefinita è adatta alle tue esigenze, puoi saltare questa sezione della pagina Crea configurazione di scansione. Questa sezione è utile se vuoi apportare modifiche dettagliate alla frequenza di profilazione di tutti i tuoi dati o di alcuni sottoinsiemi di dati. È utile anche se non vuoi che determinate tabelle vengano profilate o se vuoi che vengano profilate una volta e poi mai più.
In questa sezione puoi creare filtri per specificare determinati sottoinsiemi di dati di tuo interesse. Per questi sottoinsiemi, devi definire se Sensitive Data Protection deve profilare le tabelle e con quale frequenza. Qui devi specificare anche i tipi di modifiche che dovrebbero causare una nuova profilazione di una tabella. Infine, devi specificare le condizioni che ogni tabella nei sottoinsiemi deve soddisfare prima che la protezione dei dati sensibili inizi a profilare la tabella.
Per apportare modifiche dettagliate alla frequenza di profilazione, procedi nel seguente modo:
- Fai clic su Aggiungi pianificazione.
Nella sezione Filtri, definisci uno o più filtri che specificano quali tabelle sono nell'ambito della pianificazione.
Specifica almeno una delle seguenti opzioni:
- Un ID progetto o un'espressione regolare che specifica uno o più progetti.
- Un ID set di dati o un'espressione regolare che specifica uno o più set di dati.
- Un ID tabella o un'espressione regolare che specifica una o più tabelle.
Le espressioni regolari devono seguire la sintassi RE2.
Ad esempio, se vuoi che tutte le tabelle di un progetto siano incluse nel filtro, specifica l'ID del progetto e lascia vuoti gli altri due campi.
Se vuoi aggiungere altri filtri, fai clic su Aggiungi filtro e ripeti questo passaggio.
Fai clic su Frequenza.
Nella sezione Frequenza, specifica se Sensitive Data Protection deve profilare le tabelle definite nei filtri e, in questo caso, con quale frequenza:
Se non vuoi che le tabelle vengano profilate, disattiva Profila le tabelle.
Se vuoi che le tabelle vengano profilate almeno una volta, lascia Profila le tabelle.
Nei campi successivi di questa sezione, puoi specificare se il sistema deve riprofilare i dati e quali eventi devono attivare una nuova operazione. Per saperne di più, consulta Frequenza di generazione del profilo dati.
- In Quando lo schema viene modificato, specifica la frequenza con cui Sensitive Data Protection deve controllare se le tabelle selezionate presentano modifiche allo schema dopo l'ultima profilazione. Solo le tabelle con modifiche allo schema verranno riprofilate.
- In Tipi di modifiche allo schema, specifica quali tipi di modifiche allo schema devono attivare un'operazione di nuova profilazione. Seleziona una delle seguenti opzioni:
- Nuove colonne: riprofila le tabelle che hanno ottenuto nuove colonne.
- Colonne rimosse: riprofila le tabelle in cui erano state rimosse le colonne.
Ad esempio, supponi di avere tabelle che acquisiscono nuove colonne ogni giorno e di dover profilare i relativi contenuti ogni volta. Puoi impostare Quando lo schema cambia su Nuova profilazione ogni giorno e impostare Tipi di modifica dello schema su Nuove colonne.
- In Quando la tabella viene modificata, specifica la frequenza con cui Sensitive Data Protection deve controllare se le tabelle selezionate hanno subito modifiche dopo l'ultima profilazione. Solo le tabelle con modifiche verranno riprofilate. Esempi di modifiche alla tabella sono l'eliminazione di righe e le modifiche allo schema.
Devi selezionare un valore uguale o inferiore a quello impostato nel campo Quando lo schema viene modificato.
- In Quando si esaminano le modifiche al modello, specifica se si vuole che i dati vengano riprofilati all'aggiornamento del modello di ispezione associato e, in tal caso, con quale frequenza.
Una modifica al modello di ispezione viene rilevata quando si verifica una delle seguenti condizioni:
- Il nome di un modello di ispezione cambia nella configurazione di scansione.
- Il valore
updateTime
di un modello di ispezione viene modificato.
Ad esempio, se imposti un modello di ispezione per la regione
us-west1
e aggiorni quel modello, solo i dati nella regioneus-west1
verranno riprofilati. Tuttavia, se elimini quel modello di ispezione, i dati inus-west1
non vengono riprofilati, in quanto non esiste un modello di ispezione da utilizzare per riprofilare i dati.
Fai clic su Condizioni.
Nella sezione Condizioni, specifica le eventuali condizioni che le tabelle, definite nei filtri, devono soddisfare prima che Sensitive Data Protection le profila. Se imposti condizioni minime e la condizione temporale, Sensitive Data Protection profila solo le tabelle che soddisfano entrambi i tipi di condizioni.
- Condizioni minime: queste condizioni sono utili se vuoi ritardare la profilazione di una tabella finché non ha un numero sufficiente di righe o fino a quando non raggiunge una determinata età. Attiva le condizioni che vuoi applicare e specifica la durata o il numero minimo di righe.
- Condizione temporale: questa condizione è utile se non vuoi che le tabelle precedenti non vengano profilate. Attiva la condizione dell'ora e scegli una data e un'ora. Qualsiasi tabella creata in questa data o prima di questa data viene esclusa dalla profilazione.
Supponi di avere la seguente configurazione:
Condizioni minime
- Numero minimo di righe: 10 righe
- Durata minima: 24 ore
Condizione temporale
- Timestamp: 4/5/22, 23:59
In questo caso, Sensitive Data Protection esclude tutte le tabelle create a partire dal 4 maggio 2022 alle ore 23:59. Tra le tabelle create dopo questa data e ora, Sensitive Data Protection profila solo le tabelle che hanno 10 righe o risalgono da almeno 24 ore.
Nella sezione Tabelle da profilare, seleziona una delle seguenti opzioni, a seconda dei tipi di tabelle che vuoi profilare:
Profila tutte le tabelle: seleziona questa opzione se vuoi che Sensitive Data Protection profila tutti i tipi di tabelle che corrispondono ai filtri e alle condizioni.
Per i tipi di tabella non supportati, Sensitive Data Protection genera solo profili compilati parzialmente. Questi profili mostrano errori che indicano che le tabelle a cui si riferiscono non sono supportate. Seleziona questa opzione se vuoi visualizzare i profili parziali nonostante i messaggi di errore.
Quando Sensitive Data Protection aggiunge il supporto per un nuovo tipo di tabella, riprofila completamente le tabelle di quel tipo durante l'esecuzione pianificata successiva.
Profila le tabelle supportate: seleziona questa opzione se vuoi che Sensitive Data Protection profila solo le tabelle supportate che corrispondono ai tuoi filtri e alle tue condizioni. Le tabelle non supportate non avranno profili parziali.
Tipi di tabelle specifiche per i profili: seleziona questa opzione se vuoi che Sensitive Data Protection profila solo i tipi di tabelle che seleziona. Nell'elenco visualizzato, seleziona uno o più tipi.
Quando Sensitive Data Protection aggiunge il supporto per un nuovo tipo di tabella, non profila automaticamente le tabelle di quel tipo. Per profilare i nuovi tipi di tabella supportati, devi modificare la configurazione di scansione e selezionare i tipi.
Se non selezioni un'opzione, Sensitive Data Protection profila solo le tabelle BigQuery e mostra gli errori per le tabelle non supportate.
I prezzi per la profilazione dei dati variano in base ai tipi di tabelle profilate. Per ulteriori informazioni, consulta Prezzi della profilazione dei dati.
Fai clic su Fine.
Se vuoi aggiungere altre pianificazioni, fai clic su Aggiungi pianificazione e ripeti i passaggi precedenti.
Per riordinare le pianificazioni in base alla priorità, utilizza le frecce su e
giù . Ad esempio, se i filtri in due pianificazioni diverse corrispondono alla Tabella A, la pianificazione più in alto nell'elenco di priorità ha la precedenza.L'ultima pianificazione nell'elenco è sempre quella con l'etichetta Pianificazione predefinita. Questa pianificazione predefinita copre le tabelle nella risorsa (organizzazione o cartella) selezionata che non corrispondono a nessuna delle pianificazioni create. Questa pianificazione predefinita segue la frequenza di profilazione predefinita di sistema.
Se vuoi modificare la pianificazione predefinita, fai clic su
Modifica pianificazione e cambia le impostazioni in base alle esigenze.
Seleziona modello di ispezione
A seconda di come vuoi fornire una configurazione di ispezione, scegli una delle seguenti opzioni. Indipendentemente dall'opzione scelta, Sensitive Data Protection esegue la scansione dei tuoi dati nella regione in cui sono archiviati. In altre parole, i tuoi dati non lasciano la sua regione di origine.
Opzione 1: crea un modello di ispezione
Scegli questa opzione se vuoi creare un nuovo modello di ispezione nella regione global
.
- Fai clic su Crea nuovo modello di ispezione.
(Facoltativo) Per modificare la selezione predefinita degli infoType, fai clic su Gestisci infoType.
Per ulteriori informazioni su come gestire gli infoType integrati e personalizzati in questa sezione, consulta Gestire gli infoType tramite la console Google Cloud.
Devi selezionare almeno un infoType per continuare.
(Facoltativo) Configura ulteriormente il modello di ispezione aggiungendo set di regole e impostando una soglia di confidenza. Per ulteriori informazioni, consulta Configurare il rilevamento.
Quando Sensitive Data Protection crea la configurazione di scansione, archivia questo nuovo modello di ispezione nella regione
global
.
Opzione 2: utilizza un modello di ispezione esistente
Scegli questa opzione se disponi di modelli di ispezione esistenti che vuoi utilizzare.
Fai clic su Seleziona modello di ispezione esistente.
Inserisci il nome completo della risorsa del modello di ispezione che vuoi utilizzare. Il campo Regione viene compilato automaticamente con il nome della regione in cui è archiviato il modello di ispezione.
Il modello di ispezione inserito deve trovarsi nella stessa regione dei dati da profilare. Per rispettare la residenza dei dati, Sensitive Data Protection non utilizza un modello di ispezione al di fuori della propria regione.
Per trovare il nome completo della risorsa di un modello di ispezione, segui questi passaggi:
Vai all'elenco dei modelli di ispezione. Questa pagina si apre in una scheda separata.
Passa al progetto che contiene il modello di ispezione che vuoi utilizzare.
Nella scheda Modelli, fai clic sull'ID del modello che vuoi utilizzare.
Nella pagina che si apre, copia il nome completo della risorsa del modello. Il nome completo della risorsa ha il seguente formato:
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
Nella pagina Crea configurazione di scansione, incolla il nome completo della risorsa del modello nel campo Nome modello.
Se hai dati in un'altra regione e hai un modello di ispezione che vuoi utilizzare per quella regione, segui questi passaggi:
- Fai clic su Aggiungi modello di ispezione.
- Inserisci il nome completo della risorsa del modello di ispezione.
Ripeti questi passaggi per ogni regione in cui è disponibile un modello di ispezione dedicato.
(Facoltativo) Aggiungi un modello di ispezione archiviato nella regione
global
. Sensitive Data Protection utilizza automaticamente quel modello per i dati nelle regioni in cui non è disponibile un modello di ispezione dedicato.
Aggiungi azioni
Nelle sezioni seguenti puoi specificare le azioni che vuoi che Sensitive Data Protection intraprenda dopo aver generato i profili di dati.
Per informazioni su come altri servizi Google Cloud potrebbero addebitarti i costi per la configurazione delle azioni, consulta la sezione Prezzi per l'esportazione dei profili di dati.
Pubblica su Chronicle
Le metriche raccolte dai profili di dati possono aggiungere contesto ai risultati di Chronicle. Il contesto aggiuntivo può aiutarti a determinare i problemi di sicurezza più importanti da risolvere. Ad esempio, se stai esaminando un determinato agente di servizio in Chronicle, i profili di dati possono fornire insight che indicano se l'agente di servizio ha accesso a tabelle con livelli di rischio dei dati elevati.
Per inviare i profili di dati al tuo account Chronicle, attiva Pubblica su Chronicle.
Se Chronicle non è abilitato per la tua organizzazione, l'attivazione di questa opzione non ha alcun effetto.
Pubblica su Security Command Center
Questa azione consente di inviare a Security Command Center i livelli di rischio e sensibilità dei dati calcolati dei profili dei dati delle tabelle.
Security Command Center è il servizio centralizzato di Google Cloud per la segnalazione di vulnerabilità e minacce. Puoi utilizzare gli insight dei profili di dati per valutare e sviluppare piani di risposta per i risultati relativi a vulnerabilità e minacce in Security Command Center.
Prima di poter utilizzare questa azione, è necessario attivare Security Command Center a livello di organizzazione. L'attivazione di Security Command Center a livello di organizzazione consente il flusso dei risultati da servizi integrati come Sensitive Data Protection. Sensitive Data Protection funziona con Security Command Center Standard e Premium.
Se Security Command Center non viene attivato a livello di organizzazione, i risultati di Sensitive Data Protection non verranno visualizzati in Security Command Center. Per maggiori informazioni, consulta Controllare il livello di attivazione di Security Command Center.
Per inviare i risultati dei tuoi profili di dati a Security Command Center, assicurati che l'opzione Pubblica su Security Command Center sia attivata.
Per maggiori informazioni, vedi Pubblicare profili di dati in Security Command Center.
Salva le copie dei profili dati su BigQuery
Se attivi Salva copie del profilo dati in BigQuery, potrai conservare una copia salvata o la cronologia di tutti i profili generati. Questo può essere utile per creare report di controllo e visualizzare profili di dati. Puoi anche caricare queste informazioni in altri sistemi.
Inoltre, questa opzione consente di vedere tutti i profili di dati in un'unica vista, indipendentemente dalla regione in cui si trovano i dati. Se disattivi questa opzione, puoi comunque visualizzare i profili di dati nella dashboard. Tuttavia, nella dashboard, selezioni una regione alla volta e visualizzi solo i profili di dati per quella regione.
Per esportare copie dei profili di dati in una tabella BigQuery, segui questi passaggi:
Attiva Salva copie del profilo dati in BigQuery.
Inserisci i dettagli della tabella BigQuery in cui vuoi salvare i profili dati:
In ID progetto, inserisci l'ID di un progetto esistente in cui vuoi esportare i profili di dati.
In ID set di dati, inserisci il nome di un set di dati esistente nel progetto in cui vuoi esportare i profili di dati.
In ID tabella, inserisci un nome per la tabella BigQuery in cui verranno esportati i profili dati. Se non hai creato questa tabella, Sensitive Data Protection la crea automaticamente per te utilizzando il nome fornito.
Sensitive Data Protection inizia a esportare i profili dal momento in cui attivi questa opzione. I profili generati prima dell'attivazione dell'esportazione non vengono salvati in BigQuery.
Pubblica in Pub/Sub
Se attivi Pubblica su Pub/Sub, puoi eseguire azioni programmatiche basate sui risultati della profilazione. Puoi utilizzare le notifiche Pub/Sub per sviluppare un flusso di lavoro per rilevare e risolvere i risultati con un rischio o una sensibilità dei dati significativo.
Per inviare notifiche a un argomento Pub/Sub, segui questi passaggi:
Attiva Pubblica su Pub/Sub.
Viene visualizzato un elenco di opzioni. Ogni opzione descrive un evento che causa l'invio di una notifica a Sensitive Data Protection a Pub/Sub.
Seleziona gli eventi che devono attivare una notifica Pub/Sub.
Se selezioni Invia una notifica Pub/Sub ogni volta che un profilo viene aggiornato, Sensitive Data Protection invia una notifica in caso di modifica alle seguenti metriche a livello di tabella:
- Rischio dei dati
- Riservatezza
- InfoType previsti
- Altri infoType
- Pubblico
- Crittografia
Per ogni evento selezionato, segui questi passaggi:
Inserisci il nome dell'argomento. Il nome deve avere il seguente formato:
projects/PROJECT_ID/topics/TOPIC_ID
Sostituisci quanto segue:
- PROJECT_ID: l'ID del progetto associato all'argomento Pub/Sub.
- TOPIC_ID: l'ID dell'argomento Pub/Sub.
Specifica se includere il profilo completo della tabella nella notifica o solo il nome completo della risorsa della tabella profilata.
Imposta i livelli minimi di rischio e sensibilità dei dati che devono essere soddisfatti affinché la protezione dei dati sensibili possa inviare una notifica.
Specifica se devono essere soddisfatte solo una o entrambe le condizioni di rischio e sensibilità dei dati. Ad esempio, se scegli
AND
, sia il rischio che le condizioni di sensibilità devono essere soddisfatti prima che Sensitive Data Protection invii una notifica.
Invia a Dataplex come tag
Questa azione consente di creare tag in Dataplex in base agli insight provenienti dai profili di dati. Questa azione viene applicata solo ai profili nuovi e aggiornati. I profili esistenti che non vengono aggiornati non vengono inviati a Dataplex.
Dataplex è un servizio Google Cloud che unifica i dati distribuiti e automatizza la gestione e la governance dei dati. Quando abiliti questa azione, le tabelle profilate vengono codificate automaticamente in Dataplex in base agli insight raccolti dai profili di dati. Puoi quindi cercare nella tua organizzazione e nei tuoi progetti tabelle con valori di tag specifici.
Per inviare i profili dati a Dataplex, assicurati che l'opzione Invia a Dataplex come tag sia attivata.
Per saperne di più, consulta Tabelle di tag in Dataplex basate sugli insight provenienti dai profili di dati.
Gestisci container e fatturazione dell'agente di servizio
In questa sezione specificherai il progetto da utilizzare come container dell'agente di servizio. Puoi fare in modo che Sensitive Data Protection crei automaticamente un nuovo progetto oppure puoi sceglierne uno esistente.
Se non hai un container dell'agente di servizio, seleziona Crea un nuovo progetto come container dell'agente di servizio.
Sensitive Data Protection crea un nuovo progetto denominato Container agente di servizio DLP. L'agente di servizio all'interno di questo progetto verrà utilizzato per l'autenticazione in Sensitive Data Protection e altre API. Sensitive Data Protection richiede di selezionare l'account in cui fatturare tutte le operazioni fatturabili correlate a questo progetto, incluse le operazioni non correlate alla profilazione dei dati.
Se non disponi delle autorizzazioni necessarie per creare progetti, questa opzione è disabilitata. Per informazioni sulle autorizzazioni richieste, vedi Ruoli richiesti per lavorare con i profili di dati a livello di organizzazione o cartella.
Se hai già un container dell'agente di servizio che vuoi riutilizzare, seleziona Seleziona un container dell'agente di servizio esistente. Quindi, fai clic su Sfoglia per selezionare l'ID progetto del container dell'agente di servizio.
Indipendentemente dal fatto che utilizzi un agente di servizio appena creato o ne riutilizzi uno esistente, assicurati che abbia accesso in lettura ai dati da profilare.
Imposta la posizione in cui archiviare la configurazione
Fai clic sull'elenco Località della risorsa e seleziona la regione in cui vuoi archiviare questa configurazione di scansione. Anche tutte le configurazioni di scansione create in seguito verranno archiviate in questa località.
La scelta di archiviare la configurazione di scansione non influisce sui dati da analizzare. Inoltre, non influisce sulla posizione in cui vengono archiviati i profili di dati. I dati vengono analizzati nella stessa regione in cui sono archiviati. Per ulteriori informazioni, consulta Considerazioni sulla residenza dei dati.
Rivedi e crea
Se vuoi assicurarti che la profilazione non venga avviata automaticamente dopo aver creato la configurazione di scansione, seleziona Crea analisi in modalità in pausa.
Questa opzione è utile nei seguenti casi:
- L'amministratore di Google Cloud deve comunque concedere all'agente di servizio l'accesso alla profilazione dei dati.
- Vuoi creare più configurazioni di scansione e vuoi che alcune configurazioni eseguino l'override di altre.
- Hai scelto di salvare i profili di dati in BigQuery e vuoi assicurarti che l'agente di servizio abbia accesso in scrittura alla tabella di output.
- Hai configurato le notifiche Pub/Sub e vuoi concedere all'agente di servizio l'accesso in pubblicazione.
Rivedi le impostazioni e fai clic su Crea.
Sensitive Data Protection crea la configurazione della scansione e la aggiunge all'elenco delle configurazioni della scansione di rilevamento.
Per visualizzare o gestire le configurazioni di scansione, vedi Gestire le configurazioni di scansione.
Se il tuo agente di servizio dispone dei ruoli necessari per accedere e profilare i tuoi dati, Sensitive Data Protection inizia ad analizzare i dati poco dopo aver creato la configurazione di scansione o riprendere una configurazione in pausa. In caso contrario, Sensitive Data Protection mostra un errore quando visualizzi i dettagli di configurazione della scansione.Passaggi successivi
- Se non hai il ruolo Amministratore organizzazione (
roles/resourcemanager.organizationAdmin
) o Amministratore sicurezza (roles/iam.securityAdmin
), qualcuno con uno di questi ruoli deve concedere l'accesso alla profilazione dei dati al tuo agente di servizio. - Scopri come stimare il costo dei dati di profilazione in un'organizzazione o una cartella.
- Scopri come visualizzare i profili di dati.
- Scopri come gestire le configurazioni dell'analisi.
- Scopri come ricevere e analizzare i messaggi Pub/Sub pubblicati dal profiler dati.
- Scopri come risolvere i problemi relativi ai profili di dati.