Consultar as descobertas do Cloud DLP no BigQuery

Nesta página, você verá exemplos de consultas que podem ser usadas para analisar as descobertas do Cloud DLP que foram exportadas para o BigQuery.

É possível configurar um job de inspeção ou um gatilho de jobs para salvar as descobertas no BigQuery. Isso permite que você consulte as descobertas para uma análise mais profunda. Quando as descobertas são exportadas para o BigQuery, os dados são gravados em uma tabela nova ou atual.

Para mais informações sobre todas as ações que o Cloud DLP pode executar após a inspeção, consulte o tópico conceitual Ações.

Para mais informações sobre como executar consultas, consulte os seguintes artigos:

Vincule os resultados às linhas que contêm as descobertas

Se você estiver configurando a inspeção de uma tabela do BigQuery, será possível configurar o job ou o gatilho de jobs para que as descobertas exportadas contenham os identificadores da linha. Isso permite que você vincule as descobertas de inspeção às linhas que as contêm.

No job de inspeção ou no gatilho de jobs, defina os campos a seguir como os nomes das colunas que identificam exclusivamente cada linha da tabela, ou seja, as colunas que servem à finalidade de uma chave primária:

Se você estiver usando o Console do Google Cloud, defina o campo Como identificar campos (separados por vírgulas).
Se você estiver usando a API DLP, defina a propriedade identifyingFields.

Quando a inspeção é concluída e as descobertas são exportadas para o BigQuery, cada descoberta contém os valores correspondentes das colunas especificadas. Esses valores estarão no campo location.content_locations.record_location.record_key.id_values. É possível usar esses valores para vincular a descoberta à linha específica na tabela inspecionada do BigQuery.

Amostras de consultas

Use as consultas de exemplo a seguir para analisar as descobertas. Também é possível usar as consultas em uma ferramenta de visualização, como o Looker Studio. Essas consultas são fornecidas para ajudar você a começar a consultar os dados das descobertas.

Em cada uma das consultas a seguir, substitua o seguinte:

PROJECT_ID: o identificador do projeto
DATASET: o nome do conjunto de dados do BigQuery
TABLE_ID: o ID da tabela.

Selecionar a contagem de cada infoType

Console do Google Cloud

SELECT info_type.name,
COUNT(info_type.name) AS count
FROM `PROJECT_ID.DATASET.TABLE_ID`
GROUP BY info_type.name
ORDER BY count DESC;

Linha de comando

bq query --use_legacy_sql=false ' SELECT info_type.name,
COUNT(info_type.name) AS count
FROM `PROJECT_ID.DATASET.TABLE_ID`
GROUP BY info_type.name ORDER BY count DESC;'

Selecionar a contagem de cada infoType por dia

Console do Google Cloud

SELECT info_type.name, cast(TIMESTAMP_SECONDS(create_time.seconds) as date) as day,
COUNT(locations.container_name) AS count
FROM `PROJECT_ID.DATASET.TABLE_ID`,
UNNEST(location.content_locations) AS locations
GROUP BY info_type.name, day
ORDER BY count DESC;

Linha de comando

bq query --use_legacy_sql=false ' SELECT info_type.name,
cast(TIMESTAMP_SECONDS(create_time.seconds) as date) as day,
COUNT(locations.container_name) AS count FROM `PROJECT_ID.DATASET.TABLE_ID`,
UNNEST(location.content_locations) AS locations
GROUP BY info_type.name, day ORDER BY count DESC;'

Seleciona a contagem de cada infoType em cada contêiner

Console do Google Cloud

SELECT info_type.name, locations.container_name,
COUNT(locations.container_name) AS count
FROM `PROJECT_ID.DATASET.TABLE_ID`,
UNNEST(location.content_locations) AS locations
GROUP BY locations.container_name, info_type.name
ORDER BY count DESC;

Linha de comando

bq query --use_legacy_sql=false ' SELECT info_type.name, locations.container_name,
COUNT(locations.container_name) AS count FROM `PROJECT_ID.DATASET.TABLE_ID`,
UNNEST(location.content_locations) AS locations
GROUP BY locations.container_name,info_type.name ORDER BY count DESC;'

Seleciona os tipos de descoberta encontrados para cada coluna de uma tabela

Essa consulta agrupa todas as descobertas por nome de coluna e tem como objetivo trabalhar com as descobertas de um job de inspeção do BigQuery. Essa consulta é útil se você está tentando identificar os tipos prováveis de uma determinada coluna. É possível ajustar as configurações modificando as cláusulas WHERE e HAVING. Por exemplo, se vários resultados de tabela estiverem incluídos na tabela de descobertas, é possível limitá-los a apenas uma execução de job ou um nome de tabela.

Console do Google Cloud

SELECT
  table_counts.field_name,
  STRING_AGG( CONCAT(" ",table_counts.name," [count: ",CAST(table_counts.count_total AS String),"]")
  ORDER BY
    table_counts.count_total DESC) AS infoTypes
FROM (
  SELECT
    locations.record_location.field_id.name AS field_name,
    info_type.name,
    COUNT(*) AS count_total
  FROM
    `PROJECT_ID.DATASET.TABLE_ID`,
    UNNEST(location.content_locations) AS locations
  WHERE
    (likelihood = 'LIKELY'
      OR likelihood = 'VERY_LIKELY'
      OR likelihood = 'POSSIBLE')
  GROUP BY
    locations.record_location.field_id.name,
    info_type.name
  HAVING
    count_total>200 ) AS table_counts
GROUP BY
  table_counts.field_name
ORDER BY
  table_counts.field_name

A consulta acima pode produzir um resultado como este para uma tabela de amostra, em que a coluna infoTypes informa quantas instâncias de cada infoType foram encontradas para essa coluna.

field_name	infoTypes
`field1`	`CUSTOM_USER_US [count: 7004]`, `CUSTOM_USER_EU [count: 2996]`
`field2`	`US_VEHICLE_IDENTIFICATION_NUMBER [count: 9597]`
`field3`	`EMAIL_ADDRESS [count: 10000]`
`field4`	`IP_ADDRESS [count: 10000]`
`field5`	`PHONE_NUMBER [count: 7815]`
`field6`	`US_SOCIAL_SECURITY_NUMBER [count: 10000]`
`field7`	`CREDIT_CARD_NUMBER [count: 10000]`