이 페이지에서는 데이터 프로필이 Security Command Center에서 발견 항목을 생성하려는 경우 수행해야 하는 작업에 대한 대략적인 개요를 제공합니다. 이 페이지에서는 생성된 발견 항목을 찾는 데 사용할 수 있는 쿼리 예시도 제공합니다.
Sensitive Data Protection을 구성하여 조직, 폴더 또는 프로젝트 전체에서 데이터에 대한 프로필을 자동으로 생성할 수 있습니다. 데이터 프로필은 데이터에 대한 측정항목과 메타데이터를 포함하며 민감한 정보와 고위험 데이터를 저장할 위치를 결정하는 데 도움이 됩니다. Sensitive Data Protection은 이러한 측정항목을 다양한 세부 수준에서 보고합니다. 프로파일링할 수 있는 데이터 유형에 대한 자세한 내용은 지원되는 리소스를 참조하세요.
Security Command Center는 Google Cloud의 중앙 집중식 취약점 및 위협 보고 서비스입니다. Security Command Center는 잘못된 구성, 취약점, 관찰, 위협을 식별하여 보안 상태를 강화하는 데 도움이 됩니다. 또한 발견 항목을 조사하고 해결할 수 있는 권장사항도 제공합니다.
데이터 프로필은 Security Command Center에서 데이터의 계산된 민감도 및 데이터 위험 수준을 보여주는 관찰 발견 항목을 생성할 수 있습니다. 이러한 발견 항목을 사용하여 데이터와 관련된 위협 및 취약점이 발생할 때 응답을 알릴 수 있습니다.
생성된 Security Command Center 발견 항목
Security Command Center에 데이터 프로필을 게시하도록 디스커버리 서비스를 구성하면 각 테이블 데이터 프로필에서 다음 Security Command Center 발견 항목을 생성합니다.
Data sensitivity
- 특정 테이블에 있는 데이터의 민감도 수준을 나타냅니다. PII 또는 추가 제어나 관리가 필요할 수 있는 기타 요소가 포함된 데이터는 민감한 정보입니다. 발견 항목의 심각도는 데이터 프로필을 생성할 때 Sensitive Data Protection으로 계산한 민감도 수준입니다.
Data risk
- 현재 상태의 데이터와 관련된 위험입니다. 데이터 위험을 계산할 때 Sensitive Data Protection은 테이블에 있는 데이터의 민감도 수준과 해당 데이터를 보호하기 위한 액세스 제어의 존재 여부를 고려합니다. 발견 항목의 심각도는 데이터 프로필을 생성할 때 Sensitive Data Protection이 계산한 데이터 위험 수준입니다.
발견 항목 생성 지연 시간
Sensitive Data Protection이 데이터 프로필을 생성한 시간부터 연결된 Data sensitivity
및 Data risk
발견 항목이 Security Command Center에 표시될 때까지 최대 6시간까지 걸릴 수 있습니다.
Security Command Center로 데이터 프로필 전송
다음은 Security Command Center에 데이터 프로필을 게시하기 위한 대략적인 워크플로입니다.
조직의 Security Command Center 활성화 수준 확인 데이터 프로필을 Security Command Center로 보내려면 표준 또는 프리미엄 등급의 조직 수준에서 Security Command Center를 활성화해야 합니다.
Security Command Center가 프로젝트 수준에서만 활성화된 경우 Sensitive Data Protection 발견 항목의 결과가 Security Command Center에 표시되지 않습니다.
Security Command Center가 조직에서 활성화되지 않은 경우 이를 활성화해야 합니다. 자세한 내용은 조직에 Security Command Center 활성화를 참조하세요.
Sensitive Data Protection을 통합 서비스로 추가합니다. 자세한 내용은 Google Cloud 통합 서비스 추가를 참조하세요.
조직 또는 폴더 또는 프로젝트에 대한 데이터 프로파일링을 구성할 때 Security Command Center에 게시 옵션을 사용 설정합니다. 기존 디스커버리 스캔 구성을 수정하여 이 옵션을 사용 설정할 수도 있습니다.
스캔 구성을 만들거나 수정하려면 Google Cloud 콘솔의 디스커버리 페이지로 이동합니다.
데이터 프로필과 관련된 Security Command Center 발견 항목 쿼리
다음은 Security Command Center에서 관련 Data
sensitivity
및 Data risk
발견 항목을 찾는 데 사용할 수 있는 쿼리의 예시입니다. 쿼리 편집기 필드에 이러한 쿼리를 입력할 수 있습니다. 쿼리 편집기에 대한 자세한 내용은 Security Command Center 대시보드에서 발견 항목 쿼리 수정을 참조하세요.
특정 BigQuery 테이블에 대한 모든 Data sensitivity
및 Data risk
발견 항목 나열
이 쿼리는 Security Command Center에서 BigQuery 테이블이 다른 프로젝트에 저장된 이벤트를 감지하는 경우에 유용합니다. 이 경우 Exfiltration: BigQuery Data
Exfiltration
발견 항목이 생성되고 유출된 테이블의 전체 표시 이름이 포함됩니다. 테이블과 관련된 Data sensitivity
및 Data risk
발견 항목을 검색할 수 있습니다. 테이블에 대해 계산된 민감도 및 데이터 위험 수준을 확인하고 그에 따라 응답을 계획합니다.
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"
다음을 바꿉니다.
- PROJECT_ID: BigQuery 테이블이 포함된 프로젝트의 ID
- DATASET_ID: 테이블의 데이터 세트 ID
- TABLE_ID: 테이블 ID
심각도 수준이 High
인 모든 Data risk
및 Data sensitivity
발견 항목 나열
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"