Aktifkan penemuan data sensitif

Halaman ini menjelaskan cara menyiapkan Perlindungan Data Sensitif untuk membuat temuan yang menunjukkan tingkat sensitivitas dan risiko data aset data di seluruh organisasi Anda. Prosedur ini menjelaskan cara mengaktifkan penemuan data sensitif jika Anda berlangganan Security Command Center tingkat Enterprise. Untuk informasi tentang cara mengaktifkan penemuan data sensitif terlepas dari tingkat layanan Security Command Center Anda, lihat halaman berikut dalam dokumentasi Perlindungan Data Sensitif:

Cara kerjanya

Layanan penemuan Perlindungan Data Sensitif membantu Anda melindungi data di seluruh organisasi dengan mengidentifikasi tempat data sensitif dan berisiko tinggi berada. Dalam Perlindungan Data Sensitif, layanan menghasilkan profil data, yang menyediakan metrik dan insight tentang data Anda pada berbagai tingkat detail. Di Security Command Center, layanan akan melakukan hal berikut:

  • Buat temuan observasi di Security Command Center yang menampilkan tingkat sensitivitas data dan risiko data yang dihitung dari data BigQuery dan Cloud SQL Anda. Anda dapat menggunakan temuan ini sebagai dasar respons saat menemukan ancaman dan kerentanan yang terkait dengan aset data. Untuk daftar jenis temuan yang dihasilkan, lihat Temuan observasi dari layanan penemuan.

    Temuan ini dapat menginformasikan penetapan otomatis resource bernilai tinggi berdasarkan sensitivitas data. Untuk informasi selengkapnya, lihat Menggunakan insight penemuan untuk mengidentifikasi resource bernilai tinggi di halaman ini.

  • Membuat temuan kerentanan di Security Command Center saat Sensitif Data Protection mendeteksi adanya secret dalam variabel lingkungan Cloud Functions Anda. Menyimpan secret, seperti sandi, dalam variabel lingkungan bukanlah praktik yang aman karena variabel lingkungan tidak dienkripsi. Untuk mengetahui daftar lengkap jenis rahasia yang dideteksi Perlindungan Data Sensitif, lihat Kredensial dan rahasia. Untuk mengetahui daftar jenis temuan yang dibuat, lihat Temuan kerentanan dari layanan penemuan Perlindungan Data Sensitif.

Guna mengaktifkan penemuan data sensitif untuk organisasi Anda, buat satu konfigurasi pemindaian penemuan untuk setiap resource yang didukung yang ingin Anda pindai.

Harga

Penemuan data sensitif dikenai biaya secara terpisah dari Security Command Center, apa pun tingkat layanan Anda. Jika tidak membeli langganan untuk penemuan, Anda akan ditagih berdasarkan konsumsi Anda (byte yang dipindai). Untuk mengetahui informasi selengkapnya, lihat Harga Discovery dalam dokumentasi Perlindungan Data Sensitif.

Sebelum memulai

Selesaikan tugas berikut sebelum Anda menyelesaikan tugas lainnya di halaman ini.

Aktifkan tingkat Security Command Center Enterprise

Selesaikan langkah 1 dan langkah 2 dalam panduan penyiapan untuk mengaktifkan tingkat Security Command Center Enterprise. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan tingkat Security Command Center Enterprise.

Mengaktifkan Perlindungan Data Sensitif sebagai layanan terintegrasi

Jika Perlindungan Data Sensitif belum diaktifkan sebagai layanan terintegrasi, aktifkan fitur tersebut. Untuk mengetahui informasi selengkapnya, lihat Menambahkan layanan terintegrasi Google Cloud.

Siapkan izin

Untuk mendapatkan izin yang Anda perlukan guna mengonfigurasi penemuan data sensitif, minta administrator untuk memberi Anda peran IAM berikut di organisasi:

Tujuan Peran bawaan Izin yang relevan
Membuat konfigurasi pemindaian penemuan dan melihat profil data DLP Administrator (roles/dlp.admin)
  • dlp.inspectTemplates.create
  • dlp.jobs.create
  • dlp.jobTriggers.create
  • dlp.columnDataProfiles.list
  • dlp.jobs.list
  • dlp.jobTriggers.list
  • dlp.projectDataProfiles.list
  • dlp.tableDataProfiles.list
Membuat project untuk digunakan sebagai penampung agen layanan1 Pembuat Project (roles/resourcemanager.projectCreator)
  • resourcemanager.organizations.get
  • resourcemanager.projects.create
Memberikan akses penemuan2 Salah satu dari kolom berikut:
  • Administrator Organisasi (roles/resourcemanager.organizationAdmin)
  • (roles/iam.securityAdmin) Security Admin
  • resourcemanager.organizations.getIamPolicy
  • resourcemanager.organizations.setIamPolicy

1 Jika tidak memiliki peran Project Creator (roles/resourcemanager.projectCreator), Anda masih dapat membuat konfigurasi pemindaian, tetapi penampung agen layanan yang Anda gunakan harus berupa project yang sudah ada.

2 Jika tidak memiliki peran Organization Administrator (roles/resourcemanager.organizationAdmin) atau Security Admin (roles/iam.securityAdmin), Anda masih dapat membuat konfigurasi pemindaian. Setelah Anda membuat konfigurasi pemindaian, seseorang di organisasi Anda yang memiliki salah satu peran ini harus memberikan akses penemuan ke agen layanan.

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Aktifkan penemuan

Untuk mengaktifkan penemuan, buat konfigurasi pemindaian untuk setiap jenis penemuan yang ingin diaktifkan.

  1. Di konsol Google Cloud, buka halaman penyiapan.

    Buka penyiapan

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan tingkat Security Command Center Enterprise.

  3. Klik Siapkan perlindungan data sensitif. Dasbor penemuan di Perlindungan Data Sensitif muncul. Bagian Cakupan produk di dasbor menampilkan status setiap jenis penemuan.

  4. Untuk jenis penemuan yang ingin diaktifkan, klik Aktifkan. Misalnya, jika ingin memindai tabel BigQuery di organisasi Anda, di kartu BigQuery, klik Enable.

    Halaman Buat konfigurasi pemindaian akan terbuka.

  5. Mengonfigurasi penemuan di tingkat organisasi. Untuk informasi selengkapnya, lihat salah satu halaman berikut, bergantung pada jenis penemuan yang ingin Anda aktifkan:

  6. Ulangi langkah-langkah ini untuk membuat konfigurasi pemindaian untuk jenis penemuan yang tersisa.

Setelah Sensitive Data Protection membuat profil data, diperlukan waktu hingga enam jam agar temuan Data sensitivity dan Data risk terkait muncul di Security Command Center.

Sejak Anda mengaktifkan penemuan rahasia di Perlindungan Data Sensitif, perlu waktu hingga 12 jam untuk menyelesaikan pemindaian awal variabel lingkungan dan agar setiap temuan Secrets in environment variables muncul di Security Command Center. Selanjutnya, Sensitive Data Protection memindai variabel lingkungan setiap 24 jam. Dalam praktiknya, pemindaian dapat dijalankan lebih sering dari itu.

Untuk melihat temuan yang dihasilkan oleh Perlindungan Data Sensitif, lihat Meninjau temuan Perlindungan Data Sensitif di Konsol Google Cloud.

Menggunakan insight penemuan untuk mengidentifikasi resource bernilai tinggi

Anda dapat membuat Security Command Center secara otomatis menetapkan set data BigQuery yang berisi data sensitivitas tinggi atau sensitif sebagai resource bernilai tinggi dengan mengaktifkan opsi insight penemuan Perlindungan Data Sensitif saat Anda membuat konfigurasi nilai resource untuk fitur simulasi jalur serangan.

Untuk resource bernilai tinggi, Security Command Center menyediakan skor eksposur serangan dan visualisasi jalur serangan, yang dapat Anda gunakan untuk memprioritaskan keamanan resource yang berisi data sensitif.

Simulasi jalur serangan dapat otomatis menetapkan nilai prioritas berdasarkan klasifikasi sensitivitas data dari Perlindungan Data Sensitif hanya untuk jenis resource data bigquery.googleapis.com/Dataset.

Langkah selanjutnya