Mengaktifkan tindakan penemuan

Bagian ini menjelaskan cara menentukan tindakan yang Anda inginkan agar dilakukan oleh Perlindungan Data Sensitif setelah memprofilkan resource. Tindakan ini berguna jika Anda ingin mengirimkan hasil analisis yang dikumpulkan dari profil data ke layananGoogle Cloud lainnya.

Untuk mengaktifkan tindakan penemuan, buat atau edit konfigurasi pemindaian penemuan. Bagian berikut menjelaskan berbagai tindakan yang dapat Anda aktifkan di bagian Tambahkan tindakan pada konfigurasi pemindaian.

Tidak semua tindakan di halaman ini tersedia untuk setiap jenis penemuan. Misalnya, Anda tidak dapat melampirkan tag ke resource jika Anda mengonfigurasi penemuan untuk resource dari penyedia cloud lain. Untuk mengetahui informasi selengkapnya, lihat Tindakan yang didukung di halaman ini.

Untuk mengetahui informasi selengkapnya tentang penemuan data sensitif, lihat Profil data.

Operasi inspeksi dan analisis risiko memiliki serangkaian tindakan yang berbeda. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan tindakan inspeksi atau analisis risiko.

Publikasikan ke Google Security Operations

Metrik yang dikumpulkan dari profil data dapat menambahkan konteks pada temuan Google Security Operations Anda. Konteks tambahan dapat membantu Anda menentukan masalah keamanan terpenting yang harus ditangani.

Misalnya, jika Anda sedang menyelidiki agen layanan tertentu, Google Security Operations dapat menentukan resource yang diakses agen layanan tersebut dan apakah ada data yang sangat sensitif di salah satu resource tersebut.

Untuk mengirim profil data ke instance Google Security Operations Anda, aktifkan Publikasikan ke Google Security Operations.

Jika Anda tidak mengaktifkan instance Google Security Operations untuk organisasi Anda—melalui produk mandiri atau melalui Security Command Center Enterprise—mengaktifkan opsi ini tidak akan berpengaruh.

Publikasikan ke Security Command Center

Temuan dari profil data memberikan konteks saat Anda melakukan triase dan mengembangkan rencana respons untuk temuan kerentanan dan ancaman di Security Command Center.

Sebelum Anda dapat menggunakan tindakan ini, Security Command Center harus diaktifkan di level organisasi. Mengaktifkan Security Command Center di tingkat organisasi memungkinkan alur temuan dari layanan terintegrasi seperti Sensitive Data Protection. Sensitive Data Protection berfungsi dengan Security Command Center di semua tingkat layanan.

Jika Security Command Center tidak diaktifkan di level organisasi, temuan Sensitive Data Protection tidak akan muncul di Security Command Center. Untuk mengetahui informasi selengkapnya, lihat Memeriksa tingkat aktivasi Security Command Center.

Untuk mengirimkan hasil profil data Anda ke Security Command Center, pastikan opsi Publikasikan ke Security Command Center diaktifkan.

Untuk mengetahui informasi selengkapnya, lihat Memublikasikan profil data ke Security Command Center.

Simpan salinan profil data ke BigQuery

Perlindungan Data Sensitif menyimpan salinan setiap profil data yang dibuat dalam tabel BigQuery. Jika Anda tidak memberikan detail tabel pilihan Anda, Sensitive Data Protection akan membuat set data dan tabel di penampung agen layanan. Secara default, set data diberi nama sensitive_data_protection_discovery dan tabel diberi nama discovery_profiles.

Tindakan ini memungkinkan Anda menyimpan histori semua profil yang dihasilkan. Histori ini dapat berguna untuk membuat laporan audit dan memvisualisasi profil data. Anda juga dapat memuat informasi ini ke dalam sistem lain.

Selain itu, opsi ini memungkinkan Anda melihat semua profil data dalam satu tampilan, terlepas dari region tempat data Anda berada. Meskipun Anda juga dapat melihat profil data melalui Google Cloud konsol, konsol hanya menampilkan profil di satu wilayah dalam satu waktu.

Jika gagal membuat profil resource, Sensitive Data Protection akan mencoba lagi secara berkala. Untuk meminimalkan derau dalam data yang diekspor, Perlindungan Data Sensitif hanya mengekspor profil yang berhasil dibuat ke BigQuery.

Sensitive Data Protection mulai mengekspor profil sejak Anda mengaktifkan opsi ini. Profil yang dibuat sebelum Anda mengaktifkan ekspor tidak disimpan ke BigQuery.

Untuk contoh kueri yang dapat Anda gunakan saat menganalisis profil data, lihat Menganalisis profil data.

Menyimpan temuan penemuan sampel ke BigQuery

Perlindungan Data Sensitif dapat menambahkan contoh temuan ke tabel BigQuery pilihan Anda. Contoh temuan mewakili sebagian kecil dari semua temuan dan mungkin tidak mewakili semua infoType yang ditemukan. Biasanya, sistem menghasilkan sekitar 10 temuan sampel per resource, tetapi jumlah ini dapat bervariasi untuk setiap proses penemuan.

Setiap temuan mencakup string sebenarnya (juga disebut kutipan) yang terdeteksi dan lokasi persisnya.

Tindakan ini berguna jika Anda ingin mengevaluasi apakah konfigurasi pemeriksaan Anda cocok dengan jenis informasi yang ingin Anda tandai sebagai sensitif. Dengan menggunakan profil data yang diekspor dan temuan sampel yang diekspor, Anda dapat menjalankan kueri untuk mendapatkan informasi selengkapnya tentang item tertentu yang ditandai, infoType yang cocok, lokasi persisnya, tingkat sensitivitas yang dihitung, dan detail lainnya.

Contoh ini mengharuskan Simpan salinan profil data ke BigQuery dan Simpan hasil penemuan sampel ke BigQuery diaktifkan.

Kueri berikut menggunakan operasi INNER JOIN pada tabel profil data yang diekspor dan tabel temuan sampel yang diekspor. Dalam tabel yang dihasilkan, setiap data menampilkan kutipan temuan, infoType yang cocok, resource yang berisi temuan, dan tingkat sensitivitas resource yang dihitung. 

SELECT
 findings_table.quote,
 findings_table.infotype.name,
 findings_table.location.container_name,
 profiles_table.file_store_profile.file_store_path as bucket_name,
 profiles_table.file_store_profile.sensitivity_score as bucket_sensitivity_score
FROM
 `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table
INNER JOIN
 `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table
ON
 findings_table.data_profile_resource_name=profiles_table.file_store_profile.name

Contoh ini mengharuskan Simpan salinan profil data ke BigQuery dan Simpan hasil penemuan sampel ke BigQuery diaktifkan.

Kueri berikut menggunakan operasi INNER JOIN pada tabel profil data yang diekspor dan tabel temuan sampel yang diekspor. Dalam tabel yang dihasilkan, setiap data menampilkan kutipan temuan, infoType yang cocok, resource yang berisi temuan, dan tingkat sensitivitas resource yang dihitung. 

SELECT
 findings_table.quote,
 findings_table.infotype.name,
 findings_table.location.container_name,
 findings_table.location.data_profile_finding_record_location.field.name AS field_name,
 profiles_table.table_profile.dataset_project_id AS project_id,
 profiles_table.table_profile.dataset_id AS dataset_id,
 profiles_table.table_profile.table_id AS table_id,
 profiles_table.table_profile.sensitivity_score AS table_sensitivity_score
 FROM
 `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table
INNER JOIN
 `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table
ON
 findings_table.data_profile_resource_name=profiles_table.table_profile.name

Untuk menyimpan temuan sampel ke tabel BigQuery, ikuti langkah-langkah berikut:

  1. Aktifkan Simpan temuan penemuan sampel ke BigQuery.

  2. Masukkan detail tabel BigQuery tempat Anda ingin menyimpan temuan sampel.

    Tabel yang Anda tentukan untuk tindakan ini harus berbeda dengan tabel yang digunakan untuk tindakan Simpan salinan profil data ke BigQuery.

    • Untuk Project ID, masukkan ID project yang sudah ada tempat Anda ingin mengekspor temuan.

    • Untuk Dataset ID, masukkan nama set data yang ada dalam project.

    • Untuk Table ID, masukkan nama tabel BigQuery tempat Anda ingin menyimpan temuan. Jika tabel ini tidak ada, Sensitive Data Protection akan otomatis membuatnya untuk Anda menggunakan nama yang Anda berikan.

Untuk mengetahui informasi tentang konten setiap temuan yang disimpan dalam tabel BigQuery, lihat DataProfileFinding.

Melampirkan tag ke resource

Mengaktifkan Lampirkan tag ke resource akan menginstruksikan Sensitive Data Protection untuk otomatis memberi tag pada data Anda sesuai dengan tingkat sensitivitas yang dihitung. Bagian ini mengharuskan Anda menyelesaikan terlebih dahulu tugas-tugas di Mengontrol akses IAM ke resource berdasarkan sensitivitas data.

Untuk memberi tag otomatis pada resource sesuai dengan tingkat sensitivitas yang dihitung, ikuti langkah-langkah berikut:

  1. Aktifkan opsi Beri tag pada resource.

  2. Untuk setiap tingkat sensitivitas (tinggi, sedang, rendah, dan tidak diketahui), masukkan jalur nilai tag yang Anda buat untuk tingkat sensitivitas tertentu.

    Jika Anda melewati tingkat sensitivitas, tidak ada tag yang dilampirkan untuk tingkat tersebut.

  3. Untuk menurunkan tingkat risiko data resource secara otomatis saat tag tingkat sensitivitas ada, pilih Saat tag diterapkan ke resource, turunkan risiko data profilnya menjadi RENDAH. Opsi ini membantu Anda mengukur peningkatan postur keamanan dan privasi data Anda.

  4. Pilih salah satu atau kedua opsi berikut:

    • Beri tag pada resource saat diprofilkan untuk pertama kalinya.

    • Beri tag pada fasilitas saat profilnya diperbarui. Pilih opsi ini jika Anda ingin Perlindungan Data Sensitif mengganti nilai tag tingkat sensitivitas pada proses penemuan berikutnya. Akibatnya, akses principal ke resource berubah secara otomatis saat tingkat sensitivitas data yang dihitung untuk resource tersebut meningkat atau menurun.

      Jangan pilih opsi ini jika Anda berencana memperbarui nilai tag tingkat sensitivitas yang dilampirkan layanan penemuan ke aset Anda secara manual. Jika Anda memilih opsi ini, Perlindungan Data Sensitif dapat menggantikan pembaruan manual Anda.

Publikasikan ke Pub/Sub

Dengan mengaktifkan Publikasikan ke Pub/Sub, Anda dapat melakukan tindakan terprogram berdasarkan hasil pembuatan profil. Anda dapat menggunakan notifikasi Pub/Sub untuk mengembangkan alur kerja dalam menangkap dan memperbaiki temuan dengan risiko atau sensitivitas data yang signifikan.

Untuk mengirim notifikasi ke topik Pub/Sub, ikuti langkah-langkah berikut:

  1. Aktifkan Publikasikan ke Pub/Sub.

    Daftar opsi akan muncul. Setiap opsi menjelaskan peristiwa yang menyebabkan Sensitive Data Protection mengirim notifikasi ke Pub/Sub.

  2. Pilih peristiwa yang harus memicu notifikasi Pub/Sub.

    Jika Anda memilih Kirim notifikasi Pub/Sub setiap kali profil diperbarui, Sensitive Data Protection akan mengirimkan notifikasi jika ada perubahan pada tingkat sensitivitas, tingkat risiko data, infoType yang terdeteksi, akses publik, dan metrik penting lainnya di profil.

  3. Untuk setiap acara yang Anda pilih, ikuti langkah-langkah berikut:

    1. Masukkan nama topik. Nama harus dalam format berikut:

      projects/PROJECT_ID/topics/TOPIC_ID

      Ganti kode berikut:

      • PROJECT_ID: ID project yang terkait dengan topik Pub/Sub.
      • TOPIC_ID: ID topik Pub/Sub.

    2. Tentukan apakah akan menyertakan profil resource lengkap dalam notifikasi, atau hanya nama resource lengkap dari resource yang diprofilkan.

    3. Tetapkan tingkat risiko dan sensitivitas data minimum yang harus dipenuhi agar Sensitive Data Protection mengirimkan notifikasi.

    4. Tentukan apakah hanya satu atau kedua kondisi risiko dan sensitivitas data yang harus dipenuhi. Misalnya, jika Anda memilih AND, maka kondisi risiko data dan sensitivitas harus dipenuhi sebelum Sensitive Data Protection mengirimkan notifikasi.

Mengirim ke Data Catalog sebagai tag

Fitur ini tidak digunakan lagi.

Tindakan ini memungkinkan Anda membuat tag Data Catalog di Katalog Universal Dataplex berdasarkan insight dari profil data. Tindakan ini hanya diterapkan pada profil baru dan yang diperbarui. Profil yang ada dan tidak diperbarui tidak akan dikirim ke Katalog Universal Dataplex.

Data Catalog adalah layanan pengelolaan metadata yang skalabel dan terkelola sepenuhnya. Saat Anda mengaktifkan tindakan ini, tabel yang Anda buat profilnya akan otomatis diberi tag di Data Catalog sesuai dengan insight yang dikumpulkan dari profil data. Kemudian, Anda dapat menggunakan Dataplex Universal Catalog untuk menelusuri tabel dengan nilai tag tertentu di organisasi dan project Anda.

Untuk mengirim profil data ke Dataplex Universal Catalog sebagai tag Data Catalog, pastikan opsi Kirim ke Dataplex sebagai tag diaktifkan.

Untuk mengetahui informasi selengkapnya, lihat Memberi tag pada tabel di Data Catalog berdasarkan insight dari profil data.

Mengirim ke Dataplex Universal Catalog sebagai aspek

Tindakan ini memungkinkan Anda menambahkan aspek Katalog Universal Dataplex ke resource yang diprofilkan berdasarkan insight dari profil data. Tindakan ini hanya diterapkan pada profil baru dan yang diperbarui. Profil yang ada dan tidak diperbarui tidak akan dikirim ke Katalog Universal Dataplex.

Jika Anda mengaktifkan tindakan ini, Perlindungan Data Sensitif akan melampirkan aspek Sensitive Data Protection profile ke entri Dataplex Universal Catalog untuk setiap resource baru atau yang diperbarui yang Anda buat profilnya. Aspek yang dihasilkan berisi insight yang dikumpulkan dari profil data. Kemudian, Anda dapat menelusuri organisasi dan project untuk menemukan entri dengan nilai aspek Sensitive Data Protection profile tertentu.

Untuk mengirim profil data ke Dataplex Universal Catalog, pastikan opsi Kirim ke Dataplex Catalog sebagai aspek diaktifkan.

Untuk mengetahui informasi selengkapnya, lihat Menambahkan aspek Katalog Universal Dataplex berdasarkan insight dari profil data.

Tindakan yang didukung

Tabel berikut menunjukkan tindakan yang didukung untuk setiap jenis penemuan.

Publikasikan ke Google Security Operations Publikasikan ke Security Command Center Simpan salinan profil data ke BigQuery Menyimpan temuan penemuan sampel ke BigQuery Melampirkan tag ke resource Publikasikan ke Pub/Sub Mengirim ke Dataplex Universal Catalog sebagai tag Data Catalog (Tidak digunakan lagi) Mengirim ke Dataplex Universal Catalog sebagai aspek
Amazon S3
Azure Blob Storage
BigQuery
Cloud SQL
Cloud Storage
Vertex AI

Langkah berikutnya