启用发现操作

本部分介绍如何指定在分析资源后，您希望敏感数据保护采取的操作。如果您想将从数据分析中获得的分析洞见发送到其他Google Cloud 服务，这些操作会非常有用。

本页上的部分操作不适用于每种发现类型。例如，如果您要为其他云提供商的资源配置发现，则无法将标记附加到资源。如需了解详情，请参阅本页面上的支持的操作。

如需详细了解敏感数据发现，请参阅数据剖析。

检查和风险分析操作具有不同的操作集。如需了解详情，请参阅启用检查或风险分析操作。

发布到 Google Security Operations

从数据配置文件中收集的指标可以为 Google Security Operations 发现结果添加背景信息。添加的上下文信息可帮助您确定要解决的最重要的安全问题。

例如，如果您正在调查某个特定服务代理，Google Security Operations 可以确定该服务代理访问了哪些资源，以及其中是否有任何资源包含高敏感度数据。

如需将数据分析结果发送到您的 Google Security Operations 实例，请开启发布到 Google Security Operations。

如果您尚未为组织启用 Google Security Operations 实例（通过独立产品或 Security Command Center Enterprise），那么开启此选项不会产生任何影响。

发布到 Security Command Center

在 Security Command Center 中对漏洞和威胁发现结果进行分类并制定应对方案时，数据剖析的发现结果可提供相关背景信息。

如果未在组织级层激活 Security Command Center，则 Sensitive Data Protection 发现结果不会显示在 Security Command Center 中。如需了解详情，请参阅查看 Security Command Center 的激活级层。

如需将数据分析结果发送到 Security Command Center，请确保发布到 Security Command Center 选项处于开启状态。

如需了解详情，请参阅将数据分析结果发布到 Security Command Center。

将数据配置文件副本保存到 BigQuery

Sensitive Data Protection 会将每个生成的数据剖析文件的副本保存在 BigQuery 表中。如果您未提供首选表的详细信息，Sensitive Data Protection 会在服务代理容器中创建数据集和表。默认情况下，数据集名为 sensitive_data_protection_discovery，表名为 discovery_profiles。

使用此选项可以保留所有已生成剖析文件的历史记录。此历史记录可用于创建审核报告和直观呈现数据配置文件。您还可以将这些信息加载到其他系统。

此外，使用此选项，您可以在一个视图中查看所有数据剖析文件，而不考虑数据位于哪个区域。虽然您也可以通过Google Cloud 控制台查看数据分析，但控制台一次只能显示一个区域的分析。

如果 Sensitive Data Protection 无法分析资源，则会定期重试。为了最大限度地减少导出数据中的噪声，敏感数据保护仅将成功生成的剖析文件导出到 BigQuery。

Sensitive Data Protection 会从您开启此选项时开始导出剖析文件。在您启用导出功能之前生成的数据分析文件不会保存到 BigQuery。

如需查看可在分析数据剖析时使用的示例查询，请参阅分析数据剖析。

将发现结果示例保存到 BigQuery

敏感数据保护可以将示例发现结果添加到您选择的 BigQuery 表中。抽样结果仅代表部分结果，可能无法代表发现的所有 infoType。 通常，系统会为每项资源生成大约 10 个发现结果样本，但每次发现运行的样本数量可能会有所不同。

每项发现结果都包含检测到的实际字符串（也称为引用）及其确切位置。

如果您想评估检查配置是否正确匹配了您想标记为敏感的信息类型，此操作会非常有用。使用导出的数据配置文件和导出的样本发现结果，您可以运行查询来获取有关被标记的特定项、它们匹配的 infoType、它们的确切位置、计算出的敏感度级别和其他详细信息的更多信息。

SELECT
 findings_table.quote,
 findings_table.infotype.name,
 findings_table.location.container_name,
 profiles_table.file_store_profile.file_store_path as bucket_name,
 profiles_table.file_store_profile.sensitivity_score as bucket_sensitivity_score
FROM
 `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table
INNER JOIN
 `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table
ON
 findings_table.data_profile_resource_name=profiles_table.file_store_profile.name

SELECT
 findings_table.quote,
 findings_table.infotype.name,
 findings_table.location.container_name,
 findings_table.location.data_profile_finding_record_location.field.name AS field_name,
 profiles_table.table_profile.dataset_project_id AS project_id,
 profiles_table.table_profile.dataset_id AS dataset_id,
 profiles_table.table_profile.table_id AS table_id,
 profiles_table.table_profile.sensitivity_score AS table_sensitivity_score
 FROM
 `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table
INNER JOIN
 `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table
ON
 findings_table.data_profile_resource_name=profiles_table.table_profile.name

如需将发现结果示例保存到 BigQuery 表中，请按以下步骤操作：

1. 开启将发现结果示例保存到 BigQuery。

2. 输入要保存发现结果示例的 BigQuery 表的详细信息。

   您为此操作指定的表必须不同于用于将数据剖析文件副本保存到 BigQuery 操作的表。

   • 对于项目 ID，请输入要将发现结果导出到的现有项目的 ID。

   • 在数据集 ID 中，输入项目中现有数据集的名称。

   • 在表 ID 部分，输入您要将发现结果保存到的 BigQuery 表的名称。如果此表不存在，Sensitive Data Protection 会使用您提供的名称自动为您创建此表。

如需了解保存在 BigQuery 表中的每项发现结果的内容，请参阅 DataProfileFinding。

将标记附加到资源

启用将标记附加到资源后，敏感数据保护功能会根据计算出的数据敏感度级别自动标记数据。在完成根据数据敏感度控制对资源的 IAM 访问权限中的任务之前，您无法完成本部分中的任务。

如需根据资源的计算敏感度级别自动标记资源，请按以下步骤操作：

1. 开启标记资源选项。

2. 对于每个敏感度级别（高、中、低和未知），请输入您为相应敏感度级别创建的标记值的路径。

   如果您跳过某个敏感度级别，则系统不会附加相应标记。

3. 如需在存在敏感度级别标记时自动降低资源的数据风险级别，请选择对资源应用标记时，将其分析结果的数据风险降为“低”。此选项可帮助您衡量数据安全和隐私保护状况的改善情况。

4. 选择以下一个或两个选项：

   • 首次分析资源时对其添加标记。

   • 更新资源分析文件时对资源添加标记。如果您希望 Sensitive Data Protection 在后续发现运行中覆盖敏感度级别标记值，请选择此选项。因此，当资源的计算数据敏感度级别升高或降低时，正文对该资源的访问权限会自动发生变化。

     如果您计划手动更新发现服务附加到资源上的敏感度级别标记值，请勿选择此选项。如果您选择此选项，Sensitive Data Protection 可能会覆盖您的手动更新。

发布到 Pub/Sub

启用发布到 Pub/Sub 后，您可以根据分析结果采取程序化操作。您可以使用 Pub/Sub 通知来开发工作流，以捕获和修正具有重大数据风险或敏感性的发现结果。

如需向 Pub/Sub 主题发送通知，请按以下步骤操作：

1. 开启发布到 Pub/Sub。

   系统会显示一个选项列表。每个选项都描述了一个事件，该事件会导致 Sensitive Data Protection 向 Pub/Sub 发送通知。

2. 选择应触发 Pub/Sub 通知的事件。

   如果您选择每当更新配置文件时就发送 Pub/Sub 通知，则当配置文件中的敏感度级别、数据风险级别、检测到的 infoType、公开访问权限和其他重要指标发生变化时，Sensitive Data Protection 会发送通知。

3. 对于您选择的每个活动，请按以下步骤操作：

   1. 输入主题的名称。名称必须采用以下格式：

      projects/PROJECT_ID/topics/TOPIC_ID
      

      替换以下内容：

      • PROJECT_ID：与 Pub/Sub 主题关联的项目的 ID。
      • TOPIC_ID：Pub/Sub 主题的 ID。

   2. 指定是在通知中包含完整的资源配置文件，还是仅包含已分析的资源的完整资源名称。

   3. 设置必须满足的最低数据风险等级和敏感程度，以便 Sensitive Data Protection 发送通知。

   4. 指定是必须满足数据风险和敏感度条件中的一个还是两个。例如，如果您选择 AND，则必须同时满足数据风险条件和敏感度条件，Sensitive Data Protection 才会发送通知。

以标记形式发送到 Data Catalog

此功能已弃用。

此操作可让您根据数据分析洞见在 Dataplex Universal Catalog 中创建 Data Catalog 标记。此操作仅适用于新个人资料和更新后的个人资料。 未更新的现有个人资料不会发送到 Dataplex Universal Catalog。

Data Catalog 是一项可扩缩的全代管式元数据管理服务。启用此操作后，系统会根据从数据分析文件收集的洞见，自动在 Data Catalog 中标记您分析的表。然后，您可以使用 Dataplex Universal Catalog 在组织和项目中搜索具有特定标记值的表。

如需将数据分析文件以 Data Catalog 标记的形式发送到 Dataplex Universal Catalog，请确保以标记形式发送到 Dataplex 选项处于开启状态。

如需了解详情，请参阅根据数据剖析文件中的数据洞见在 Data Catalog 中标记表。

以切面形式发送到 Dataplex Universal Catalog

此操作可让您根据数据分析洞见，向已分析的资源添加 Dataplex Universal Catalog 方面。 此操作仅适用于新个人资料和更新后的个人资料。 未更新的现有个人资料不会发送到 Dataplex Universal Catalog。

启用此操作后，敏感数据保护会为分析的每个新资源或更新资源附加 Dataplex Universal Catalog 条目的 Sensitive Data Protection profile 切面。生成的方面包含从数据配置文件中收集的分析洞见。然后，您可以在组织和项目中搜索具有特定 Sensitive Data Protection profile 方面值的条目。

如需将数据分析文件发送到 Dataplex Universal Catalog，请确保已开启以切面形式发送到 Dataplex Catalog 选项。

如需了解详情，请参阅根据数据分析提供的分析洞见添加 Dataplex Universal Catalog 切面。

支持的操作

下表显示了每种发现类型支持的操作。

后续步骤

• 了解如何在 Google Security Operations 中使用数据资料中的上下文数据。
• 了解 Sensitive Data Protection 可以在 Security Command Center 中生成的发现结果。
• 了解如何在 BigQuery 和 Looker 数据洞察中分析数据配置文件。
• 了解如何根据数据敏感度控制对资源的 IAM 访问权限。
• 了解如何接收和解析有关数据配置的 Pub/Sub 消息。
• 了解如何根据数据分析提供的分析洞见添加 Dataplex Universal Catalog 切面。