Questa sezione descrive come specificare le azioni che vuoi che Sensitive Data Protection intraprenda dopo la profilazione di una risorsa. Queste azioni sono utili se vuoi inviare approfondimenti raccolti dai profili dei dati ad altri serviziGoogle Cloud .
Per abilitare le azioni di rilevamento, crea o modifica una configurazione di scansione del rilevamento. Le seguenti sezioni descrivono le diverse azioni che puoi attivare nella sezione Aggiungi azioni della configurazione della scansione.Non tutte le azioni in questa pagina sono disponibili per ogni tipo di scoperta. Ad esempio, non puoi aggiungere tag alle risorse se stai configurando l'individuazione per risorse di un altro cloud provider. Per ulteriori informazioni, vedi Azioni supportate in questa pagina.
Per saperne di più sul rilevamento dei dati sensibili, consulta Profili dei dati.
Le operazioni di ispezione e analisi del rischio hanno un insieme diverso di azioni. Per maggiori informazioni, consulta Attivare le azioni di ispezione o analisi del rischio.
Pubblica in Google Security Operations
Le metriche raccolte dai profili dei dati possono aggiungere contesto ai risultati di Google Security Operations. Il contesto aggiuntivo può aiutarti a determinare i problemi di sicurezza più importanti da risolvere.
Ad esempio, se stai esaminando un determinato service agent, Google Security Operations può determinare a quali risorse ha avuto accesso il service agent e se una di queste risorse contiene dati sensibili.
Per inviare i profili dei dati all'istanza di Google Security Operations, attiva Pubblica in Google Security Operations.
Se non hai abilitato un'istanza Google Security Operations per la tua organizzazione, tramite il prodotto autonomo o tramite Security Command Center Enterprise, l'attivazione di questa opzione non ha alcun effetto.
Pubblica su Security Command Center
I risultati dei profili di dati forniscono il contesto quando valuti e sviluppi piani di risposta per i risultati relativi a vulnerabilità e minacce in Security Command Center.
Prima di poter utilizzare questa azione, Security Command Center deve essere attivato a livello di organizzazione. L'attivazione di Security Command Center a livello di organizzazione consente il flusso dei risultati dai servizi integrati come Sensitive Data Protection. Sensitive Data Protection funziona con Security Command Center in tutti i livelli di servizio.Se Security Command Center non è attivato a livello di organizzazione, i risultati di Sensitive Data Protection non vengono visualizzati in Security Command Center. Per maggiori informazioni, vedi Controllare il livello di attivazione di Security Command Center.
Per inviare i risultati dei profili di dati a Security Command Center, assicurati che l'opzione Pubblica in Security Command Center sia attivata.
Per saperne di più, vedi Pubblicare profili di dati in Security Command Center.
Salva le copie dei profili dati su BigQuery
Sensitive Data Protection salva una copia di ogni profilo di dati generato
in una tabella BigQuery. Se non fornisci i dettagli della tabella che preferisci, Sensitive Data Protection crea un set di dati e una tabella nel contenitore dell'agente di servizio.
Per impostazione predefinita, il set di dati si chiama sensitive_data_protection_discovery e
la tabella si chiama discovery_profiles.
In questo modo, puoi conservare una cronologia di tutti i profili generati. Questa cronologia può essere utile per creare report di audit e visualizzare i profili dei dati. Puoi anche caricare queste informazioni in altri sistemi.
Inoltre, questa opzione ti consente di visualizzare tutti i tuoi profili dei dati in un'unica visualizzazione, indipendentemente dalla regione in cui si trovano i dati. Anche se puoi visualizzare i profili dei dati tramite la consoleGoogle Cloud , la console mostra i profili in una sola regione alla volta.
Quando Sensitive Data Protection non riesce a profilare una risorsa, esegue periodicamente nuovi tentativi. Per ridurre al minimo il rumore nei dati esportati, Sensitive Data Protection esporta in BigQuery solo i profili generati correttamente.
Sensitive Data Protection inizia a esportare i profili dal momento in cui attivi questa opzione. I profili generati prima dell'attivazione dell'esportazione non vengono salvati in BigQuery.
Per esempi di query che puoi utilizzare durante l'analisi dei profili dei dati, consulta Analizzare i profili dei dati.
Salva i risultati del rilevamento di esempio in BigQuery
Sensitive Data Protection può aggiungere risultati di esempio a una tabella BigQuery a tua scelta. I risultati di esempio rappresentano un sottoinsieme di tutti i risultati e potrebbero non rappresentare tutti i tipi di informazioni rilevati. Normalmente, il sistema genera circa 10 risultati di esempio per risorsa, ma questo numero può variare per ogni esecuzione del rilevamento.
Ogni risultato include la stringa effettiva (chiamata anche citazione) rilevata e la sua posizione esatta.
Questa azione è utile se vuoi valutare se la configurazione dell'ispezione corrisponde correttamente al tipo di informazioni che vuoi contrassegnare come sensibili. Utilizzando i profili dei dati esportati e i risultati di esempio esportati, puoi eseguire query per ottenere maggiori informazioni sugli elementi specifici segnalati, sugli infoType corrispondenti, sulle loro posizioni esatte, sui livelli di sensibilità calcolati e su altri dettagli.
Query di esempio: mostra i risultati di esempio relativi ai profili dati dell'archivio file
Questo esempio richiede l'abilitazione sia di Salva le copie dei profili dati in BigQuery sia di Salva i risultati del rilevamento di esempio in BigQuery.
La seguente query utilizza un'operazione INNER JOIN sia sulla tabella dei profili dei dati esportati sia sulla tabella dei risultati di esempio esportati. Nella tabella risultante, ogni record mostra la citazione del risultato, l'infoType a cui corrisponde, la risorsa che contiene il risultato e il livello di sensibilità calcolato della risorsa.
SELECT findings_table.quote, findings_table.infotype.name, findings_table.location.container_name, profiles_table.file_store_profile.file_store_path as bucket_name, profiles_table.file_store_profile.sensitivity_score as bucket_sensitivity_score FROM `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table INNER JOIN `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table ON findings_table.data_profile_resource_name=profiles_table.file_store_profile.name
Query di esempio: mostra i risultati di esempio relativi ai profili dei dati delle tabelle
Questo esempio richiede l'abilitazione sia di Salva le copie dei profili dati in BigQuery sia di Salva i risultati del rilevamento di esempio in BigQuery.
La seguente query utilizza un'operazione INNER JOIN sia sulla tabella dei profili dei dati esportati sia sulla tabella dei risultati di esempio esportati. Nella tabella risultante, ogni record mostra la citazione del risultato, l'infoType a cui corrisponde, la risorsa che contiene il risultato e il livello di sensibilità calcolato della risorsa.
SELECT findings_table.quote, findings_table.infotype.name, findings_table.location.container_name, findings_table.location.data_profile_finding_record_location.field.name AS field_name, profiles_table.table_profile.dataset_project_id AS project_id, profiles_table.table_profile.dataset_id AS dataset_id, profiles_table.table_profile.table_id AS table_id, profiles_table.table_profile.sensitivity_score AS table_sensitivity_score FROM `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table INNER JOIN `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table ON findings_table.data_profile_resource_name=profiles_table.table_profile.name
Per salvare i risultati di esempio in una tabella BigQuery, segui questi passaggi:
Attiva l'opzione Salva i risultati del rilevamento di esempio in BigQuery.
Inserisci i dettagli della tabella BigQuery in cui vuoi salvare i risultati di esempio.
La tabella specificata per questa azione deve essere diversa da quella utilizzata per l'azione Salva le copie dei profili di dati in BigQuery.
In ID progetto, inserisci l'ID di un progetto esistente in cui vuoi esportare i risultati.
In ID set di dati, inserisci il nome di un set di dati esistente nel progetto.
Per ID tabella, inserisci il nome della tabella BigQuery in cui vuoi salvare i risultati. Se questa tabella non esiste, Sensitive Data Protection la crea automaticamente utilizzando il nome che fornisci.
Per informazioni sui contenuti di ciascun risultato salvato nella tabella BigQuery, vedi DataProfileFinding.
Associare tag alle risorse
L'attivazione dell'opzione Collega tag alle risorse indica a Sensitive Data Protection di taggare automaticamente i dati in base al livello di sensibilità calcolato. Questa sezione richiede di completare prima le attività descritte in Controllare l'accesso IAM alle risorse in base alla sensibilità dei dati.
Per taggare automaticamente una risorsa in base al suo livello di sensibilità calcolato, segui questi passaggi:
- Attiva l'opzione Tagga risorse.
Per ogni livello di sensibilità (alto, moderato, basso e sconosciuto), inserisci il percorso del valore del tag che hai creato per il livello di sensibilità specificato.
Se salti un livello di sensibilità, non viene allegato alcun tag.
Per ridurre automaticamente il livello di rischio dei dati di una risorsa quando è presente il tag del livello di sensibilità, seleziona Quando un tag viene applicato a una risorsa, riduci il rischio dei dati del profilo impostandolo su BASSO. Questa opzione ti aiuta a misurare il miglioramento della sicurezza e della privacy dei tuoi dati.
Seleziona una o entrambe le seguenti opzioni:
- Tagga una risorsa quando viene profilata per la prima volta.
Tagga una risorsa quando il suo profilo viene aggiornato. Seleziona questa opzione se vuoi che Sensitive Data Protection sovrascriva il valore del tag del livello di sensibilità nelle esecuzioni di rilevamento successive. Di conseguenza, l'accesso di un principal a una risorsa cambia automaticamente man mano che il livello di sensibilità dei dati calcolato per quella risorsa aumenta o diminuisce.
Non selezionare questa opzione se prevedi di aggiornare manualmente i valori dei tag del livello di sensibilità che il servizio di rilevamento ha allegato alle tue risorse. Se selezioni questa opzione, Sensitive Data Protection può sovrascrivere gli aggiornamenti manuali.
Pubblica in Pub/Sub
L'attivazione dell'opzione Pubblica su Pub/Sub ti consente di eseguire azioni programmatiche in base ai risultati della profilazione. Puoi utilizzare le notifiche Pub/Sub per sviluppare un flusso di lavoro per rilevare e correggere i risultati con un rischio o una sensibilità dei dati significativi.
Per inviare notifiche a un argomento Pub/Sub:
Attiva Pubblica in Pub/Sub.
Viene visualizzato un elenco di opzioni. Ogni opzione descrive un evento che fa sì che Sensitive Data Protection invii una notifica a Pub/Sub.
Seleziona gli eventi che devono attivare una notifica Pub/Sub.
Se selezioni Invia una notifica Pub/Sub ogni volta che un profilo viene aggiornato, Sensitive Data Protection invia una notifica quando si verifica una modifica a livello di sensibilità, livello di rischio dei dati, infoType rilevati, accesso pubblico e altre metriche importanti nel profilo.
Per ogni evento selezionato:
Inserisci il nome dell'argomento. Il nome deve avere il seguente formato:
projects/PROJECT_ID/topics/TOPIC_IDSostituisci quanto segue:
- PROJECT_ID: l'ID del progetto associato all'argomento Pub/Sub.
- TOPIC_ID: l'ID dell'argomento Pub/Sub.
Specifica se includere il profilo completo della risorsa nella notifica o solo il nome completo della risorsa profilata.
Imposta i livelli minimi di rischio e sensibilità dei dati che devono essere soddisfatti affinché Sensitive Data Protection invii una notifica.
Specifica se deve essere soddisfatta una sola o entrambe le condizioni di rischio e sensibilità dei dati. Ad esempio, se scegli
AND, devono essere soddisfatte sia le condizioni di rischio dei dati sia quelle di sensibilità prima che Sensitive Data Protection invii una notifica.
Invia a Data Catalog come tag
Questa funzionalità è ritirata.
Questa azione consente di creare tag Data Catalog in Dataplex Universal Catalog in base agli approfondimenti dei profili dei dati. Questa azione viene applicata solo ai profili nuovi e aggiornati. I profili esistenti che non vengono aggiornati non vengono inviati a Dataplex Universal Catalog.
Data Catalog è un servizio di gestione dei metadati scalabile e completamente gestito. Quando abiliti questa azione, le tabelle di cui crei il profilo vengono automaticamente taggate in Data Catalog in base agli approfondimenti raccolti dai profili dei dati. Puoi quindi utilizzare Dataplex Universal Catalog per cercare nella tua organizzazione e nei progetti tabelle con valori di tag specifici.
Per inviare i profili dei dati a Dataplex Universal Catalog come tag Data Catalog, assicurati che l'opzione Invia a Dataplex come tag sia attivata.
Per ulteriori informazioni, consulta Taggare le tabelle in Data Catalog in base agli approfondimenti dei profili dei dati.
Invia a Dataplex Universal Catalog come aspetti
Questa azione ti consente di aggiungere aspetti di Dataplex Universal Catalog alle risorse profilate in base agli approfondimenti dei profili dei dati. Questa azione viene applicata solo ai profili nuovi e aggiornati. I profili esistenti che non vengono aggiornati non vengono inviati a Dataplex Universal Catalog.
Quando abiliti questa azione, Sensitive Data Protection associa l'aspetto
Sensitive Data Protection profile alla voce
Dataplex Universal Catalog per ogni risorsa
nuova o aggiornata di cui crei il profilo. Gli aspetti generati contengono approfondimenti raccolti
dai profili dei dati. Puoi quindi cercare nella tua organizzazione e nei tuoi progetti voci con valori di aspetto Sensitive Data Protection profile specifici.
Per inviare i profili dei dati a Dataplex Universal Catalog, assicurati che l'opzione Invia a Dataplex Catalog come aspetti sia attivata.
Per saperne di più, consulta Aggiungere aspetti del Catalogo universale Dataplex in base agli approfondimenti dei profili dei dati.
Azioni supportate
La tabella seguente mostra le azioni supportate per ogni tipo di scoperta.
| Pubblica in Google Security Operations | Pubblica su Security Command Center | Salva le copie dei profili dati su BigQuery | Salva i risultati del rilevamento di esempio in BigQuery | Associare tag alle risorse | Pubblica in Pub/Sub | Invia a Dataplex Universal Catalog come tag di Data Catalog (ritirato) | Invia a Dataplex Universal Catalog come aspetti | |
|---|---|---|---|---|---|---|---|---|
| Amazon S3 | ✓ | ✓ | ✓ | ✓ | ✓ | |||
| Azure Blob Storage | ✓ | ✓ | ✓ | ✓ | ✓ | |||
| BigQuery | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Cloud SQL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Cloud Storage | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| Vertex AI | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
Passaggi successivi
- Scopri come utilizzare i dati di contesto dei profili di dati in Google Security Operations.
- Scopri di più sui risultati che Sensitive Data Protection può generare in Security Command Center.
- Scopri come analizzare i profili dei dati in BigQuery e Looker Studio.
- Scopri come controllare l'accesso IAM alle risorse in base alla sensibilità dei dati.
- Scopri come ricevere e analizzare i messaggi Pub/Sub sui profili di dati.
- Scopri come aggiungere aspetti del Catalogo universale Dataplex in base agli approfondimenti dei profili dei dati.