本節說明如何指定您希望 Sensitive Data Protection 在剖析資源後採取的動作。如果您想將從資料設定檔收集的洞察資料傳送至其他Google Cloud 服務,這些動作就非常實用。
如要啟用探索動作,請建立或編輯探索掃描設定。以下各節說明您可以在掃描設定的「新增動作」部分啟用哪些動作。請注意,這個頁面上的部分動作可能不適用於所有探索類型。舉例來說,如果您要為其他雲端服務供應商的資源設定探索功能,就無法將標記附加至資源。詳情請參閱本頁的「支援的動作」一文。
如要進一步瞭解機密資料探索,請參閱資料設定檔。
檢查和風險分析作業有不同的動作組合。詳情請參閱「啟用檢查或風險分析動作」。
發布至 Google Security Operations
從資料設定檔收集的指標可為 Google Security Operations 發現項目提供背景資訊。新增的背景資訊可協助您判斷要解決的最重要安全性問題。
舉例來說,如果您正在調查特定服務代理程式,Google Security Operations 可以判斷該服務代理程式存取了哪些資源,以及這些資源是否含有高度敏感的資料。
如要將資料剖析檔傳送至 Google Security Operations 執行個體,請開啟「發布至 Google Security Operations」。
如果您的機構未啟用 Google Security Operations 執行個體 (透過獨立產品或 Security Command Center Enterprise),開啟這個選項不會有任何作用。
發布至 Security Command Center
在 Security Command Center 中,資料剖析檔的發現項目可提供背景資訊,協助您分類安全漏洞和威脅發現項目,並制定因應計畫。
如要使用這項動作,必須先在機構層級啟用 Security Command Center。在機構層級啟用 Security Command Center 後,系統就能從 Sensitive Data Protection 等整合服務接收發現項目。Sensitive Data Protection 適用於 Security Command Center 的所有服務級別。如果未在機構層級啟用 Security Command Center,Sensitive Data Protection 發現項目就不會顯示在 Security Command Center 中。詳情請參閱「查看 Security Command Center 的啟用層級」。
如要將資料剖析結果傳送至 Security Command Center,請務必開啟「發布至 Security Command Center」選項。
詳情請參閱「將資料剖析檔發布至 Security Command Center」。
將資料設定檔副本儲存至 BigQuery
Sensitive Data Protection 會將每個產生的資料剖析檔副本儲存至 BigQuery 資料表。如果未提供偏好資料表的詳細資料,Sensitive Data Protection 會在服務代理程式容器中建立資料集和資料表。根據預設,資料集名稱為 sensitive_data_protection_discovery,資料表名稱為 discovery_profiles。
這項操作可讓您保留所有產生的設定檔記錄。這項記錄有助於建立稽核報告和顯示資料設定檔。你也可以將這項資訊載入其他系統。
此外,無論資料位於哪個區域,您都能透過這個選項在單一檢視畫面中查看所有資料設定檔。雖然您也可以透過Google Cloud 控制台查看資料設定檔,但控制台一次只會顯示一個區域的設定檔。
如果 Sensitive Data Protection 無法剖析資源,系統會定期重試。為盡量減少匯出資料中的干擾,Sensitive Data Protection 只會將成功產生的剖析檔匯出至 BigQuery。
開啟這個選項後,Sensitive Data Protection 就會開始匯出剖析檔。啟用匯出功能前產生的剖析檔不會儲存至 BigQuery。
如需分析資料設定檔時可使用的查詢範例,請參閱「分析資料設定檔」。
將部分探索發現項目儲存至 BigQuery
Sensitive Data Protection 可將範例發現項目新增至您選擇的 BigQuery 資料表。樣本結果僅代表所有結果的子集,可能無法呈現所有已發現的 infoType。一般來說,系統會為每個資源產生約 10 個樣本結果,但每次探索作業的結果數量可能不同。
每個發現項目都會包含偵測到的實際字串 (也稱為「引文」) 和確切位置。
如果您想評估檢查設定是否正確比對出您要標示為機密的資訊類型,這項操作就很有用。您可以使用匯出的資料設定檔和匯出的樣本結果執行查詢,進一步瞭解遭標記的特定項目、相符的 infoType、確切位置、計算出的敏感度等級和其他詳細資料。
查詢範例:顯示與檔案儲存庫資料剖析檔相關的樣本結果
這個範例需要啟用「將資料剖析檔副本儲存至 BigQuery」和「將部分探索發現項目儲存至 BigQuery」。
下列查詢會對匯出的資料剖析表和匯出的樣本結果表執行 INNER JOIN 作業。在產生的表格中,每筆記錄都會顯示發現項目的引用內容、相符的 infoType、包含發現項目的資源,以及資源的計算敏感度等級。
SELECT findings_table.quote, findings_table.infotype.name, findings_table.location.container_name, profiles_table.file_store_profile.file_store_path as bucket_name, profiles_table.file_store_profile.sensitivity_score as bucket_sensitivity_score FROM `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table INNER JOIN `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table ON findings_table.data_profile_resource_name=profiles_table.file_store_profile.name
查詢範例:顯示與資料表資料設定檔相關的發現項目範例
這個範例需要啟用「將資料剖析檔副本儲存至 BigQuery」和「將部分探索發現項目儲存至 BigQuery」。
下列查詢會對匯出的資料剖析表和匯出的樣本結果表執行 INNER JOIN 作業。在產生的表格中,每筆記錄都會顯示發現項目的引用內容、相符的 infoType、包含發現項目的資源,以及資源的計算敏感度等級。
SELECT findings_table.quote, findings_table.infotype.name, findings_table.location.container_name, findings_table.location.data_profile_finding_record_location.field.name AS field_name, profiles_table.table_profile.dataset_project_id AS project_id, profiles_table.table_profile.dataset_id AS dataset_id, profiles_table.table_profile.table_id AS table_id, profiles_table.table_profile.sensitivity_score AS table_sensitivity_score FROM `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table INNER JOIN `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table ON findings_table.data_profile_resource_name=profiles_table.table_profile.name
如要將發現項目示例儲存至 BigQuery 資料表,請按照下列步驟操作:
開啟「將部分探索發現項目儲存至 BigQuery」。
輸入要儲存發現項目示例的 BigQuery 資料表詳細資料。
您為這項動作指定的資料表,必須與「將資料剖析檔副本儲存至 BigQuery」動作所用的資料表不同。
在「Project ID」(專案 ID) 中,輸入要匯出調查結果的現有專案 ID。
在「Dataset ID」(資料集 ID) 部分,輸入專案中現有資料集的名稱。
在「Table ID」(資料表 ID),輸入要儲存發現項目的 BigQuery 資料表名稱。如果這個資料表不存在,Sensitive Data Protection 會使用您提供的名稱自動建立。
如要瞭解儲存在 BigQuery 資料表中的每個發現項目內容,請參閱DataProfileFinding。
將標記附加至資源
開啟「將標記附加至資源」後,Sensitive Data Protection 會根據計算出的機密程度,自動為資料加上標記。如要完成本節內容,請先完成「根據資料機密程度控管資源的 IAM 存取權」中的工作。
如要根據資源的計算敏感度層級自動標記資源,請按照下列步驟操作:
- 開啟「標記資源」選項。
針對每個私密程度 (高、中、低和不明),輸入您為該私密程度建立的代碼值路徑。
如果略過某個私密程度,系統就不會附加該程度的標記。
如要在出現機密程度標記時,自動降低資源的資料風險等級,請選取「為資源加上標記後,將其剖析檔的資料風險降至『低』」。這個選項可協助您評估資料安全和隱私防護措施的改善成效。
選取下列其中一個選項,或同時選取兩者:
- 初次剖析資源時加上標記。
更新資源的剖析檔時加上標記。如果希望 Sensitive Data Protection 在後續的探索作業中覆寫敏感度層級標記值,請選取這個選項。因此,當資源的計算資料敏感度等級提高或降低時,主體的資源存取權會自動變更。
如果您打算手動更新探索服務附加至資源的機密程度標籤值,請勿選取這個選項。如果選取這個選項,Sensitive Data Protection 可能會覆寫手動更新。
發布至 Pub/Sub
開啟「發布至 Pub/Sub」後,您就能根據剖析結果採取程式輔助動作。您可以運用 Pub/Sub 通知,開發工作流程來擷取並修正具有重大資料風險或敏感度的發現項目。
如要將通知傳送至 Pub/Sub 主題,請按照下列步驟操作:
開啟「發布至 Pub/Sub」。
畫面上會顯示選項清單。每個選項都說明會導致 Sensitive Data Protection 將通知傳送至 Pub/Sub 的事件。
選取應觸發 Pub/Sub 通知的事件。
如果選取「每當更新設定檔時傳送 Pub/Sub 通知」,當設定檔中的敏感度等級、資料風險等級、偵測到的 infoType、公開存取權和其他重要指標發生變化時,Sensitive Data Protection 就會傳送通知。
請針對選取的每個事件執行下列步驟:
輸入主題名稱。名稱必須採用下列格式:
projects/PROJECT_ID/topics/TOPIC_ID更改下列內容:
- PROJECT_ID:與 Pub/Sub 主題相關聯的專案 ID。
- TOPIC_ID:Pub/Sub 主題的 ID。
指定要在通知中加入完整資源設定檔,還是只加入已設定檔資源的完整資源名稱。
設定最低資料風險和機密程度,達到這些程度時,Sensitive Data Protection 就會傳送通知。
指定是否必須同時符合資料風險和敏感度條件,或只要符合其中一項即可。舉例來說,如果您選擇
AND,則資料風險和敏感度條件都必須符合,Sensitive Data Protection 才會傳送通知。
以標記的形式傳送至 Data Catalog
這項功能已淘汰。
這項動作可讓您根據資料剖析的洞察資料,在 Dataplex Universal Catalog 中建立 Data Catalog 標記。這項動作只會套用至新設定和更新的設定檔。 未更新的現有設定檔不會傳送至 Dataplex Universal Catalog。
Data Catalog 是可擴充的全代管中繼資料管理服務。啟用這項動作後,系統會根據從資料剖析檔收集的洞察資料,自動在 Data Catalog 中標記您剖析的資料表。然後,您可以使用 Dataplex Universal Catalog,在貴機構和專案中搜尋具有特定標記值的資料表。
如要將資料剖析檔傳送至 Dataplex Universal Catalog 做為 Data Catalog 標記,請務必開啟「以標記的形式傳送至 Dataplex」選項。
詳情請參閱「根據資料剖析的洞察資訊,在 Data Catalog 中標記資料表」。
傳送至 Dataplex Universal Catalog 做為切面
這項動作可讓您根據資料剖析的洞察資訊,將 Dataplex Universal Catalog 切面 新增至已剖析的資源。這項動作只會套用至新設定和更新的設定檔。 未更新的現有設定檔不會傳送至 Dataplex Universal Catalog。
啟用這項動作後,Sensitive Data Protection 會將 Sensitive Data Protection profile 切面附加至您剖析的每個新資源或更新資源的 Dataplex Universal Catalog 項目。產生的層面包含從資料設定檔收集的洞察資料。然後在貴機構和專案中,搜尋具有特定 Sensitive Data Protection profile 方面值的項目。
如要將資料剖析檔傳送至 Dataplex Universal Catalog,請務必開啟「傳送至 Dataplex Catalog 做為切面」選項。
詳情請參閱「根據資料剖析的洞察資訊新增 Dataplex Universal Catalog 切面」。
支援的動作
下表列出各探索類型支援的操作。
| 發布至 Google Security Operations | 發布至 Security Command Center | 將資料設定檔副本儲存至 BigQuery | 將部分探索發現項目儲存至 BigQuery | 將標記附加至資源 | 發布至 Pub/Sub | 以 Data Catalog 標記的形式傳送至 Dataplex Universal Catalog (已淘汰) | 傳送至 Dataplex Universal Catalog 做為切面 | |
|---|---|---|---|---|---|---|---|---|
| Amazon S3 | ✓ | ✓ | ✓ | ✓ | ✓ | |||
| Azure Blob 儲存體 | ✓ | ✓ | ✓ | ✓ | ✓ | |||
| BigQuery | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Cloud SQL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Cloud Storage | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| Vertex AI | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
後續步驟
- 瞭解如何在 Google Security Operations 中使用資料設定檔的內容資料。
- 瞭解 Sensitive Data Protection 可在 Security Command Center 中產生的發現項目。
- 瞭解如何在 BigQuery 和 Looker Studio 中分析資料剖析。
- 瞭解如何根據資料機密程度控管資源的 IAM 存取權。
- 瞭解如何接收及剖析有關資料設定檔的 Pub/Sub 訊息。
- 瞭解如何根據資料剖析的洞察資訊新增 Dataplex Universal Catalog 切面。