このページでは、データ プロファイルで Security Command Center の検出結果を生成するために必要な操作の概要を説明します。このページでは、生成された検出結果を見つけるために使用できるクエリの例についても説明します。
組織、フォルダ、プロジェクト全体のデータに関するプロファイルを自動的に生成するように、Sensitive Data Protection を構成できます。データ プロファイルには、データに関する指標とメタデータが含まれており、センシティブ データとリスクの高いデータの場所を特定できます。Sensitive Data Protection では、これらの指標がさまざまな詳細レベルで報告されます。プロファイリングできるデータの種類については、サポートされているリソースをご覧ください。
Security Command Center は、脆弱性と脅威の報告を一元的に行う Google Cloud のサービスです。Security Command Center では、構成ミス、脆弱性、観測、脅威を特定することで、セキュリティ体制を強化できます。また、検出結果の調査と修正に関する推奨事項も示します。
データ プロファイルは Security Command Center で、データの計算された機密性とデータリスク レベルを示す観察結果を生成できます。これらの結果を使用して、データに関連する脅威や脆弱性に遭遇した際の対応に役立てることが可能です。
生成された Security Command Center の検出結果
Security Command Center にデータ プロファイルを公開するように検出サービスを構成すると、各テーブル データ プロファイルにより次の Security Command Center の検出結果が生成されます。
Data sensitivity
- 特定のテーブル内に存在するデータの機密レベルに関する指標。PII など、追加の制御や管理を必要とする可能性がある要素が含まれるデータは、機密情報に該当します。検出結果の重大度は、データ プロファイルの生成時に機密データ保護が計算した機密性レベルです。
Data risk
- 現在の状態でのデータに関連するリスク。データリスクの計算時、機密データ保護では、テーブル内のデータの機密性レベルと、そのデータを保護するアクセス制御が考慮されます。検出結果の重大度は、データ プロファイルの生成時に機密データ保護が計算したデータリスク レベルです。
生成レイテンシの検出
機密データの保護によってデータ プロファイルが生成されてから、関連する Data sensitivity
と Data risk
の検出結果が Security Command Center に表示されるまでに最大 6 時間かかります。
Security Command Center にデータ プロファイルを送信する
以下に、Security Command Center にデータ プロファイルを公開するためのワークフローの概要を示します。
組織の Security Command Center の有効化レベルを確認します。Security Command Center にデータ プロファイルを送信するには、スタンダード ティアまたはプレミアム ティアの組織レベルで Security Command Center を有効にしている必要があります。
プロジェクト レベルでのみ Security Command Center が有効になっている場合、機密データの保護からの検出結果は Security Command Center に表示されません。
組織で Security Command Center が有効になっていない場合は、有効にする必要があります。詳細については、組織で Security Command Center を有効にするをご覧ください。
機密データの保護を統合サービスとして追加します。詳細については、Google Cloud 統合サービスを追加するをご覧ください。
組織、フォルダ、またはプロジェクトのデータ プロファイリングを構成する場合は、[Security Command Center に公開] オプションをオンにします。既存の検出スキャン構成を編集して、このオプションを有効にすることもできます。
スキャン構成の作成または編集を開始するには、Google Cloud コンソールの [検出] ページに移動します。
データ プロファイルに関連する Security Command Center の検出結果のクエリ
以下は、Security Command Center で関連する Data
sensitivity
と Data risk
の検出結果を見つけるために使用できるクエリの例です。これらのクエリは、[クエリエディタ] フィールドに入力できます。クエリエディタの詳細については、Security Command Center ダッシュボードで検出結果クエリを編集するをご覧ください。
特定の BigQuery テーブルのすべての Data sensitivity
と Data risk
の検出結果を一覧表示する
このクエリは、BigQuery テーブルが別のプロジェクトに保存されているイベントを Security Command Center が検出する場合などに便利です。この場合、Exfiltration: BigQuery Data
Exfiltration
の検出結果が生成され、流出したテーブルの完全な表示名が含まれます。テーブルに関連する任意の Data sensitivity
および Data risk
の検出結果を検索できます。計算されたテーブルの機密性とデータリスク レベルを表示し、それに応じて対応を計画します。
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"
以下を置き換えます。
- PROJECT_ID: BigQuery テーブルを含むプロジェクトの ID
- DATASET_ID: テーブルのデータセット ID
- TABLE_ID: テーブルの ID
重大度が High
の Data risk
と Data sensitivity
のすべての検出結果を一覧表示する
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"