本頁提供高階總覽,說明如要讓資料剖析檔在 Security Command Center 中產生發現項目,必須採取哪些行動。這個頁面也提供查詢範例,方便您找出產生的發現項目。
如果您是 Security Command Center Enterprise 客戶,請改為參閱 Security Command Center 說明文件中的「在 Enterprise 方案中啟用機密資料探索功能」。
關於資料剖析檔
您可以設定 Sensitive Data Protection,自動產生機構、資料夾或專案中資料的剖析檔。資料剖析檔包含資料的指標和中繼資料,可協助您判斷機密和高風險資料的存放位置。Sensitive Data Protection 會在不同詳細程度的層級回報這些指標。如要瞭解可剖析的資料類型,請參閱「支援的資源」。
將資料剖析檔發布至 Security Command Center 的好處
這項功能在 Security Command Center 中有以下優點:
您可以運用這些發現,在分類程序中加入背景資訊,並優先處理以含有機密資料的資源為目標的威脅。
您可以設定 Security Command Center,讓系統根據資源所含資料的機密程度,自動為攻擊路徑模擬功能設定資源優先順序。詳情請參閱「自動依據資料機密程度設定資源優先順序值」。
產生的 Security Command Center 發現項目
將探索服務設定為將資料剖析檔發布至 Security Command Center 時,每個資料表資料剖析檔或檔案儲存空間資料剖析檔都會產生下列 Security Command Center 發現項目。
探索服務發現的安全漏洞
Sensitive Data Protection 探索服務可協助您判斷是否儲存未受保護的高度機密資料。
| 類別 | 摘要 |
|---|---|
|
發現結果說明:指定資源含有 高度機密資料,網際網路上的任何人都能存取。 支援的素材資源:
補救措施: 如要移除 Google Cloud 資料,請從資料資產的 IAM 政策中移除 如果是 Amazon S3 資料,請設定封鎖公開存取設定,或更新物件的 ACL,拒絕公開讀取存取權。詳情請參閱 AWS 說明文件中的「 為 S3 儲存貯體設定封鎖公開存取設定」和「設定 ACL」。 如果是 Azure Blob 儲存體資料,請移除容器和 Blob 的公開存取權。詳情請參閱 Azure 說明文件中的「總覽:修正 Blob 資料的匿名讀取存取權」。 法規遵循標準:未對應 |
|
發現說明:環境變數中含有密碼、驗證權杖和憑證等機密資訊。 Google Cloud 如要啟用這項偵測器,請參閱 Sensitive Data Protection 說明文件中的「 向 Security Command Center 回報環境變數中的密鑰」。 支援的素材資源: 補救措施: 如果是 Cloud Run 函式環境變數,請從環境變數中移除密鑰,並改為儲存在 Secret Manager 中。 如要移除 Cloud Run 服務修訂版本的環境變數,請將所有流量從該修訂版本移出,然後刪除該修訂版本。 法規遵循標準:
|
|
發現項目說明:指定資源中含有密鑰,例如密碼、驗證權杖和雲端憑證。 支援的素材資源:
補救措施:
法規遵循標準:未對應 |
探索服務的錯誤設定發現項目
Sensitive Data Protection 探索服務可協助您判斷是否有可能導致機密資料外洩的設定錯誤。
| 類別 | 摘要 |
|---|---|
|
發現項目說明:指定資源含有 高敏感度或中等敏感度資料,但未使用客戶自行管理的加密金鑰 (CMEK)。 支援的素材資源:
補救措施:
法規遵循標準:未對應 |
探索服務的觀察結果
Data sensitivity- 指出特定資料資產中資料的機密程度。如果資料中包含個人識別資訊或其他可能需要進一步控管或管理的元素,就會將其視為機密資料。發現項目的嚴重程度是 Sensitive Data Protection 在產生資料剖析檔時計算出的機密程度。
Data risk- 資料在目前狀態下的風險。計算資料風險時,Sensitive Data Protection 會考量資料資產中資料的機密程度,以及是否有存取權控管機制可以保護該項資料。發現項目的嚴重程度是 Sensitive Data Protection 在產生資料設定檔時計算出的資料風險等級。
找出生成延遲
視貴機構規模而定,啟用機密資料探索功能後,幾分鐘內 Security Command Center 就會開始顯示 Sensitive Data Protection 發現項目。如果組織規模較大,或有影響發現項目生成的特定設定,Security Command Center 最多可能需要 12 小時,才會顯示初始發現項目。
隨後,Sensitive Data Protection 會在探索服務掃描資源後幾分鐘內,在 Security Command Center 中產生發現項目。
將資料剖析檔傳送至 Security Command Center
以下是將資料剖析檔發布至 Security Command Center 的高階工作流程。
查看貴機構的 Security Command Center 啟用層級。如要將資料剖析檔傳送至 Security Command Center,您必須在機構層級啟用 Security Command Center,且服務層級不限。
如果 Security Command Center 僅在專案層級啟用,Sensitive Data Protection 的發現項目就不會顯示在 Security Command Center 中。
如果貴機構未啟用 Security Command Center,請務必啟用。詳情請參閱下列文章,視您的 Security Command Center 服務層級而定:
確認 Sensitive Data Protection 已啟用為整合式服務。詳情請參閱「新增 Google Cloud 整合式服務」。
為要掃描的每個資料來源建立探索掃描設定,即可啟用探索功能。在掃描設定中,請務必啟用「發布至 Security Command Center」選項。
如果您有現有的探索掃描設定,但未將資料剖析檔發布至 Security Command Center,請參閱本頁的「在現有設定中啟用發布至 Security Command Center 的功能」。
使用預設設定啟用探索功能
如要啟用探索功能,請為要掃描的每個資料來源建立探索設定。這個程序可讓您使用預設設定,自動建立探索設定。執行這項程序後,你隨時可以自訂設定。
如要從頭自訂設定,請改為參閱下列頁面:
- 剖析機構或資料夾中的 BigQuery 資料
- 剖析機構或資料夾中的 Cloud SQL 資料
- 剖析機構或資料夾中的 Cloud Storage 資料
- 剖析機構或資料夾中的 Vertex AI 資料
- Amazon S3 機密資料探索
- 向 Security Command Center 回報環境變數中的密碼
如要啟用探索功能並使用預設設定,請按照下列步驟操作:
前往 Google Cloud 控制台的 Sensitive Data Protection「啟用探索」頁面。
確認您正在查看啟用 Security Command Center 的機構。
在「服務代理容器」欄位中,設定要當做服務代理容器使用的專案。系統會在專案中建立服務代理,並自動授予必要的探索權限。
如果您先前曾為貴機構使用探索服務,可能已有可重複使用的服務代理程式容器專案。
- 如要自動建立專案做為服務代理容器,請查看建議的專案 ID,並視需要編輯。然後按一下「建立」,系統可能需要幾分鐘的時間,才能將權限授予新專案的服務代理程式。
- 如要選取現有專案,請按一下「服務代理容器」欄位,然後選取專案。
如要查看預設設定,請按一下「展開」圖示 。
在「啟用探索」部分中,針對要啟用的每種探索類型,按一下「啟用」。啟用探索類型會產生下列影響:
- BigQuery:為整個機構的 BigQuery 資料表建立探索設定,以進行剖析。Sensitive Data Protection 會開始剖析 BigQuery 資料,並將剖析檔傳送至 Security Command Center。
- Cloud SQL:為剖析整個機構的 Cloud SQL 資料表建立探索設定。Sensitive Data Protection 會開始為每個 Cloud SQL 執行個體建立預設連線。這項程序可能需要幾小時才能完成。預設連線準備就緒後,您必須更新每項連線,提供正確的資料庫使用者憑證,授予 Sensitive Data Protection 存取 Cloud SQL 執行個體的權限。
- 密鑰/憑證安全漏洞:建立探索設定,偵測並回報 Cloud Run 環境變數中未加密的密鑰。Sensitive Data Protection 會開始掃描環境變數。
- Cloud Storage:為整個機構的 Cloud Storage 值區建立探索設定,以進行剖析。Sensitive Data Protection 會開始剖析 Cloud Storage 資料,並將剖析檔傳送至 Security Command Center。
- Vertex AI 資料集:為整個機構的 Vertex AI 資料集建立剖析探索設定。Sensitive Data Protection 會開始剖析 Vertex AI 資料集,並將剖析檔傳送至 Security Command Center。
Amazon S3:為 AWS 連接器可存取的所有 Amazon S3 資料建立探索設定,以進行剖析。
Azure Blob 儲存體:建立探索設定,剖析 Azure 連接器可存取的所有 Azure Blob 儲存體資料。
如要查看新建立的探索設定,請按一下「前往探索設定」。
如果您已啟用 Cloud SQL 探索功能,系統會以暫停模式建立探索設定,並顯示缺少憑證的錯誤訊息。請參閱「管理探索功能使用的連線」,將必要的 IAM 角色授予服務代理程式,並為每個 Cloud SQL 執行個體提供資料庫使用者憑證。
關閉窗格。
在現有設定中啟用發布至 Security Command Center 的功能
如果現有的探索掃描設定未設為將探索結果發布至 Security Command Center,請按照下列步驟操作:
在「動作」部分,啟用「發布至 Security Command Center」。
按一下 [儲存]。
查詢與資料剖析檔相關的 Security Command Center 發現項目
以下是範例查詢,可用於在 Security Command Center 中尋找相關的 Data
sensitivity 和 Data risk 發現項目。您可以在「Query editor」(查詢編輯器) 欄位中輸入這些查詢。如要進一步瞭解查詢編輯器,請參閱「在 Security Command Center 資訊主頁中編輯發現項目查詢」。
列出特定 BigQuery 資料表的所有 Data sensitivity 和 Data risk 發現項目
舉例來說,如果 Security Command Center 偵測到 BigQuery 資料表儲存至其他專案的事件,這項查詢就很有用。在此情況下,系統會產生 Exfiltration: BigQuery Data
Exfiltration 發現項目,其中包含遭外洩資料表的完整顯示名稱。您可以搜尋與表格相關的任何 Data sensitivity 和 Data risk 發現項目。查看資料表計算出的機密程度和資料風險等級,並據此規劃因應措施。
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"
更改下列內容:
- PROJECT_ID:含有 BigQuery 資料表的專案 ID
- DATASET_ID:資料表的資料集 ID
- TABLE_ID:資料表 ID
列出特定 Cloud SQL 執行個體的所有 Data sensitivity 和 Data risk 發現項目
舉例來說,如果 Security Command Center 偵測到某個事件,其中即時 Cloud SQL 執行個體資料已匯出至組織外部的 Cloud Storage bucket,這項查詢就非常實用。在本例中,系統會產生 Exfiltration: Cloud SQL Data
Exfiltration 發現項目,其中包含遭外洩執行個體的完整資源名稱。您可以搜尋與執行個體相關的任何 Data sensitivity 和 Data risk 發現項目。查看執行個體計算出的機密程度和資料風險等級,並據此規劃因應措施。
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"
更改下列內容:
- INSTANCE_NAME:Cloud SQL 執行個體名稱的一部分
列出所有嚴重性等級為 High 的 Data risk 和 Data sensitivity 發現項目
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"
後續步驟
- 瞭解如何在 Security Command Center 中依據資料機密程度自動設定資源優先順序值。
- 瞭解如何向 Security Command Center 報告環境變數中是否有密碼。