Memublikasikan profil data ke Security Command Center

Halaman ini memberikan ringkasan umum tentang tindakan yang harus Anda lakukan jika ingin profil data menghasilkan temuan di Security Command Center. Halaman ini juga memberikan contoh kueri yang dapat Anda gunakan untuk menemukan temuan yang dihasilkan.

Jika Anda adalah pelanggan Security Command Center Enterprise, lihat Mengaktifkan penemuan data sensitif di tingkat Enterprise dalam dokumentasi Security Command Center.

Tentang profil data

Anda dapat mengonfigurasi Perlindungan Data Sensitif untuk otomatis membuat profil tentang data di seluruh organisasi, folder, atau project. Profil data berisi metrik dan metadata tentang data Anda serta membantu menentukan lokasi data sensitif dan berisiko tinggi. Perlindungan Data Sensitif melaporkan metrik ini di berbagai tingkat detail. Untuk mengetahui informasi tentang jenis data yang dapat Anda buat profilnya, lihat Referensi yang didukung.

Manfaat memublikasikan profil data ke Security Command Center

Fitur ini menawarkan manfaat berikut di Security Command Center:

  • Anda dapat menggunakan temuan Perlindungan Data Sensitif untuk mengidentifikasi dan memperbaiki kerentanan di resource Anda yang dapat mengekspos data sensitif kepada publik atau pelaku kejahatan.

  • Anda dapat menggunakan temuan ini untuk menambahkan konteks ke proses pemilahan dan memprioritaskan ancaman yang menargetkan resource yang berisi data sensitif.

  • Anda dapat mengonfigurasi Security Command Center untuk otomatis memprioritaskan resource untuk fitur simulasi jalur serangan sesuai dengan sensitivitas data yang dimuat resource. Untuk mengetahui informasi selengkapnya, lihat Menetapkan nilai prioritas resource secara otomatis berdasarkan sensitivitas data.

Temuan Security Command Center yang dihasilkan

Saat Anda mengonfigurasi layanan penemuan untuk memublikasikan profil data ke Security Command Center, setiap profil data tabel atau profil data penyimpanan file akan menghasilkan temuan Security Command Center berikut.

Temuan kerentanan dari layanan penemuan

Layanan penemuan Sensitive Data Protection membantu Anda menentukan apakah Anda menyimpan data yang sangat sensitif yang tidak dilindungi.

Kategori Ringkasan

Public sensitive data

Nama kategori di API:

PUBLIC_SENSITIVE_DATA

Deskripsi temuan: Resource yang ditentukan memiliki data sensitivitas tinggi yang dapat diakses oleh siapa saja di internet.

Aset yang didukung:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3

Penyelesaian:

Untuk data Google Cloud, hapus allUsers dan allAuthenticatedUsers dari kebijakan IAM aset data.

Untuk data Amazon S3, konfigurasi setelan blokir akses publik atau perbarui ACL objek untuk menolak akses baca publik.

Standar kepatuhan: Tidak dipetakan

Secrets in environment variables

Nama kategori di API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Deskripsi temuan: Ada secret—seperti sandi, token autentikasi, dan kredensial Google Cloud—di variabel lingkungan.

Untuk mengaktifkan detektor ini, lihat Melaporkan secret dalam variabel lingkungan ke Security Command Center dalam dokumentasi Perlindungan Data Sensitif.

Aset yang didukung:

Penyelesaian:

Untuk variabel lingkungan fungsi Cloud Run, hapus secret dari variabel lingkungan dan simpan di Secret Manager.

Untuk variabel lingkungan revisi layanan Cloud Run, pindahkan semua traffic dari revisi, lalu hapus revisi.

Standar kepatuhan:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Secrets in storage

Nama kategori di API:

SECRETS_IN_STORAGE

Deskripsi temuan: Ada secret—seperti sandi, token autentikasi, dan kredensial cloud—di resource yang ditentukan.

Aset yang didukung:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3

Penyelesaian:

  1. Untuk data Google Cloud, gunakan Perlindungan Data Sensitif untuk menjalankan pemindaian pemeriksaan mendalam pada resource yang ditentukan guna mengidentifikasi semua resource yang terpengaruh. Untuk data Cloud SQL, ekspor data tersebut ke file CSV atau AVRO di bucket Cloud Storage dan jalankan pemindaian pemeriksaan mendalam pada bucket.

    Untuk data Amazon S3, periksa bucket yang ditentukan secara manual.

  2. Hapus secret yang terdeteksi.
  3. Pertimbangkan untuk mereset kredensial.
  4. Untuk data Google Cloud, sebaiknya simpan secret yang terdeteksi di Secret Manager.

Standar kepatuhan: Tidak dipetakan

Temuan pengamatan dari layanan penemuan

Data sensitivity
Indikasi tingkat sensitivitas data dalam aset data tertentu. Data bersifat sensitif jika berisi PII atau elemen lain yang mungkin memerlukan kontrol atau pengelolaan tambahan. Tingkat keparahan temuan adalah tingkat sensitivitas yang dihitung oleh Perlindungan Data Sensitif saat membuat profil data.
Data risk
Risiko yang terkait dengan data dalam statusnya saat ini. Saat menghitung risiko data, Sensitive Data Protection mempertimbangkan tingkat sensitivitas data dalam aset data dan keberadaan kontrol akses untuk melindungi data tersebut. Tingkat keparahan temuan adalah tingkat risiko data yang dihitung oleh Perlindungan Data Sensitif saat membuat profil data.

Menemukan latensi pembuatan

Sejak Sensitive Data Protection membuat profil data, mungkin perlu waktu hingga enam jam agar temuan terkait muncul di Security Command Center.

Mengirim profil data ke Security Command Center

Berikut adalah alur kerja tingkat tinggi untuk memublikasikan profil data ke Security Command Center.

  1. Periksa level aktivasi Security Command Center untuk organisasi Anda. Untuk mengirim profil data ke Security Command Center, Anda harus mengaktifkan Security Command Center di tingkat organisasi, di tingkat layanan mana pun.

    Jika Security Command Center hanya diaktifkan di level project, temuan dari Sensitive Data Protection tidak akan muncul di Security Command Center.

  2. Jika Security Command Center tidak diaktifkan untuk organisasi Anda, Anda harus mengaktifkannya. Untuk informasi selengkapnya, lihat salah satu opsi berikut, bergantung pada tingkat layanan Security Command Center Anda:

  3. Pastikan Perlindungan Data Sensitif diaktifkan sebagai layanan terintegrasi. Untuk informasi selengkapnya, lihat Menambahkan layanan terintegrasi Google Cloud.

  4. Aktifkan penemuan dengan membuat konfigurasi pemindaian penemuan untuk setiap sumber data yang ingin Anda pindai. Dalam konfigurasi pemindaian, pastikan Anda mengaktifkan opsi Publikasikan ke Security Command Center.

    Jika Anda memiliki konfigurasi pemindaian penemuan yang ada dan tidak memublikasikan profil data ke Security Command Center, lihat Mengaktifkan publikasi ke Security Command Center dalam konfigurasi yang ada di halaman ini.

Mengaktifkan penemuan dengan setelan default

Untuk mengaktifkan penemuan, Anda membuat konfigurasi penemuan untuk setiap sumber data yang ingin dipindai. Prosedur ini memungkinkan Anda membuat konfigurasi penemuan tersebut secara otomatis menggunakan setelan default. Anda dapat menyesuaikan setelan ini kapan saja setelah melakukan prosedur ini.

Jika Anda ingin menyesuaikan setelan dari awal, lihat halaman berikut:

Untuk mengaktifkan penemuan dengan setelan default, ikuti langkah-langkah berikut:

  1. Di konsol Google Cloud, buka halaman Aktifkan penemuan di Sensitive Data Protection.

    Buka Aktifkan penemuan

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan Security Command Center.

  3. Di kolom Service agent container, tetapkan project yang akan digunakan sebagai penampung agen layanan. Dalam project ini, sistem membuat agen layanan dan secara otomatis memberikan izin penemuan yang diperlukan ke agen tersebut.

    Jika sebelumnya menggunakan layanan penemuan untuk organisasi, Anda mungkin sudah memiliki project penampung agen layanan yang dapat digunakan kembali.

    • Untuk membuat project secara otomatis yang akan digunakan sebagai penampung agen layanan, tinjau project ID yang disarankan dan edit sesuai kebutuhan. Kemudian, klik Buat. Diperlukan waktu beberapa menit agar izin diberikan kepada agen layanan project baru.
    • Untuk memilih project yang ada, klik kolom Service agent container, lalu pilih project.
  4. Untuk meninjau setelan default, klik ikon luaskan .

  5. Di bagian Aktifkan penemuan, untuk setiap jenis penemuan yang ingin Andaaktifkan, klik Aktifkan. Mengaktifkan jenis penemuan akan melakukan hal berikut:

    • BigQuery: Membuat konfigurasi penemuan untuk membuat profil tabel BigQuery di seluruh organisasi. Perlindungan Data Sensitif mulai membuat profil data BigQuery Anda dan mengirimkan profil tersebut ke Security Command Center.
    • Cloud SQL: Membuat konfigurasi penemuan untuk membuat profil tabel Cloud SQL di seluruh organisasi. Sensitive Data Protection mulai membuat koneksi default untuk setiap instance Cloud SQL Anda. Proses ini dapat memerlukan waktu beberapa jam. Saat koneksi default siap, Anda harus memberikan akses Perlindungan Data Sensitif ke instance Cloud SQL dengan memperbarui setiap koneksi dengan kredensial pengguna database yang sesuai.
    • Kerentanan secret/kredensial: Membuat konfigurasi penemuan untuk mendeteksi dan melaporkan secret yang tidak dienkripsi di variabel lingkungan Cloud Run. Perlindungan Data Sensitif mulai memindai variabel lingkungan Anda.
    • Cloud Storage: Membuat konfigurasi penemuan untuk membuat profil bucket Cloud Storage di seluruh organisasi. Sensitive Data Protection mulai membuat profil data Cloud Storage Anda dan mengirimkan profil tersebut ke Security Command Center.
    • Set data Vertex AI: Membuat konfigurasi penemuan untuk membuat profil set data Vertex AI di seluruh organisasi. Sensitive Data Protection mulai membuat profil set data Vertex AI Anda dan mengirimkan profil tersebut ke Security Command Center.
    • Amazon S3: Membuat konfigurasi penemuan untuk membuat profil data Amazon S3 di seluruh organisasi, satu akun S3, atau satu bucket.

  6. Untuk melihat konfigurasi penemuan yang baru dibuat, klik Buka konfigurasi penemuan.

    Jika Anda mengaktifkan penemuan Cloud SQL, konfigurasi penemuan akan dibuat dalam mode dijeda dengan error yang menunjukkan tidak adanya kredensial. Lihat Mengelola koneksi untuk digunakan dengan penemuan guna memberikan peran IAM yang diperlukan kepada agen layanan Anda dan memberikan kredensial pengguna database untuk setiap instance Cloud SQL.

  7. Tutup panel.

Mengaktifkan publikasi ke Security Command Center dalam konfigurasi yang ada

Jika Anda memiliki konfigurasi pemindaian penemuan yang ada dan tidak disetel untuk memublikasikan hasil penemuan ke Security Command Center, ikuti langkah-langkah berikut:

  1. Buka konfigurasi pemindaian untuk diedit.

  2. Di bagian Tindakan, aktifkan Publikasikan ke Security Command Center.

  3. Klik Simpan.

Membuat kueri untuk temuan Security Command Center yang terkait dengan profil data

Berikut adalah contoh kueri yang dapat Anda gunakan untuk menemukan temuan Data sensitivity dan Data risk yang relevan di Security Command Center. Anda dapat memasukkan kueri ini di kolom Query editor. Untuk informasi selengkapnya tentang editor kueri, lihat Mengedit kueri temuan di dasbor Security Command Center.

Mencantumkan semua temuan Data sensitivity dan Data risk untuk tabel BigQuery tertentu

Kueri ini berguna, misalnya, jika Security Command Center mendeteksi peristiwa saat tabel BigQuery disimpan ke project lain. Dalam hal ini, temuan Exfiltration: BigQuery Data Exfiltration akan dibuat, dan berisi nama tampilan lengkap tabel yang diekstrak. Anda dapat menelusuri temuan Data sensitivity dan Data risk yang terkait dengan tabel. Lihat tingkat sensitivitas dan risiko data yang dihitung untuk tabel dan rencanakan respons Anda dengan sesuai.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"

Ganti kode berikut:

  • PROJECT_ID: ID project yang berisi tabel BigQuery
  • DATASET_ID: ID set data tabel
  • TABLE_ID: ID tabel

Mencantumkan semua temuan Data sensitivity dan Data risk untuk instance Cloud SQL tertentu

Kueri ini berguna, misalnya, jika Security Command Center mendeteksi peristiwa saat data instance Cloud SQL aktif diekspor ke bucket Cloud Storage di luar organisasi. Dalam hal ini, temuan Exfiltration: Cloud SQL Data Exfiltration akan dibuat, dan berisi nama resource lengkap instance yang diekspor. Anda dapat menelusuri temuan Data sensitivity dan Data risk yang terkait dengan instance. Lihat tingkat sensitivitas dan risiko data yang dihitung untuk instance dan rencanakan respons Anda dengan sesuai.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"

Ganti kode berikut:

  • INSTANCE_NAME: bagian dari nama instance Cloud SQL

Mencantumkan semua temuan Data risk dan Data sensitivity dengan tingkat keparahan High

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"

Langkah selanjutnya