将数据分析文件发布到 Security Command Center

本页面简要介绍了如果您希望数据分析在 Security Command Center 中生成发现结果,您必须执行的操作。本页面还提供了示例查询,您可以使用这些查询查找生成的发现结果。

如果您是 Security Command Center Enterprise 客户,请改为参阅 Security Command Center 文档中的在企业级别启用敏感数据发现

数据分析文件简介

您可以配置敏感数据保护,以自动生成有关组织、文件夹或项目中数据的配置文件。数据分析文件包含有关数据的指标和元数据,可帮助您确定敏感数据和高风险数据所在的位置。敏感数据保护会以不同详细级别报告这些指标。如需了解您可以分析的数据类型,请参阅支持的资源

将数据分析文件发布到 Security Command Center 的好处

此功能在 Security Command Center 中具有以下优势:

  • 您可以使用 Sensitive Data Protection 中的发现结果来识别和修复资源中的漏洞,这些漏洞可能会将敏感数据泄露给公众或恶意行为者。

  • 您可以使用这些发现为分类流程添加背景信息,并优先处理针对包含敏感数据的资源的威胁。

  • 您可以配置 Security Command Center,以便根据资源包含的数据的敏感度,自动为攻击路径模拟功能确定资源的优先级。如需了解详情,请参阅自动按数据敏感度设置资源优先级值

生成的 Security Command Center 发现结果

当您将发现服务配置为将数据分析文件发布到 Security Command Center 时,每个表数据分析文件或文件存储区数据分析文件都会生成以下 Security Command Center 发现结果。

发现服务中的漏洞发现结果

Sensitive Data Protection 发现服务可帮助您确定是否存储了未受保护的高度敏感数据。

类别 摘要

Public sensitive data

API 中的类别名称:

PUBLIC_SENSITIVE_DATA

发现结果说明:指定资源包含 高敏感度数据,且互联网上的任何人都可以访问这些数据。

支持的资源

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3 存储桶

补救措施

对于 Google Cloud 数据,请从数据资产的 IAM 政策中移除 allUsersallAuthenticatedUsers

对于 Amazon S3 数据,请 配置“禁止公开访问”设置或更新对象的 ACL 以拒绝公开读取权限。

合规性标准:未映射

Secrets in environment variables

API 中的类别名称:

SECRETS_IN_ENVIRONMENT_VARIABLES

发现结果说明:环境变量中存在 密钥(例如密码、身份验证令牌和 Google Cloud 凭据)。

如需启用此检测器,请参阅敏感数据保护文档中的 向 Security Command Center 报告环境变量中的 Secret

支持的资源

补救措施

对于 Cloud Run 函数环境变量,请从环境变量中移除 Secret,并改为将其存储在 Secret Manager 中

对于 Cloud Run 服务修订版本环境变量,请将所有流量从该修订版本移出,然后删除该修订版本。

合规性标准

  • CIS GCP Foundation 1.3:1.18
  • CIS GCP Foundation 2.0:1.18

Secrets in storage

API 中的类别名称:

SECRETS_IN_STORAGE

发现结果说明:指定资源中存在 密钥(例如密码、身份验证令牌和云凭据)。

支持的资源

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3 存储桶

补救措施

  1. 对于 Google Cloud 数据,请使用 Sensitive Data Protection 对指定资源运行深度检查扫描,以识别所有受影响的资源。对于 Cloud SQL 数据,请将这些数据导出到 Cloud Storage 存储桶中的 CSV 或 Avro 文件,然后对该存储桶运行深度检查扫描。

    对于 Amazon S3 数据,请手动检查指定的存储桶。

  2. 移除检测到的密钥。
  3. 请考虑重置凭据。
  4. 对于 Google Cloud 数据,不妨改为将检测到的 Secret 存储在 Secret Manager 中。

合规性标准:未映射

发现服务中的观察发现结果

Data sensitivity
表示特定数据资产中数据的敏感度级别。如果数据包含个人身份信息或其他可能需要额外控制或管理的元素,则属于敏感数据。发现结果的严重程度是生成数据剖析文件时敏感数据保护计算的敏感度级别
Data risk
与当前状态下的数据关联的风险。在计算数据风险时,敏感数据保护功能会考虑数据资产中数据的敏感度级别以及是否存在用于保护这些数据的访问权限控制。发现结果的严重程度是生成数据剖析文件时敏感数据保护计算的数据风险级别

查找生成延迟时间

从敏感数据保护生成数据分析文件之时起,相关发现结果最长可能需要 6 小时才能显示在 Security Command Center 中。

将数据分析文件发送到 Security Command Center

下面简要介绍了将数据分析文件发布到 Security Command Center 的工作流程。

  1. 查看贵组织的 Security Command Center 激活级层。如需将数据分析文件发送到 Security Command Center,您必须在任意服务层级的组织级层激活 Security Command Center。

    如果仅在项目级层激活 Security Command Center,敏感数据保护功能的发现结果将不会显示在 Security Command Center 中。

  2. 如果您的组织尚未激活 Security Command Center,您必须先激活它。如需了解详情,请参阅以下任一内容,具体取决于您的 Security Command Center 服务层级:

  3. 确认已将敏感数据保护作为集成服务启用。如需了解详情,请参阅添加 Google Cloud 集成服务

  4. 为您要扫描的每个数据源创建发现扫描配置,以启用发现功能。在扫描配置中,请确保发布到 Security Command Center 选项处于启用状态。

    如果您现有的发现扫描配置未将数据分析文件发布到 Security Command Center,请参阅本页中的在现有配置中启用向 Security Command Center 发布

使用默认设置启用发现功能

如需启用发现功能,您需要为要扫描的每个数据源创建一个发现配置。通过此过程,您可以使用默认设置自动创建这些发现配置。执行此过程后,您可以随时自定义设置。

如果您想从一开始就自定义设置,请改为参阅以下页面:

如需使用默认设置启用发现功能,请按以下步骤操作:

  1. 在 Google Cloud 控制台中,前往“敏感数据保护”页面,然后启用发现

    前往“启用发现”页面

  2. 确认您查看的是已为其激活 Security Command Center 的组织。

  3. 服务代理容器字段中,将要用作服务代理容器的项目进行设置。在该项目中,系统会创建一个服务代理,并自动向其授予所需的发现权限。

    如果您之前为贵组织使用过发现服务,可能已经有可重复使用的服务代理容器项目。

    • 如需自动创建一个用作服务代理容器的项目,请查看建议的项目 ID,并根据需要进行修改。然后,点击创建。系统可能需要几分钟时间才能向新项目的服务代理授予权限。
    • 如需选择现有项目,请点击服务代理容器字段,然后选择相应项目。
  4. 如需查看默认设置,请点击 展开图标。

  5. 启用发现功能部分,针对您要启用的每种发现功能,点击启用。启用某种发现类型会执行以下操作:

    • BigQuery:创建一个发现配置,以分析整个组织中的 BigQuery 表。敏感数据保护功能会开始分析您的 BigQuery 数据,并将分析结果发送到 Security Command Center。
    • Cloud SQL:创建发现配置,以分析整个组织中的 Cloud SQL 表。Sensitive Data Protection 会开始为您的每个 Cloud SQL 实例创建默认连接。此过程可能需要几个小时。默认连接就绪后,您必须使用适当的数据库用户凭据更新每个连接,以便 Sensitive Data Protection 访问您的 Cloud SQL 实例。
    • 密钥/凭据漏洞:创建一个发现配置,用于检测和报告 Cloud Run 环境变量中的未加密 Secret。敏感数据保护功能会开始扫描您的环境变量。
    • Cloud Storage:创建发现配置,以分析整个组织中的 Cloud Storage 存储分区。敏感数据保护功能会开始分析您的 Cloud Storage 数据,并将分析结果发送到 Security Command Center。
    • Vertex AI 数据集:创建一个发现配置,用于分析整个组织中的 Vertex AI 数据集。敏感数据保护功能会开始分析您的 Vertex AI 数据集,并将分析结果发送到 Security Command Center。
    • Amazon S3:创建发现配置,以分析整个组织、单个 S3 账号或单个存储桶中的 Amazon S3 数据。

  6. 如需查看新创建的发现配置,请点击前往发现配置

    如果您启用了 Cloud SQL 发现功能,则发现配置会在暂停模式下创建,并会显示指示缺少凭据的错误。请参阅管理要与发现功能搭配使用的连接,为您的服务代理授予所需的 IAM 角色,并为每个 Cloud SQL 实例提供数据库用户凭据。

  7. 关闭窗格。

在现有配置中启用发布到 Security Command Center

如果您现有的发现扫描配置未设置为将发现结果发布到 Security Command Center,请按以下步骤操作:

  1. 打开要修改的扫描配置

  2. 操作部分,启用发布到 Security Command Center

  3. 点击保存

查询与数据分析文件相关的 Security Command Center 发现结果

以下是一些查询示例,您可以使用这些查询在 Security Command Center 中查找相关的 Data sensitivityData risk 发现结果。您可以在查询编辑器字段中输入这些查询。如需详细了解查询编辑器,请参阅在 Security Command Center 信息中心内修改发现结果查询

列出特定 BigQuery 表的所有 Data sensitivityData risk 发现结果

例如,如果 Security Command Center 检测到 BigQuery 表已保存到其他项目,此查询会很有用。在这种情况下,系统会生成一个 Exfiltration: BigQuery Data Exfiltration 发现结果,其中包含被渗漏表的完整显示名称。您可以搜索与该表格相关的任何 Data sensitivityData risk 发现结果。查看系统为表计算的敏感度和数据风险级别,并据此制定相应响应措施。

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"

替换以下内容:

  • PROJECT_ID:包含 BigQuery 表的项目的 ID
  • DATASET_ID:表格的数据集 ID
  • TABLE_ID:表的 ID

列出特定 Cloud SQL 实例的所有 Data sensitivityData risk 发现

例如,如果 Security Command Center 检测到实时 Cloud SQL 实例数据已导出到组织外部的 Cloud Storage 存储桶,此查询会很有用。在这种情况下,系统会生成 Exfiltration: Cloud SQL Data Exfiltration 发现结果,其中包含被渗漏的实例的完整资源名称。您可以搜索与该实例相关的任何 Data sensitivityData risk 发现。查看系统为实例计算的敏感度和数据风险级别,并相应地规划响应措施。

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"

替换以下内容:

  • INSTANCE_NAME:Cloud SQL 实例名称的一部分

列出严重级别为 High 的所有 Data riskData sensitivity 发现结果

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"

后续步骤