Halaman ini memberikan ringkasan umum tentang tindakan yang harus Anda lakukan jika ingin profil data menghasilkan temuan di Security Command Center. Halaman ini juga memberikan contoh kueri yang dapat Anda gunakan untuk menemukan temuan yang dihasilkan.
Jika Anda adalah pelanggan Security Command Center Enterprise, lihat Mengaktifkan penemuan data sensitif di tingkat Enterprise dalam dokumentasi Security Command Center.
Tentang profil data
Anda dapat mengonfigurasi Perlindungan Data Sensitif untuk otomatis membuat profil tentang data di seluruh organisasi, folder, atau project. Profil data berisi metrik dan metadata tentang data Anda serta membantu menentukan lokasi data sensitif dan berisiko tinggi. Perlindungan Data Sensitif melaporkan metrik ini di berbagai tingkat detail. Untuk mengetahui informasi tentang jenis data yang dapat Anda buat profilnya, lihat Referensi yang didukung.
Manfaat memublikasikan profil data ke Security Command Center
Fitur ini menawarkan manfaat berikut di Security Command Center:
Anda dapat menggunakan temuan Perlindungan Data Sensitif untuk mengidentifikasi dan memperbaiki kerentanan di resource Anda yang dapat mengekspos data sensitif kepada publik atau pelaku kejahatan.
Anda dapat menggunakan temuan ini untuk menambahkan konteks ke proses pemilahan dan memprioritaskan ancaman yang menargetkan resource yang berisi data sensitif.
Anda dapat mengonfigurasi Security Command Center untuk otomatis memprioritaskan resource untuk fitur simulasi jalur serangan sesuai dengan sensitivitas data yang dimuat resource. Untuk mengetahui informasi selengkapnya, lihat Menetapkan nilai prioritas resource secara otomatis berdasarkan sensitivitas data.
Temuan Security Command Center yang dihasilkan
Saat Anda mengonfigurasi layanan penemuan untuk memublikasikan profil data ke Security Command Center, setiap profil data tabel atau profil data penyimpanan file akan menghasilkan temuan Security Command Center berikut.
Temuan kerentanan dari layanan penemuan
Layanan penemuan Sensitive Data Protection membantu Anda menentukan apakah Anda menyimpan data yang sangat sensitif yang tidak dilindungi.
| Kategori | Ringkasan |
|---|---|
|
Nama kategori di API:
|
Deskripsi temuan: Resource yang ditentukan memiliki data sensitivitas tinggi yang dapat diakses oleh siapa saja di internet. Aset yang didukung:
Penyelesaian: Untuk data Google Cloud, hapus Untuk data Amazon S3, konfigurasi setelan blokir akses publik atau perbarui ACL objek untuk menolak akses baca publik. Standar kepatuhan: Tidak dipetakan |
|
Nama kategori di API:
|
Deskripsi temuan: Ada secret—seperti sandi, token autentikasi, dan kredensial Google Cloud—di variabel lingkungan. Untuk mengaktifkan detektor ini, lihat Melaporkan secret dalam variabel lingkungan ke Security Command Center dalam dokumentasi Perlindungan Data Sensitif. Aset yang didukung: Penyelesaian: Untuk variabel lingkungan fungsi Cloud Run, hapus secret dari variabel lingkungan dan simpan di Secret Manager. Untuk variabel lingkungan revisi layanan Cloud Run, pindahkan semua traffic dari revisi, lalu hapus revisi. Standar kepatuhan:
|
|
Nama kategori di API:
|
Deskripsi temuan: Ada secret—seperti sandi, token autentikasi, dan kredensial cloud—di resource yang ditentukan. Aset yang didukung:
Penyelesaian:
Standar kepatuhan: Tidak dipetakan |
Temuan pengamatan dari layanan penemuan
Data sensitivity- Indikasi tingkat sensitivitas data dalam aset data tertentu. Data bersifat sensitif jika berisi PII atau elemen lain yang mungkin memerlukan kontrol atau pengelolaan tambahan. Tingkat keparahan temuan adalah tingkat sensitivitas yang dihitung oleh Perlindungan Data Sensitif saat membuat profil data.
Data risk- Risiko yang terkait dengan data dalam statusnya saat ini. Saat menghitung risiko data, Sensitive Data Protection mempertimbangkan tingkat sensitivitas data dalam aset data dan keberadaan kontrol akses untuk melindungi data tersebut. Tingkat keparahan temuan adalah tingkat risiko data yang dihitung oleh Perlindungan Data Sensitif saat membuat profil data.
Menemukan latensi pembuatan
Sejak Sensitive Data Protection membuat profil data, mungkin perlu waktu hingga enam jam agar temuan terkait muncul di Security Command Center.
Mengirim profil data ke Security Command Center
Berikut adalah alur kerja tingkat tinggi untuk memublikasikan profil data ke Security Command Center.
Periksa level aktivasi Security Command Center untuk organisasi Anda. Untuk mengirim profil data ke Security Command Center, Anda harus mengaktifkan Security Command Center di tingkat organisasi, di tingkat layanan mana pun.
Jika Security Command Center hanya diaktifkan di level project, temuan dari Sensitive Data Protection tidak akan muncul di Security Command Center.
Jika Security Command Center tidak diaktifkan untuk organisasi Anda, Anda harus mengaktifkannya. Untuk informasi selengkapnya, lihat salah satu opsi berikut, bergantung pada tingkat layanan Security Command Center Anda:
Pastikan Perlindungan Data Sensitif diaktifkan sebagai layanan terintegrasi. Untuk informasi selengkapnya, lihat Menambahkan layanan terintegrasi Google Cloud.
Aktifkan penemuan dengan membuat konfigurasi pemindaian penemuan untuk setiap sumber data yang ingin Anda pindai. Dalam konfigurasi pemindaian, pastikan Anda mengaktifkan opsi Publikasikan ke Security Command Center.
Jika Anda memiliki konfigurasi pemindaian penemuan yang ada dan tidak memublikasikan profil data ke Security Command Center, lihat Mengaktifkan publikasi ke Security Command Center dalam konfigurasi yang ada di halaman ini.
Mengaktifkan penemuan dengan setelan default
Untuk mengaktifkan penemuan, Anda membuat konfigurasi penemuan untuk setiap sumber data yang ingin dipindai. Prosedur ini memungkinkan Anda membuat konfigurasi penemuan tersebut secara otomatis menggunakan setelan default. Anda dapat menyesuaikan setelan ini kapan saja setelah melakukan prosedur ini.
Jika Anda ingin menyesuaikan setelan dari awal, lihat halaman berikut:
- Membuat profil data BigQuery di organisasi atau folder
- Membuat profil data Cloud SQL di organisasi atau folder
- Membuat profil data Cloud Storage di organisasi atau folder
- Membuat profil data Vertex AI di organisasi atau folder (Pratinjau)
- Penemuan data sensitif untuk Amazon S3
- Melaporkan secret dalam variabel lingkungan ke Security Command Center
Untuk mengaktifkan penemuan dengan setelan default, ikuti langkah-langkah berikut:
Di konsol Google Cloud, buka halaman Aktifkan penemuan di Sensitive Data Protection.
Pastikan Anda melihat organisasi tempat Anda mengaktifkan Security Command Center.
Di kolom Service agent container, tetapkan project yang akan digunakan sebagai penampung agen layanan. Dalam project ini, sistem membuat agen layanan dan secara otomatis memberikan izin penemuan yang diperlukan ke agen tersebut.
Jika sebelumnya menggunakan layanan penemuan untuk organisasi, Anda mungkin sudah memiliki project penampung agen layanan yang dapat digunakan kembali.
- Untuk membuat project secara otomatis yang akan digunakan sebagai penampung agen layanan, tinjau project ID yang disarankan dan edit sesuai kebutuhan. Kemudian, klik Create. Diperlukan waktu beberapa menit agar izin diberikan kepada agen layanan project baru.
- Untuk memilih project yang ada, klik kolom Penampung agen layanan, lalu pilih project.
Untuk meninjau setelan default, klik ikon luaskan .
Di bagian Aktifkan penemuan, untuk setiap jenis penemuan yang ingin Anda aktifkan, klik Aktifkan. Mengaktifkan jenis penemuan akan melakukan hal berikut:
- BigQuery: Membuat konfigurasi penemuan untuk membuat profil tabel BigQuery di seluruh organisasi. Perlindungan Data Sensitif mulai membuat profil data BigQuery Anda dan mengirimkan profil tersebut ke Security Command Center.
- Cloud SQL: Membuat konfigurasi penemuan untuk membuat profil tabel Cloud SQL di seluruh organisasi. Sensitive Data Protection mulai membuat koneksi default untuk setiap instance Cloud SQL Anda. Proses ini dapat memerlukan waktu beberapa jam. Saat koneksi default siap, Anda harus memberikan akses Perlindungan Data Sensitif ke instance Cloud SQL dengan memperbarui setiap koneksi dengan kredensial pengguna database yang sesuai.
- Kerentanan secret/kredensial: Membuat konfigurasi penemuan untuk mendeteksi dan melaporkan secret yang tidak dienkripsi di variabel lingkungan Cloud Run. Perlindungan Data Sensitif mulai memindai variabel lingkungan Anda.
- Cloud Storage: Membuat konfigurasi penemuan untuk membuat profil bucket Cloud Storage di seluruh organisasi. Sensitive Data Protection mulai membuat profil data Cloud Storage Anda dan mengirimkan profil tersebut ke Security Command Center.
- Set data Vertex AI: Membuat konfigurasi penemuan untuk membuat profil set data Vertex AI di seluruh organisasi. Sensitive Data Protection mulai membuat profil set data Vertex AI Anda dan mengirimkan profil tersebut ke Security Command Center.
Amazon S3: Membuat konfigurasi penemuan untuk membuat profil data Amazon S3 di seluruh organisasi, satu akun S3, atau satu bucket.
Untuk melihat konfigurasi penemuan yang baru dibuat, klik Buka konfigurasi penemuan.
Jika Anda mengaktifkan penemuan Cloud SQL, konfigurasi penemuan akan dibuat dalam mode dijeda dengan error yang menunjukkan tidak adanya kredensial. Lihat Mengelola koneksi untuk digunakan dengan penemuan guna memberikan peran IAM yang diperlukan kepada agen layanan Anda dan memberikan kredensial pengguna database untuk setiap instance Cloud SQL.
Tutup panel.
Mengaktifkan publikasi ke Security Command Center dalam konfigurasi yang ada
Jika Anda memiliki konfigurasi pemindaian penemuan yang ada dan tidak disetel untuk memublikasikan hasil penemuan ke Security Command Center, ikuti langkah-langkah berikut:
Di bagian Tindakan, aktifkan Publikasikan ke Security Command Center.
Klik Simpan.
Membuat kueri untuk temuan Security Command Center yang terkait dengan profil data
Berikut adalah contoh kueri yang dapat Anda gunakan untuk menemukan temuan Data
sensitivity dan Data risk yang relevan di Security Command Center. Anda dapat memasukkan kueri ini di kolom Query editor. Untuk informasi selengkapnya tentang editor kueri, lihat Mengedit kueri temuan di dasbor Security Command Center.
Mencantumkan semua temuan Data sensitivity dan Data risk untuk tabel BigQuery tertentu
Kueri ini berguna, misalnya, jika Security Command Center mendeteksi peristiwa saat
tabel BigQuery disimpan ke project lain. Dalam hal ini,
temuan Exfiltration: BigQuery Data
Exfiltration
akan dibuat, dan berisi nama tampilan lengkap tabel yang
diekstrak. Anda dapat menelusuri temuan Data sensitivity dan Data risk
yang terkait dengan tabel. Lihat tingkat sensitivitas dan risiko data yang dihitung untuk tabel dan rencanakan respons Anda dengan sesuai.
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"
Ganti kode berikut:
- PROJECT_ID: ID project yang berisi tabel BigQuery
- DATASET_ID: ID set data tabel
- TABLE_ID: ID tabel
Mencantumkan semua temuan Data sensitivity dan Data risk untuk instance Cloud SQL tertentu
Kueri ini berguna, misalnya, jika Security Command Center mendeteksi peristiwa saat
data instance Cloud SQL aktif diekspor ke bucket Cloud Storage
di luar organisasi. Dalam hal ini, temuan Exfiltration: Cloud SQL Data
Exfiltration
akan dibuat, dan berisi nama resource lengkap instance
yang diekstrak. Anda dapat menelusuri temuan Data sensitivity dan Data risk
yang terkait dengan instance. Lihat tingkat sensitivitas dan risiko data yang dihitung untuk instance dan rencanakan respons Anda dengan sesuai.
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"
Ganti kode berikut:
- INSTANCE_NAME: bagian dari nama instance Cloud SQL
Mencantumkan semua temuan Data risk dan Data sensitivity dengan tingkat keparahan High
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"
Langkah selanjutnya
- Pelajari cara Menetapkan nilai prioritas resource secara otomatis berdasarkan sensitivitas data di Security Command Center.
- Pelajari cara melaporkan keberadaan secret dalam variabel lingkungan ke Security Command Center.