本页简要概述了您必须采取的操作,以便数据分析文件在 Security Command Center 中生成发现结果。本页面还提供了示例查询,您可以使用这些查询来查找生成的发现结果。
如果您是 Security Command Center Enterprise 客户,请改为参阅 Security Command Center 文档中的在 Enterprise 层级中启用敏感数据发现功能。
数据剖析文件简介
您可以配置敏感数据保护,以自动生成有关组织、文件夹或项目中的数据的分析文件。数据配置文件包含有关数据的指标和元数据,并可帮助您确定敏感数据和高风险数据所在的位置。敏感数据保护会报告不同详细程度的这些指标。如需了解可以分析的数据类型,请参阅支持的资源。
将数据分析文件发布到 Security Command Center 的好处
此功能在 Security Command Center 中具有以下优势:
您可以使用 Sensitive Data Protection 发现结果来识别并修复资源中可能导致敏感数据暴露给公众或恶意方的漏洞和错误配置。
您可以利用这些发现结果为分类流程添加上下文信息,并优先处理以包含敏感数据的资源为目标的威胁。
您可以将 Security Command Center 配置为根据资源所含数据的敏感度自动确定资源的优先级,以用在攻击路径模拟功能中进行处理。如需了解详情,请参阅自动按数据敏感度设置资源优先级值。
生成的 Security Command Center 发现结果
当您配置发现服务以将数据分析结果发布到 Security Command Center 时,每个表数据分析结果或文件存储区数据分析结果都会生成以下 Security Command Center 发现结果。
发现服务中的漏洞发现结果
Sensitive Data Protection 发现服务可帮助您确定自己是否存储了未受保护的高度敏感数据。
| 类别 | 摘要 |
|---|---|
|
发现结果说明:指定的资源包含高敏感度数据,所有互联网用户都可以访问。 支持的资产:
修复: 对于 Google Cloud 数据,请从数据资产的 IAM 政策中移除 对于 Amazon S3 数据,请配置“禁止公开访问”设置或更新对象的 ACL 以拒绝公开读取权限。如需了解详情,请参阅 AWS 文档中的为 S3 存储桶配置“禁止公开访问”设置和配置 ACL。 对于 Azure Blob Storage 数据,请移除对容器和 Blob 的公开访问权限。如需了解详情,请参阅 Azure 文档中的概览:修复 blob 数据的匿名读取访问权限。 合规性标准:未映射 |
|
发现结果说明:环境变量中存在 Secret(例如密码、身份验证令牌和 Google Cloud 凭证)。 如需启用此检测器,请参阅 Sensitive Data Protection 文档中的向 Security Command Center 报告环境变量中的 Secret。 支持的资源: 修复: 对于 Cloud Run functions 环境变量,请从环境变量中移除 Secret,并改为将其存储在 Secret Manager 中。 对于 Cloud Run 服务修订版本环境变量,请将所有流量从修订版本中移出,然后删除该修订版本。 合规性标准:
|
|
发现结果说明:指定资源中存在 Secret(例如密码、身份验证令牌和云凭证)。 支持的资产:
修复:
合规性标准:未映射 |
发现服务中的配置错误发现结果
Sensitive Data Protection 发现服务可帮助您确定是否存在可能泄露敏感数据的配置错误。
| 类别 | 摘要 |
|---|---|
|
发现结果说明:指定的资源包含高敏感度或中敏感度数据,但未使用客户管理的加密密钥 (CMEK)。 支持的资产:
修复:
合规性标准:未映射 |
发现服务中的观察发现结果
Data sensitivity- 表示特定数据资产中数据的敏感度级别。如果数据包含个人身份信息或其他可能需要额外控制或管理的元素,则属于敏感数据。发现结果的严重程度是生成数据分析结果时 Sensitive Data Protection 计算的敏感度级别。
Data risk- 与当前状态下的数据关联的风险。在计算数据风险时,Sensitive Data Protection 会考虑数据资产中数据的敏感度级别以及是否存在用于保护该数据的访问权限控制。发现结果的严重程度是生成数据分析结果时 Sensitive Data Protection 计算的数据风险级别。
发现结果生成延迟时间
启用敏感数据发现功能后,Sensitive Data Protection 发现结果可能会在几分钟内开始显示在 Security Command Center 中,具体取决于您组织的规模。对于规模较大的组织或具有影响发现结果生成的特定配置的组织,初始发现结果可能需要长达 12 小时才会显示在 Security Command Center 中。
随后,在发现服务扫描您的资源后几分钟内,Sensitive Data Protection 会在 Security Command Center 中生成发现结果。
将数据分析文件发送到 Security Command Center
以下是将数据分析结果发布到 Security Command Center 的大致工作流程。
查看 Security Command Center 的激活级层。如需将数据剖析文件发送到 Security Command Center,您必须在任何服务层级的组织级层激活 Security Command Center。
如果仅在项目级层激活 Security Command Center,则 Sensitive Data Protection 的发现结果不会显示在 Security Command Center 中。
如果您的组织未激活 Security Command Center,您必须激活它。如需了解详情,请参阅以下内容之一,具体取决于您的 Security Command Center 服务层级:
确认 Sensitive Data Protection 已作为集成服务启用。如需了解详情,请参阅添加 Google Cloud 集成服务。
为要扫描的每个数据源创建发现扫描配置,以启用发现功能。在扫描配置中,请确保发布到 Security Command Center 选项处于启用状态。
如果您有不向 Security Command Center 发布数据分析文件的现有发现扫描配置,请参阅本页上的在现有配置中启用向 Security Command Center 发布功能。
使用默认设置启用发现服务
如要启用发现服务,您需要为要扫描的每个数据源创建一个发现服务配置。此步骤可让您使用默认设置自动创建这些发现服务配置。执行此步骤后,您可以随时自定义相关设置。
如果您想从一开始就自定义设置,请改为参阅以下页面:
- 分析组织或文件夹中的 BigQuery 数据
- 分析组织或文件夹中的 Cloud SQL 数据
- 分析组织或文件夹中的 Cloud Storage 数据
- 分析组织或文件夹中的 Vertex AI 数据
- 适用于 Amazon S3 的敏感数据发现服务
- 向 Security Command Center 报告环境变量中的 Secret
如需启用采用默认设置的发现服务,请按以下步骤操作:
在 Google Cloud 控制台中,前往 Sensitive Data Protection 的启用发现服务页面。
确保该页面上的组织已激活 Security Command Center。
在服务代理容器字段中,设置要用作服务代理容器的项目。系统会在该项目中创建一个服务代理,并自动向其授予所需的发现服务权限。
如果您之前曾为组织使用过发现服务,则可能已经有一个服务代理容器项目,您可以重复使用该项目。
- 如要自动创建用作服务代理容器的项目,请查看建议的项目 ID 并根据需要进行修改。然后,点击创建。向新项目的服务代理授予权限可能需要几分钟时间。
- 如需选择现有项目,请点击服务代理容器字段,然后选择相应项目。
如需查看默认设置,请点击 “展开”图标。
在启用发现服务部分,针对要启用的每种发现服务类型,点击启用。启用发现服务类型后,相应服务会执行以下操作:
- BigQuery:创建发现服务配置,以分析整个组织中的 BigQuery 表。Sensitive Data Protection 会开始分析您的 BigQuery 数据,并将分析结果发送到 Security Command Center。
- Cloud SQL:创建发现服务配置,以分析整个组织中的 Cloud SQL 表。Sensitive Data Protection 会开始为每个 Cloud SQL 实例创建默认连接。此过程可能需要几个小时才能完成。默认连接就绪后,您必须通过使用正确的数据库用户凭证更新每个连接,来授予 Sensitive Data Protection 对 Cloud SQL 实例的访问权限。
- 密钥/凭证漏洞:创建发现服务配置,以检测和报告 Cloud Run 环境变量中未加密的 Secret。Sensitive Data Protection 会开始扫描您的环境变量。
- Cloud Storage:创建发现服务配置,以分析整个组织中的 Cloud Storage 存储桶。Sensitive Data Protection 会开始分析您的 Cloud Storage 数据,并将分析结果发送到 Security Command Center。
- Vertex AI 数据集:创建发现服务配置,以分析整个组织中的 Vertex AI 数据集。Sensitive Data Protection 会开始分析您的 Vertex AI 数据集,并将分析结果发送到 Security Command Center。
Amazon S3:创建发现服务配置,以分析您的 AWS 连接器有权访问的所有 Amazon S3 数据。
Azure Blob Storage:创建发现服务配置,以分析 Azure 连接器有权访问的所有 Azure Blob Storage 数据。
如需查看新创建的发现服务配置,请点击前往发现服务配置。
如果您启用了 Cloud SQL 发现服务,系统会以暂停模式创建发现服务配置,并显示指示缺少凭证的错误。如需向服务代理授予所需的 IAM 角色,并为每个 Cloud SQL 实例提供数据库用户凭证,请参阅管理用于发现服务的连接。
关闭窗格。
在现有配置中启用向 Security Command Center 发布的功能
如果您有未设置为将发现结果发布到 Security Command Center 的现有发现扫描配置,请按以下步骤操作:
在操作部分,启用发布到 Security Command Center。
点击保存。
查询与数据分析结果相关的 Security Command Center 发现结果
以下是一些示例查询,可用于在 Security Command Center 中查找相关的 Data
sensitivity 和 Data risk 发现结果。您可以在查询编辑器字段中输入这些查询。如需详细了解查询编辑器,请参阅在 Security Command Center 信息中心内修改发现结果查询。
列出特定 BigQuery 表的所有 Data sensitivity 和 Data risk 发现结果
例如,如果 Security Command Center 检测到某个事件,其中一个 BigQuery 表被保存到另一个项目,则此查询非常有用。在这种情况下,系统会生成 Exfiltration: BigQuery Data
Exfiltration 发现结果,其中包含被窃取数据的表的完整显示名称。您可以搜索与该表相关的任何 Data sensitivity 和 Data risk 发现结果。查看计算出的表的敏感度和数据风险级别,并相应地规划您的响应。
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"
替换以下内容:
- PROJECT_ID:包含 BigQuery 表的项目的 ID
- DATASET_ID:表的相应数据集 ID
- TABLE_ID:表的 ID
列出特定 Cloud SQL 实例的所有 Data sensitivity 和 Data risk 发现结果
例如,如果 Security Command Center 检测到实时 Cloud SQL 实例数据被导出到组织外部的 Cloud Storage 存储桶,此查询会非常有用。在这种情况下,系统会生成 Exfiltration: Cloud SQL Data
Exfiltration 发现结果,其中包含被盗用实例的完整资源名称。您可以搜索与实例相关的任何 Data sensitivity 和 Data risk 发现结果。查看实例的计算敏感度和数据风险级别,并相应地规划您的响应。
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"
替换以下内容:
- INSTANCE_NAME:Cloud SQL 实例名称的一部分
列出所有严重级别为 High 的 Data risk 和 Data sensitivity 发现结果
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"
后续步骤
- 了解如何在 Security Command Center 中自动按数据敏感度设置资源优先级值。
- 了解如何向 Security Command Center 报告环境变量中是否存在 Secret。