Mengaktifkan penemuan data sensitif di tingkat Perusahaan

Halaman ini menjelaskan cara mengaktifkan penemuan data sensitif menggunakan setelan default. Anda dapat menyesuaikan setelan kapan saja setelah mengaktifkan penemuan.

Jika Anda adalah pelanggan Security Command Center Enterprise, layanan penemuan Sensitive Data Protection disertakan dalam langganan Enterprise Anda. Untuk mengetahui informasi selengkapnya, lihat Alokasi kapasitas penemuan di halaman ini.

Selama proses aktivasi paket Enterprise Security Command Center, layanan penemuan Sensitive Data Protection akan otomatis diaktifkan untuk semua jenis resource yang didukung. Proses pengaktifan otomatis ini adalah operasi satu kali yang hanya berlaku untuk jenis resource yang didukung pada saat pengaktifan tingkat Perusahaan. Jika Perlindungan Data Sensitif nantinya menambahkan dukungan penemuan untuk jenis resource baru, Anda harus mengaktifkan jenis penemuan tersebut secara manual dengan mengikuti petunjuk ini.

Manfaat

Fitur ini menawarkan manfaat berikut:

• Anda dapat menggunakan temuan Sensitive Data Protection untuk mengidentifikasi dan memperbaiki kerentanan dan kesalahan konfigurasi di resource Anda yang dapat mengekspos data sensitif ke publik atau pihak tidak bertanggung jawab.

• Anda dapat menggunakan temuan ini untuk menambahkan konteks ke proses triase dan memprioritaskan ancaman yang menargetkan resource yang berisi data sensitif.

• Anda dapat mengonfigurasi Security Command Center untuk memprioritaskan resource secara otomatis untuk fitur simulasi jalur serangan sesuai dengan sensitivitas data yang ada di dalam resource tersebut. Untuk mengetahui informasi selengkapnya, lihat Menetapkan nilai prioritas resource secara otomatis menurut sensitivitas data.

Cara kerjanya

Layanan penemuan Sensitive Data Protection membantu Anda melindungi data di seluruh organisasi dengan mengidentifikasi lokasi data sensitif dan berisiko tinggi. Di Sensitive Data Protection, layanan ini menghasilkan profil data, yang memberikan metrik dan insight tentang data Anda pada berbagai tingkat detail. Di Security Command Center, layanan ini melakukan hal berikut:

• Buat temuan observasi di Security Command Center yang menunjukkan tingkat sensitivitas dan risiko data yang dihitung dari data Anda. Anda dapat menggunakan temuan ini untuk menginformasikan respons Anda saat Anda menghadapi ancaman dan kerentanan yang terkait dengan aset data Anda. Untuk mengetahui daftar jenis temuan yang dihasilkan, lihat Temuan observasi dari layanan penemuan.

  Temuan ini dapat menginformasikan penetapan otomatis resource bernilai tinggi berdasarkan sensitivitas data. Untuk mengetahui informasi selengkapnya, lihat Menggunakan insight penemuan untuk mengidentifikasi resource bernilai tinggi di halaman ini.

• Membuat temuan kerentanan di Security Command Center saat Sensitive Data Protection mendeteksi keberadaan data yang sangat sensitif yang tidak dilindungi. Untuk mengetahui daftar jenis temuan yang dihasilkan, lihat Temuan kerentanan dari layanan penemuan Perlindungan Data Sensitif.

Menemukan latensi pembuatan

Bergantung pada ukuran organisasi Anda, temuan Sensitive Data Protection dapat mulai muncul di Security Command Center dalam beberapa menit setelah Anda mengaktifkan penemuan data sensitif. Untuk organisasi yang lebih besar atau organisasi dengan konfigurasi tertentu yang memengaruhi pembuatan temuan, mungkin diperlukan waktu hingga 12 jam sebelum temuan awal muncul di Security Command Center.

Selanjutnya, Sensitive Data Protection membuat temuan di Security Command Center dalam beberapa menit setelah layanan penemuan memindai resource Anda.

Sebelum memulai

Selesaikan tugas ini sebelum Anda menyelesaikan tugas lainnya di halaman ini.

Mengaktifkan Paket Enterprise Security Command Center

Selesaikan langkah 1 dan langkah 2 panduan penyiapan untuk mengaktifkan paket Security Command Center Enterprise. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan tingkat Enterprise Security Command Center.

Pastikan Sensitive Data Protection diaktifkan sebagai layanan terintegrasi

Secara default, Sensitive Data Protection diaktifkan di Security Command Center sebagai layanan terintegrasi. Jika Perlindungan Data Sensitif belum diaktifkan, Anda harus mengaktifkannya. Untuk mengetahui informasi selengkapnya, lihat Menambahkan layanan terintegrasi Google Cloud .

Siapkan izin

Untuk mendapatkan izin yang Anda perlukan guna mengonfigurasi penemuan data sensitif, minta administrator Anda untuk memberi Anda peran IAM berikut pada organisasi:

Tujuan	Peran bawaan	Izin yang relevan
Membuat konfigurasi pemindaian penemuan dan melihat profil data	DLP Administrator (roles/dlp.admin)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Buat project yang akan digunakan sebagai container agen layanan1	Project Creator (roles/resourcemanager.projectCreator)	resourcemanager.organizations.get resourcemanager.projects.create
Memberikan akses penemuan2	Salah satu dari berikut ini: Administrator Organisasi (roles/resourcemanager.organizationAdmin) (roles/iam.securityAdmin) Security Admin	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ Jika tidak memiliki peran Project Creator (roles/resourcemanager.projectCreator), Anda tetap dapat membuat konfigurasi pemindaian, tetapi penampung agen layanan yang Anda gunakan harus berupa project yang sudah ada.

² Jika Anda tidak memiliki peran Administrator Organisasi (roles/resourcemanager.organizationAdmin) atau Admin Keamanan (roles/iam.securityAdmin), Anda tetap dapat membuat konfigurasi pemindaian. Setelah Anda membuat konfigurasi pemindaian, seseorang di organisasi Anda yang memiliki salah satu peran ini harus memberikan akses penemuan ke agen layanan.

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Mengaktifkan penemuan dengan setelan default

Untuk mengaktifkan penemuan, Anda membuat konfigurasi penemuan untuk setiap sumber data yang ingin dipindai. Prosedur ini memungkinkan Anda membuat konfigurasi penemuan tersebut secara otomatis menggunakan setelan default. Anda dapat menyesuaikan setelan kapan saja setelah melakukan prosedur ini.

Jika Anda ingin menyesuaikan setelan dari awal, lihat halaman berikut:

• Membuat profil data BigQuery dalam organisasi atau folder
• Membuat profil data Cloud SQL di organisasi atau folder
• Membuat profil data Cloud Storage di organisasi atau folder
• Membuat profil data Vertex AI di organisasi atau folder
• Penemuan data sensitif untuk Amazon S3
• Melaporkan secret dalam variabel lingkungan ke Security Command Center

Untuk mengaktifkan penemuan dengan setelan default, ikuti langkah-langkah berikut:

1. Di konsol Google Cloud , buka halaman Sensitive Data Protection Enable discovery.

   Buka Aktifkan penemuan

2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan Security Command Center.

3. Di kolom Service agent container, tetapkan project yang akan digunakan sebagai service agent container. Dalam project ini, sistem akan membuat agen layanan dan otomatis memberikan izin penemuan yang diperlukan kepadanya.

   Jika sebelumnya Anda menggunakan layanan penemuan untuk organisasi, Anda mungkin sudah memiliki project penampung agen layanan yang dapat digunakan kembali.

   • Untuk membuat project secara otomatis yang akan digunakan sebagai penampung agen layanan Anda, tinjau project ID yang disarankan dan edit sesuai kebutuhan. Kemudian, klik Buat. Diperlukan waktu beberapa menit agar izin diberikan kepada agen layanan project baru.
   • Untuk memilih project yang ada, klik kolom Service agent container dan pilih project.

4. Untuk meninjau setelan default, klik ikon luaskan expand_more.

5. Di bagian Aktifkan penemuan, untuk setiap jenis penemuan yang ingin Anda aktifkan, klik Aktifkan. Mengaktifkan jenis penemuan akan melakukan hal berikut:

   • BigQuery: Membuat konfigurasi penemuan untuk memprofilkan tabel BigQuery di seluruh organisasi. Sensitive Data Protection mulai membuat profil data BigQuery Anda dan mengirimkan profil tersebut ke Security Command Center.
   • Cloud SQL: Membuat konfigurasi penemuan untuk membuat profil tabel Cloud SQL di seluruh organisasi. Sensitive Data Protection mulai membuat koneksi default untuk setiap instance Cloud SQL Anda. Proses ini dapat memerlukan waktu beberapa jam. Saat koneksi default sudah siap, Anda harus memberikan akses Sensitive Data Protection ke instance Cloud SQL dengan memperbarui setiap koneksi menggunakan kredensial pengguna database yang tepat.
   • Kerentanan secret/kredensial: Membuat konfigurasi penemuan untuk mendeteksi dan melaporkan secret yang tidak dienkripsi dalam variabel lingkungan Cloud Run. Perlindungan Data Sensitif mulai memindai variabel lingkungan Anda.
   • Cloud Storage: Membuat konfigurasi penemuan untuk membuat profil bucket Cloud Storage di seluruh organisasi. Sensitive Data Protection mulai membuat profil data Cloud Storage Anda dan mengirimkan profil tersebut ke Security Command Center.
   • Set data Vertex AI: Membuat konfigurasi penemuan untuk memprofilkan set data Vertex AI di seluruh organisasi. Sensitive Data Protection mulai membuat profil set data Vertex AI Anda dan mengirimkan profil tersebut ke Security Command Center.

   • Amazon S3: Membuat konfigurasi penemuan untuk memprofilkan semua data Amazon S3 yang dapat diakses oleh konektor AWS Anda.

   • Azure Blob Storage: Membuat konfigurasi penemuan untuk memprofilkan semua data Azure Blob Storage yang dapat diakses oleh konektor Azure Anda.

6. Untuk melihat konfigurasi penemuan yang baru dibuat, klik Buka konfigurasi penemuan.

   Jika Anda mengaktifkan penemuan Cloud SQL, konfigurasi penemuan akan dibuat dalam mode dijeda dengan error yang menunjukkan tidak adanya kredensial. Lihat Mengelola koneksi untuk digunakan dengan penemuan untuk memberikan peran IAM yang diperlukan kepada agen layanan Anda dan memberikan kredensial pengguna database untuk setiap instance Cloud SQL.

7. Tutup panel.

Untuk melihat temuan yang dihasilkan oleh Sensitive Data Protection, lihat Meninjau temuan Sensitive Data Protection di konsolGoogle Cloud .

Menggunakan insight penemuan untuk mengidentifikasi resource bernilai tinggi

Anda dapat meminta Security Command Center secara otomatis menetapkan resource yang berisi data dengan sensitivitas tinggi atau sedang sebagai resource bernilai tinggi dengan mengaktifkan opsi insight penemuan Sensitive Data Protection saat Anda membuat konfigurasi nilai resource untuk fitur simulasi jalur serangan.

Untuk resource bernilai tinggi, Security Command Center memberikan skor eksposur serangan dan visualisasi jalur serangan, yang dapat Anda gunakan untuk memprioritaskan keamanan resource yang berisi data sensitif. Untuk mengetahui informasi selengkapnya, lihat Menetapkan nilai prioritas resource secara otomatis menurut sensitivitas data .

Menyesuaikan konfigurasi pemindaian

Setiap jenis penemuan yang diaktifkan memiliki konfigurasi pemindaian penemuan yang dapat Anda sesuaikan. Misalnya, Anda dapat melakukan hal berikut:

• Sesuaikan frekuensi pemindaian.
• Tentukan filter untuk aset data yang tidak ingin Anda buat profil ulang.
• Ubah template pemeriksaan, yang menentukan jenis informasi yang dipindai oleh Sensitive Data Protection.
• Publikasikan profil data yang dihasilkan ke layanan Google Cloud lain.
• Ubah container agen layanan.

Alokasi kapasitas penemuan

Jika kebutuhan penemuan data sensitif Anda melebihi kapasitas yang dialokasikan untuk pelanggan Security Command Center Enterprise, Sensitive Data Protection dapat meningkatkan kapasitas Anda untuk sementara. Namun, peningkatan ini tidak dijamin dan bergantung pada ketersediaan resource komputasi. Jika Anda memerlukan kapasitas penemuan yang lebih besar, hubungi perwakilan akun Anda atau Google Cloud spesialis penjualan. Untuk mengetahui informasi selengkapnya, lihat bagian Memantau penggunaan dalam dokumentasi Perlindungan Data Sensitif.

Langkah berikutnya

• Melihat temuan Sensitive Data Protection
• Lihat profil data di Sensitive Data Protection.