在企业版中启用敏感数据发现

本页介绍了如何使用默认设置启用敏感数据发现功能。启用 Discovery 后，您可以随时自定义相关设置。

如果您是 Security Command Center Enterprise 客户，则您的企业版订阅中包含 Sensitive Data Protection 发现服务。如需了解详情，请参阅本页上的发现容量分配。

在 Security Command Center Enterprise 层级激活过程中，系统会自动为所有受支持的资源类型启用 Sensitive Data Protection 发现服务。此自动启用过程是一次性操作，仅适用于在 Enterprise 层级激活时受支持的资源类型。如果 Sensitive Data Protection 稍后增加了对新资源类型的发现支持，您需要按照以下说明手动启用这些发现类型。

优势

此功能具有以下优势：

• 您可以根据敏感数据保护的检测结果，识别并修复资源中可能导致敏感数据向公众或恶意方泄露的漏洞和错误配置。

• 您可以利用这些发现结果为问题甄别流程添加背景信息，并优先处理针对包含敏感数据的资源的威胁。

• 您可以将 Security Command Center 配置为根据资源所含数据的敏感度自动确定攻击路径模拟功能的资源优先级。如需了解详情，请参阅自动按数据敏感度设置资源优先级值。

工作原理

Sensitive Data Protection 发现服务可帮助您识别敏感数据和高风险数据所在的位置，从而保护整个组织中的数据。在 Sensitive Data Protection 中，该服务会生成数据分析文件，其中包含各种详细程度的数据指标和数据洞见。在 Security Command Center 中，该服务会执行以下操作：

• 在 Security Command Center 中生成观测发现结果，其中显示了计算出的数据敏感度和数据风险级别。当您遇到与数据资产相关的威胁和漏洞时，可以根据这些发现来制定应对措施。如需查看生成的发现结果类型的列表，请参阅来自发现服务的观测结果。

  这些发现可用于根据数据敏感度自动指定高价值资源。如需了解详情，请参阅本页面上的使用发现分析来确定高价值资源。

• 当 Sensitive Data Protection 检测到存在未受保护的高度敏感数据时，在 Security Command Center 中生成漏洞发现结果。如需查看生成的发现结果类型列表，请参阅敏感数据保护发现服务中的漏洞发现结果。

查找生成延迟时间

启用敏感数据发现功能后，Sensitive Data Protection 发现结果可能会在几分钟内开始显示在 Security Command Center 中，具体取决于您组织的规模。对于规模较大的组织或具有影响发现结果生成的特定配置的组织，初始发现结果可能需要长达 12 小时才会显示在 Security Command Center 中。

随后，在发现服务扫描您的资源后几分钟内，Sensitive Data Protection 会在 Security Command Center 中生成发现结果。

准备工作

请先完成以下任务，然后再完成本页面上的其余任务。

激活 Security Command Center Enterprise 层级

完成设置指南的第 1 步和第 2 步，以激活 Security Command Center Enterprise 层级。如需了解详情，请参阅激活 Security Command Center Enterprise 层级。

确保 Sensitive Data Protection 已作为集成服务启用

默认情况下，Sensitive Data Protection 在 Security Command Center 中作为集成服务处于启用状态。如果尚未启用 Sensitive Data Protection，您必须启用它。如需了解详情，请参阅添加 Google Cloud 集成服务。

设置权限

如需获得配置敏感数据发现功能所需的权限，请让管理员向您授予组织的以下 IAM 角色：

用途	预定义角色	相关权限
创建发现扫描配置并查看数据剖析文件	DLP Administrator (roles/dlp.admin)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
创建要用作服务代理容器的项目1	Project Creator (roles/resourcemanager.projectCreator)	resourcemanager.organizations.get resourcemanager.projects.create
授予发现访问权限2	下列其中一项： Organization Administrator (roles/resourcemanager.organizationAdmin) Security Admin (roles/iam.securityAdmin)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ 如果您没有 Project Creator (roles/resourcemanager.projectCreator) 角色，您仍然可以创建扫描配置，但您使用的服务代理容器必须是现有项目。

² 如果您没有组织管理员 (roles/resourcemanager.organizationAdmin) 或 Security Admin (roles/iam.securityAdmin) 角色，您仍然可以创建扫描配置。创建扫描配置后，您组织中拥有以下任一角色的人员必须向服务代理授予发现权限。

如需详细了解如何授予角色，请参阅管理访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

使用默认设置启用发现

如需启用发现功能，您需要为要扫描的每个数据源创建发现配置。此过程可让您使用默认设置自动创建这些发现配置。执行此程序后，您可以随时自定义这些设置。

如果您想从一开始就自定义设置，请改为参阅以下页面：

• 剖析组织或文件夹中的 BigQuery 数据
• 在组织或文件夹中剖析 Cloud SQL 数据
• 剖析组织或文件夹中的 Cloud Storage 数据
• 在组织或文件夹中剖析 Vertex AI 数据
• Amazon S3 的敏感数据发现功能
• 向 Security Command Center 报告环境变量中的 Secret

如需启用默认设置的发现功能，请按以下步骤操作：

1. 在 Google Cloud 控制台中，前往 Sensitive Data Protection 启用发现页面。

   前往“启用发现”

2. 验证您查看的是已激活 Security Command Center 的组织。

3. 在服务代理容器字段中，设置要用作服务代理容器的项目。在该项目中，系统会创建一个服务代理，并自动向其授予所需的发现权限。

   如果您之前曾为组织使用过发现服务，则可能已经有一个服务代理容器项目，您可以重复使用该项目。

   • 如需自动创建项目以用作服务代理容器，请查看建议的项目 ID 并根据需要进行修改。然后，点击创建。向新项目的服务代理授予权限可能需要几分钟时间。
   • 如需选择现有项目，请点击服务代理容器字段，然后选择相应项目。

4. 如需查看默认设置，请点击 expand_more 展开图标。

5. 在启用发现部分，针对要启用的每种发现类型，点击启用。启用发现类型会执行以下操作：

   • BigQuery：创建发现配置，以对组织中的 BigQuery 表进行分析。 敏感数据保护服务开始分析您的 BigQuery 数据，并将分析结果发送到 Security Command Center。
   • Cloud SQL：创建发现配置，以分析组织中的 Cloud SQL 表。 Sensitive Data Protection 开始为每个 Cloud SQL 实例创建默认连接。此过程可能需要几个小时。默认连接准备就绪后，您必须通过使用正确的数据库用户凭据更新每个连接，来授予 Sensitive Data Protection 对 Cloud SQL 实例的访问权限。
   • 密钥/凭据漏洞：创建发现配置，用于检测和报告 Cloud Run 环境变量中的未加密密钥。敏感数据保护功能开始扫描您的环境变量。
   • Cloud Storage：创建用于分析整个组织中的 Cloud Storage 存储分区的发现配置。 Sensitive Data Protection 开始分析您的 Cloud Storage 数据，并将分析结果发送到 Security Command Center。
   • Vertex AI 数据集：创建发现配置，以分析组织中的 Vertex AI 数据集。 Sensitive Data Protection 开始分析您的 Vertex AI 数据集，并将分析结果发送到 Security Command Center。

   • Amazon S3：创建发现配置，用于分析您的 AWS 连接器有权访问的所有 Amazon S3 数据。

   • Azure Blob Storage：创建发现配置，用于分析 Azure 连接器有权访问的所有 Azure Blob Storage 数据。

6. 如需查看新创建的 Discovery 配置，请点击前往 Discovery 配置。

   如果您启用了 Cloud SQL 发现功能，系统会以暂停模式创建发现配置，并显示表明缺少凭据的错误。如需向服务代理授予所需的 IAM 角色并为每个 Cloud SQL 实例提供数据库用户凭据，请参阅管理用于发现的连接。

7. 关闭窗格。

如需查看 Sensitive Data Protection 生成的发现结果，请参阅在Google Cloud 控制台中查看 Sensitive Data Protection 发现结果。

使用发现数据分析来识别高价值资源

您可以为攻击路径模拟功能创建资源值配置，并在创建时启用 Sensitive Data Protection 发现分析洞见选项，让 Security Command Center 自动将包含高敏感度或中等敏感度数据的资源指定为高价值资源。

对于高价值资源，Security Command Center 会提供攻击风险得分和攻击路径可视化图表，您可以使用这些信息来确定包含敏感数据的资源的安全优先级。如需了解详情，请参阅自动按数据敏感度设置资源优先级值 。

自定义扫描配置

每种已启用的发现类型都有一项发现扫描配置，您可以自定义该配置。 例如，您可以执行以下操作：

• 调整扫描频率。
• 为不想重新分析的数据资产指定过滤条件。
• 更改检查模板，该模板定义了 Sensitive Data Protection 要扫描的信息类型。
• 将生成的数据剖析文件发布到其他 Google Cloud 服务。
• 更改服务代理容器。

发现容量分配

如果您的敏感数据发现需求超出为 Security Command Center Enterprise 客户分配的容量，Sensitive Data Protection 可能会暂时增加您的容量。不过，我们无法保证一定会增加，具体取决于是否有可用的计算资源。如果您需要更多发现容量，请与您的客户代表或Google Cloud 销售专员联系。如需了解详情，请参阅 Sensitive Data Protection 文档中的监控使用情况。

后续步骤

• 查看敏感数据保护发现结果
• 在 Sensitive Data Protection 中查看数据剖析文件。