Cette section explique comment spécifier les actions que vous souhaitez que la protection des données sensibles effectue après le profilage d'une ressource. Ces actions sont utiles si vous souhaitez envoyer des insights recueillis à partir de profils de données à d'autres servicesGoogle Cloud .
Pour activer les actions de découverte, créez ou modifiez une configuration d'analyse de découverte. Les sections suivantes décrivent les différentes actions que vous pouvez activer dans la section Ajouter des actions de la configuration de l'analyse.Toutes les actions de cette page ne sont pas disponibles pour chaque type de découverte. Par exemple, vous ne pouvez pas associer des tags à des ressources si vous configurez la découverte pour des ressources provenant d'un autre fournisseur de services cloud. Pour en savoir plus, consultez la section Actions compatibles sur cette page.
Pour en savoir plus sur la découverte de données sensibles, consultez Profils de données.
Les opérations d'inspection et d'analyse des risques disposent d'un ensemble d'actions différent. Pour en savoir plus, consultez Activer les actions d'inspection ou d'analyse des risques.
Publier dans Google Security Operations
Les métriques collectées à partir des profils de données peuvent ajouter du contexte à vos résultats Google Security Operations. Le contexte supplémentaire peut vous aider à identifier les problèmes de sécurité les plus importants à résoudre.
Par exemple, si vous examinez un agent de service spécifique, Google Security Operations peut déterminer les ressources auxquelles l'agent de service a accédé et si l'une de ces ressources contient des données à sensibilité élevée.
Pour envoyer vos profils de données à votre instance Google Security Operations, activez l'option Publier dans Google Security Operations.
Si vous n'avez pas activé d'instance Google Security Operations pour votre organisation (via le produit autonome ou Security Command Center Enterprise), l'activation de cette option n'a aucun effet.
Publier dans Security Command Center
Les résultats des profils de données fournissent du contexte lorsque vous triez et élaborez des plans de réponse pour vos résultats sur les failles et les menaces dans Security Command Center.
Pour pouvoir utiliser cette action, Security Command Center doit être activé au niveau de l'organisation. L'activation de Security Command Center au niveau de l'organisation permet le flux de résultats provenant de services intégrés tels que la protection des données sensibles. Sensitive Data Protection est compatible avec Security Command Center dans tous les niveaux de service.Si Security Command Center n'est pas activé au niveau de l'organisation, les résultats de Sensitive Data Protection n'apparaissent pas dans Security Command Center. Pour en savoir plus, consultez Vérifier le niveau d'activation de Security Command Center.
Pour envoyer les résultats de vos profils de données à Security Command Center, assurez-vous que l'option Publier dans Security Command Center est activée.
Pour en savoir plus, consultez Publier des profils de données dans Security Command Center.
Enregistrer des copies des profils de données dans BigQuery
Sensitive Data Protection enregistre une copie de chaque profil de données généré dans une table BigQuery. Si vous ne fournissez pas les détails de la table de votre choix, Sensitive Data Protection crée un ensemble de données et une table dans le conteneur de l'agent de service.
Par défaut, l'ensemble de données est nommé sensitive_data_protection_discovery et la table est nommée discovery_profiles.
Cette action vous permet de conserver un historique de tous vos profils générés. Cet historique peut être utile pour créer des rapports d'audit et visualiser les profils de données. Vous pouvez également charger ces informations dans d'autres systèmes.
Cette option vous permet également de regrouper tous vos profils de données dans une même vue, quelle que soit la région dans laquelle se trouvent vos données. Vous pouvez également afficher les profils de données dans la consoleGoogle Cloud , mais celle-ci n'affiche les profils que dans une seule région à la fois.
Lorsque la protection des données sensibles ne parvient pas à profiler une ressource, elle relance régulièrement l'opération. Pour réduire le bruit dans les données exportées, la protection des données sensibles n'exporte que les profils générés vers BigQuery.
Sensitive Data Protection commence à exporter les profils à partir du moment où vous activez cette option. Les profils générés avant l'activation de l'exportation ne sont pas enregistrés dans BigQuery.
Pour obtenir des exemples de requêtes que vous pouvez utiliser lorsque vous analysez des profils de données, consultez Analyser des profils de données.
Enregistrer un échantillon des résultats de la découverte dans BigQuery
La protection des données sensibles peut ajouter des exemples de résultats à une table BigQuery de votre choix. Les exemples de résultats représentent un sous-ensemble de tous les résultats et peuvent ne pas représenter tous les infoTypes découverts. En règle générale, le système génère environ 10 exemples de résultats par ressource, mais ce nombre peut varier pour chaque exécution de découverte.
Chaque résultat inclut la chaîne réelle (également appelée citation) qui a été détectée et son emplacement exact.
Cette action est utile si vous souhaitez évaluer si votre configuration d'inspection correspond correctement au type d'informations que vous souhaitez signaler comme sensibles. À l'aide des profils de données exportés et des exemples de résultats exportés, vous pouvez exécuter des requêtes pour obtenir plus d'informations sur les éléments spécifiques qui ont été signalés, les infoTypes auxquels ils correspondent, leur emplacement exact, leur niveau de sensibilité calculé et d'autres détails.
Exemple de requête : Affiche des exemples de résultats liés aux profils de données du magasin de fichiers
Cet exemple nécessite que les options Enregistrer des copies des profils de données dans BigQuery et Enregistrer un échantillon des résultats de la découverte dans BigQuery soient activées.
La requête suivante utilise une opération INNER JOIN à la fois sur la table des profils de données exportés et sur la table des exemples de résultats exportés. Dans le tableau qui s'affiche, chaque enregistrement indique la citation du résultat, l'infoType auquel il correspond, la ressource qui contient le résultat et le niveau de sensibilité calculé de la ressource.
SELECT findings_table.quote, findings_table.infotype.name, findings_table.location.container_name, profiles_table.file_store_profile.file_store_path as bucket_name, profiles_table.file_store_profile.sensitivity_score as bucket_sensitivity_score FROM `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table INNER JOIN `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table ON findings_table.data_profile_resource_name=profiles_table.file_store_profile.name
Exemple de requête : affiche des exemples de résultats liés aux profils de données de table
Cet exemple nécessite que les options Enregistrer des copies des profils de données dans BigQuery et Enregistrer un échantillon des résultats de la découverte dans BigQuery soient activées.
La requête suivante utilise une opération INNER JOIN à la fois sur la table des profils de données exportés et sur la table des exemples de résultats exportés. Dans le tableau qui s'affiche, chaque enregistrement indique la citation du résultat, l'infoType auquel il correspond, la ressource qui contient le résultat et le niveau de sensibilité calculé de la ressource.
SELECT findings_table.quote, findings_table.infotype.name, findings_table.location.container_name, findings_table.location.data_profile_finding_record_location.field.name AS field_name, profiles_table.table_profile.dataset_project_id AS project_id, profiles_table.table_profile.dataset_id AS dataset_id, profiles_table.table_profile.table_id AS table_id, profiles_table.table_profile.sensitivity_score AS table_sensitivity_score FROM `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table INNER JOIN `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table ON findings_table.data_profile_resource_name=profiles_table.table_profile.name
Pour enregistrer un échantillon de résultats dans une table BigQuery, procédez comme suit :
Activez l'option Enregistrer un échantillon des résultats de la découverte dans BigQuery.
Saisissez les détails de la table BigQuery dans laquelle vous souhaitez enregistrer les exemples de résultats.
La table que vous spécifiez pour cette action doit être différente de celle utilisée pour l'action Enregistrer les copies des profils de données dans BigQuery.
Pour ID du projet, saisissez l'ID d'un projet existant dans lequel vous souhaitez exporter les résultats.
Pour ID de l'ensemble de données, saisissez le nom d'un ensemble de données existant dans le projet.
Dans le champ ID de table, saisissez le nom de la table BigQuery dans laquelle vous souhaitez enregistrer les résultats. Si cette table n'existe pas, la protection des données sensibles la crée automatiquement pour vous en utilisant le nom que vous fournissez.
Pour en savoir plus sur le contenu de chaque résultat enregistré dans la table BigQuery, consultez DataProfileFinding.
Associer des tags aux ressources
Si vous activez l'option Associer des tags aux ressources, la protection des données sensibles taguera automatiquement vos données en fonction de leur niveau de sensibilité calculé. Pour cette section, vous devez d'abord effectuer les tâches décrites dans Contrôler l'accès IAM aux ressources en fonction de la sensibilité des données.
Pour taguer automatiquement une ressource en fonction de son niveau de sensibilité calculé, procédez comme suit :
- Activez l'option Taguer les ressources.
Pour chaque niveau de sensibilité (élevé, modéré, faible et inconnu), saisissez le chemin d'accès à la valeur du tag que vous avez créé pour le niveau de sensibilité concerné.
Si vous ignorez un niveau de sensibilité, aucun tag ne lui est associé.
Pour abaisser automatiquement le niveau de risque des données d'une ressource lorsque le tag de niveau de sensibilité est présent, sélectionnez Lorsqu'un tag est appliqué à une ressource, réduire le risque des données de son profil à FAIBLE. Cette option vous permet de mesurer l'amélioration de votre niveau de sécurité et de confidentialité des données.
Sélectionnez l'une des options suivantes, ou les deux :
- Taguer une ressource lorsqu'elle est profilée pour la première fois.
Taguer une ressource lorsque son profil est mis à jour. Sélectionnez cette option si vous souhaitez que Sensitive Data Protection remplace la valeur du tag de niveau de sensibilité lors des analyses de découverte suivantes. Par conséquent, l'accès d'un principal à une ressource change automatiquement à mesure que le niveau de sensibilité des données calculé pour cette ressource augmente ou diminue.
Ne sélectionnez pas cette option si vous prévoyez de mettre à jour manuellement les valeurs des libellés de niveau de sensibilité que le service de découverte a associés à vos ressources. Si vous sélectionnez cette option, Sensitive Data Protection peut écraser vos mises à jour manuelles.
Publier dans Pub/Sub
L'option Publier sur Pub/Sub vous permet d'effectuer des actions programmatiques en fonction des résultats du profilage. Vous pouvez utiliser les notifications Pub/Sub pour développer un workflow permettant d'identifier et de corriger les résultats présentant un risque ou une sensibilité importants pour les données.
Pour envoyer des notifications à un sujet Pub/Sub, procédez comme suit :
Activez Publier dans Pub/Sub.
Une liste d'options s'affiche. Chaque option décrit un événement qui déclenche l'envoi d'une notification à Pub/Sub par la protection des données sensibles.
Sélectionnez les événements qui doivent déclencher une notification Pub/Sub.
Si vous sélectionnez Envoyer une notification Pub/Sub à chaque mise à jour d'un profil, Sensitive Data Protection envoie une notification en cas de modification du niveau de sensibilité, du niveau de risque lié aux données, des infoTypes détectés, de l'accès public et d'autres métriques importantes dans le profil.
Pour chaque événement que vous sélectionnez, procédez comme suit :
Saisissez le nom du thème. Le nom doit respecter le format suivant :
projects/PROJECT_ID/topics/TOPIC_IDRemplacez les éléments suivants :
- PROJECT_ID : ID du projet associé au sujet Pub/Sub.
- TOPIC_ID : ID du sujet Pub/Sub.
Indiquez si vous souhaitez inclure le profil complet de la ressource dans la notification ou uniquement le nom complet de la ressource profilée.
Définissez les niveaux de sensibilité et de risque liés aux données minimaux qui doivent être atteints pour que Sensitive Data Protection envoie une notification.
Indiquez si une seule ou les deux conditions de risque et de sensibilité des données doivent être remplies. Par exemple, si vous choisissez
AND, les conditions de risque de données et de sensibilité doivent être remplies avant que Sensitive Data Protection n'envoie une notification.
Envoyer à Data Catalog sous forme de tags
Cette fonctionnalité est obsolète.
Cette action vous permet de créer des tags Data Catalog dans Dataplex Universal Catalog en fonction des insights issus des profils de données. Cette action ne s'applique qu'aux profils nouveaux et modifiés. Les profils existants qui ne sont pas mis à jour ne sont pas envoyés à Dataplex Universal Catalog.
Data Catalog est un service de gestion des métadonnées entièrement géré et évolutif. Lorsque vous activez cette action, les tables que vous profilez sont automatiquement taguées dans Data Catalog en fonction des insights recueillis à partir des profils de données. Vous pouvez ensuite utiliser Dataplex Universal Catalog pour rechercher dans votre organisation et vos projets les tables comportant des valeurs de tag spécifiques.
Pour envoyer les profils de données à Dataplex Universal Catalog sous forme de tags Data Catalog, assurez-vous que l'option Envoyer à Dataplex sous forme de tags est activée.
Pour en savoir plus, consultez Taguer des tables dans Data Catalog en fonction des insights issus des profils de données.
Envoyer au catalogue Dataplex Universal Catalog sous forme d'aspects
Cette action vous permet d'ajouter des aspects Dataplex Universal Catalog aux ressources profilées en fonction des insights issus des profils de données. Cette action ne s'applique qu'aux profils nouveaux et modifiés. Les profils existants qui ne sont pas mis à jour ne sont pas envoyés à Dataplex Universal Catalog.
Lorsque vous activez cette action, la protection des données sensibles associe l'aspect Sensitive Data Protection profile à l'entrée Dataplex Universal Catalog pour chaque ressource nouvelle ou mise à jour que vous profilez. Les aspects générés contiennent des insights recueillis à partir des profils de données. Vous pouvez ensuite rechercher dans votre organisation et vos projets les entrées présentant des valeurs d'aspect Sensitive Data Protection profile spécifiques.
Pour envoyer les profils de données à Dataplex Universal Catalog, assurez-vous que l'option Envoyer au catalogue Dataplex sous forme d'aspects est activée.
Pour en savoir plus, consultez Ajouter des aspects Dataplex Universal Catalog en fonction des insights issus des profils de données.
Action compatible
Le tableau suivant indique les actions compatibles avec chaque type de découverte.
| Publier dans Google Security Operations | Publier dans Security Command Center | Enregistrer des copies des profils de données dans BigQuery | Enregistrer un échantillon des résultats de la découverte dans BigQuery | Associer des tags aux ressources | Publier dans Pub/Sub | Envoyer à Dataplex Universal Catalog en tant que tags Data Catalog (Obsolète) | Envoyer au catalogue Dataplex Universal Catalog sous forme d'aspects | |
|---|---|---|---|---|---|---|---|---|
| Amazon S3 | ✓ | ✓ | ✓ | ✓ | ✓ | |||
| Azure Blob Storage | ✓ | ✓ | ✓ | ✓ | ✓ | |||
| BigQuery | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Cloud SQL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Cloud Storage | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| Vertex AI | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
Étapes suivantes
- Découvrez comment utiliser les données contextuelles des profils de données dans Google Security Operations.
- Découvrez les résultats que Sensitive Data Protection peut générer dans Security Command Center.
- Découvrez comment analyser les profils de données dans BigQuery et Looker Studio.
- Découvrez comment contrôler l'accès IAM aux ressources en fonction de la sensibilité des données.
- Découvrez comment recevoir et analyser les messages Pub/Sub concernant les profils de données.
- Découvrez comment ajouter des aspects Dataplex Universal Catalog en fonction des insights issus des profils de données.