Memublikasikan profil data ke Security Command Center

Halaman ini memberikan ringkasan tingkat tinggi tentang tindakan yang harus Anda lakukan jika ingin profil data menghasilkan temuan di Security Command Center. Halaman ini juga memberikan contoh kueri yang dapat Anda gunakan untuk menemukan temuan yang dihasilkan.

Jika Anda adalah pelanggan Security Command Center Enterprise, lihat Mengaktifkan penemuan data sensitif di paket Enterprise dalam dokumentasi Security Command Center.

Tentang profil data

Anda dapat mengonfigurasi Perlindungan Data Sensitif untuk otomatis membuat profil tentang data di seluruh organisasi, folder, atau project. Profil data berisi metrik dan metadata tentang data Anda serta membantu Anda menentukan lokasi data sensitif dan berisiko tinggi. Sensitive Data Protection melaporkan metrik ini pada berbagai tingkat detail. Untuk mengetahui informasi tentang jenis data yang dapat Anda buat profilnya, lihat Referensi yang didukung.

Manfaat memublikasikan profil data ke Security Command Center

Fitur ini menawarkan manfaat berikut di Security Command Center:

  • Anda dapat menggunakan temuan Sensitive Data Protection untuk mengidentifikasi dan memperbaiki kerentanan dan kesalahan konfigurasi di resource Anda yang dapat mengekspos data sensitif ke publik atau pihak tidak bertanggung jawab.

  • Anda dapat menggunakan temuan ini untuk menambahkan konteks ke proses triase dan memprioritaskan ancaman yang menargetkan resource yang berisi data sensitif.

  • Anda dapat mengonfigurasi Security Command Center untuk memprioritaskan resource secara otomatis untuk fitur simulasi jalur serangan sesuai dengan sensitivitas data yang ada di dalam resource tersebut. Untuk mengetahui informasi selengkapnya, lihat Menetapkan nilai prioritas resource secara otomatis menurut sensitivitas data.

Temuan Security Command Center yang dihasilkan

Saat Anda mengonfigurasi layanan penemuan untuk memublikasikan profil data ke Security Command Center, setiap profil data tabel atau profil data penyimpanan file akan menghasilkan temuan Security Command Center berikut.

Temuan kerentanan dari layanan penemuan

Layanan penemuan Sensitive Data Protection membantu Anda menentukan apakah Anda menyimpan data yang sangat sensitif yang tidak dilindungi.

Kategori Ringkasan

Nama kategori di API:

PUBLIC_SENSITIVE_DATA

Deskripsi temuan: Resource yang ditentukan memiliki data sensitivitas tinggi yang dapat diakses oleh siapa saja di internet.

Aset yang didukung:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3
  • Kontainer Azure Blob Storage

Perbaikan:

Untuk data Google Cloud , hapus allUsers dan allAuthenticatedUsers dari kebijakan IAM aset data.

Untuk data Amazon S3, konfigurasi setelan blokir akses publik atau perbarui ACL objek untuk menolak akses baca publik. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi setelan blokir akses publik untuk bucket S3 dan Mengonfigurasi ACL dalam dokumentasi AWS.

Untuk data Azure Blob Storage, hapus akses publik ke kontainer dan blob. Untuk informasi selengkapnya, lihat Ringkasan: Memperbaiki akses baca anonim untuk data blob dalam dokumentasi Azure.

Standar kepatuhan: Tidak dipetakan

Nama kategori di API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Deskripsi temuan: Ada secret—seperti sandi, token autentikasi, dan kredensial Google Cloud —dalam variabel lingkungan.

Untuk mengaktifkan detektor ini, lihat Melaporkan secret dalam variabel lingkungan ke Security Command Center dalam dokumentasi Sensitive Data Protection.

Aset yang didukung:

Perbaikan:

Untuk variabel lingkungan fungsi Cloud Run, hapus secret dari variabel lingkungan dan simpan di Secret Manager sebagai gantinya.

Untuk variabel lingkungan revisi layanan Cloud Run, alihkan semua traffic dari revisi, lalu hapus revisi.

Standar kepatuhan:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Nama kategori di API:

SECRETS_IN_STORAGE

Deskripsi temuan: Ada rahasia—seperti sandi, token autentikasi, dan kredensial cloud—di resource yang ditentukan.

Aset yang didukung:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3
  • Kontainer Azure Blob Storage

Perbaikan:

  1. Untuk Google Cloud data, gunakan Perlindungan Data Sensitif untuk menjalankan pemindaian pemeriksaan mendalam pada resource yang ditentukan guna mengidentifikasi semua resource yang terpengaruh. Untuk data Cloud SQL, ekspor data tersebut ke file CSV atau AVRO di bucket Cloud Storage dan jalankan pemindaian pemeriksaan mendalam pada bucket tersebut.

    Untuk data dari penyedia cloud lain, periksa bucket atau penampung yang ditentukan secara manual.

  2. Hapus rahasia yang terdeteksi.
  3. Pertimbangkan untuk mereset kredensial.
  4. Untuk data Google Cloud , pertimbangkan untuk menyimpan secret yang terdeteksi di Secret Manager.

Standar kepatuhan: Tidak dipetakan

Temuan miskonfigurasi dari layanan penemuan

Layanan penemuan Sensitive Data Protection membantu Anda menentukan apakah Anda memiliki kesalahan konfigurasi yang dapat mengekspos data sensitif.

Kategori Ringkasan

Nama kategori di API:

SENSITIVE_DATA_CMEK_DISABLED

Deskripsi temuan: Resource yang ditentukan memiliki data dengan sensitivitas tinggi atau sedang dan resource tersebut tidak menggunakan kunci enkripsi yang dikelola pelanggan (CMEK).

Aset yang didukung:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3
  • Kontainer Azure Blob Storage

Perbaikan:

Standar kepatuhan: Tidak dipetakan

Temuan observasi dari layanan penemuan

Data sensitivity
Indikasi tingkat sensitivitas data dalam aset data tertentu. Data dianggap sensitif jika berisi PII atau elemen lain yang mungkin memerlukan kontrol atau pengelolaan tambahan. Tingkat keparahan temuan adalah tingkat sensitivitas yang dihitung oleh Perlindungan Data Sensitifsaat membuat profil data.
Data risk
Risiko yang terkait dengan data dalam kondisi saat ini. Saat menghitung risiko data, Sensitive Data Protection mempertimbangkan tingkat sensitivitas data dalam aset data dan keberadaan kontrol akses untuk melindungi data tersebut. Tingkat keparahan temuan adalah tingkat risiko data yang dihitung oleh Perlindungan Data Sensitif saat membuat profil data.

Menemukan latensi pembuatan

Bergantung pada ukuran organisasi Anda, temuan Sensitive Data Protection dapat mulai muncul di Security Command Center dalam beberapa menit setelah Anda mengaktifkan penemuan data sensitif. Untuk organisasi yang lebih besar atau organisasi dengan konfigurasi tertentu yang memengaruhi pembuatan temuan, mungkin diperlukan waktu hingga 12 jam sebelum temuan awal muncul di Security Command Center.

Selanjutnya, Sensitive Data Protection membuat temuan di Security Command Center dalam beberapa menit setelah layanan penemuan memindai resource Anda.

Mengirim profil data ke Security Command Center

Berikut adalah alur kerja tingkat tinggi untuk memublikasikan profil data ke Security Command Center.

  1. Periksa level aktivasi Security Command Center untuk organisasi Anda. Untuk mengirim profil data ke Security Command Center, Anda harus mengaktifkan Security Command Center di tingkat organisasi, di tingkat layanan mana pun.

    Jika Security Command Center hanya diaktifkan di level project, temuan dari Sensitive Data Protection tidak akan muncul di Security Command Center.

  2. Jika Security Command Center tidak diaktifkan untuk organisasi Anda, Anda harus mengaktifkannya. Untuk mengetahui informasi selengkapnya, lihat salah satu opsi berikut, bergantung pada tingkat layanan Security Command Center Anda:

  3. Pastikan Sensitive Data Protection diaktifkan sebagai layanan terintegrasi. Untuk mengetahui informasi selengkapnya, lihat Menambahkan layanan terintegrasi Google Cloud .

  4. Aktifkan penemuan dengan membuat konfigurasi pemindaian penemuan untuk setiap sumber data yang ingin Anda pindai. Dalam konfigurasi pemindaian, pastikan Anda mengaktifkan opsi Publikasikan ke Security Command Center.

    Jika Anda memiliki konfigurasi pemindaian penemuan yang ada yang tidak memublikasikan profil data ke Security Command Center, lihat Mengaktifkan publikasi ke Security Command Center dalam konfigurasi yang ada di halaman ini.

Mengaktifkan penemuan dengan setelan default

Untuk mengaktifkan penemuan, Anda membuat konfigurasi penemuan untuk setiap sumber data yang ingin dipindai. Prosedur ini memungkinkan Anda membuat konfigurasi penemuan tersebut secara otomatis menggunakan setelan default. Anda dapat menyesuaikan setelan kapan saja setelah melakukan prosedur ini.

Jika Anda ingin menyesuaikan setelan dari awal, lihat halaman berikut:

Untuk mengaktifkan penemuan dengan setelan default, ikuti langkah-langkah berikut:

  1. Di konsol Google Cloud , buka halaman Sensitive Data Protection Enable discovery.

    Buka Aktifkan penemuan

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan Security Command Center.

  3. Di kolom Service agent container, tetapkan project yang akan digunakan sebagai service agent container. Dalam project ini, sistem akan membuat agen layanan dan otomatis memberikan izin penemuan yang diperlukan kepadanya.

    Jika sebelumnya Anda menggunakan layanan penemuan untuk organisasi, Anda mungkin sudah memiliki project penampung agen layanan yang dapat digunakan kembali.

    • Untuk membuat project secara otomatis yang akan digunakan sebagai penampung agen layanan Anda, tinjau project ID yang disarankan dan edit sesuai kebutuhan. Kemudian, klik Buat. Diperlukan waktu beberapa menit agar izin diberikan kepada agen layanan project baru.
    • Untuk memilih project yang ada, klik kolom Service agent container dan pilih project.

  4. Untuk meninjau setelan default, klik ikon luaskan .

  5. Di bagian Aktifkan penemuan, untuk setiap jenis penemuan yang ingin Anda aktifkan, klik Aktifkan. Mengaktifkan jenis penemuan akan melakukan hal berikut:

    • BigQuery: Membuat konfigurasi penemuan untuk memprofilkan tabel BigQuery di seluruh organisasi. Sensitive Data Protection mulai membuat profil data BigQuery Anda dan mengirimkan profil tersebut ke Security Command Center.
    • Cloud SQL: Membuat konfigurasi penemuan untuk membuat profil tabel Cloud SQL di seluruh organisasi. Sensitive Data Protection mulai membuat koneksi default untuk setiap instance Cloud SQL Anda. Proses ini dapat memerlukan waktu beberapa jam. Saat koneksi default sudah siap, Anda harus memberikan akses Sensitive Data Protection ke instance Cloud SQL dengan memperbarui setiap koneksi menggunakan kredensial pengguna database yang tepat.
    • Kerentanan secret/kredensial: Membuat konfigurasi penemuan untuk mendeteksi dan melaporkan secret yang tidak dienkripsi dalam variabel lingkungan Cloud Run. Perlindungan Data Sensitif mulai memindai variabel lingkungan Anda.
    • Cloud Storage: Membuat konfigurasi penemuan untuk membuat profil bucket Cloud Storage di seluruh organisasi. Sensitive Data Protection mulai membuat profil data Cloud Storage Anda dan mengirimkan profil tersebut ke Security Command Center.
    • Set data Vertex AI: Membuat konfigurasi penemuan untuk memprofilkan set data Vertex AI di seluruh organisasi. Sensitive Data Protection mulai membuat profil set data Vertex AI Anda dan mengirimkan profil tersebut ke Security Command Center.

    • Amazon S3: Membuat konfigurasi penemuan untuk memprofilkan semua data Amazon S3 yang dapat diakses oleh konektor AWS Anda.

    • Azure Blob Storage: Membuat konfigurasi penemuan untuk memprofilkan semua data Azure Blob Storage yang dapat diakses oleh konektor Azure Anda.

  6. Untuk melihat konfigurasi penemuan yang baru dibuat, klik Buka konfigurasi penemuan.

    Jika Anda mengaktifkan penemuan Cloud SQL, konfigurasi penemuan akan dibuat dalam mode dijeda dengan error yang menunjukkan tidak adanya kredensial. Lihat Mengelola koneksi untuk digunakan dengan penemuan untuk memberikan peran IAM yang diperlukan kepada agen layanan Anda dan memberikan kredensial pengguna database untuk setiap instance Cloud SQL.

  7. Tutup panel.

Mengaktifkan publikasi ke Security Command Center dalam konfigurasi yang ada

Jika Anda memiliki konfigurasi pemindaian penemuan yang ada dan tidak disetel untuk memublikasikan hasil penemuan ke Security Command Center, ikuti langkah-langkah berikut:

  1. Buka konfigurasi pemindaian untuk diedit.

  2. Di bagian Tindakan, aktifkan Publikasikan ke Security Command Center.

  3. Klik Simpan.

Mengirim kueri untuk temuan Security Command Center yang terkait dengan profil data

Berikut adalah contoh kueri yang dapat Anda gunakan untuk menemukan temuan Data sensitivity dan Data risk yang relevan di Security Command Center. Anda dapat memasukkan kueri ini di kolom Query editor. Untuk mengetahui informasi selengkapnya tentang editor kueri, lihat Mengedit kueri temuan di dasbor Security Command Center.

Mencantumkan semua temuan Data sensitivity dan Data risk untuk tabel BigQuery tertentu

Kueri ini berguna, misalnya, jika Security Command Center mendeteksi peristiwa saat tabel BigQuery disimpan ke project lain. Dalam hal ini, temuan Exfiltration: BigQuery Data Exfiltration dibuat, dan berisi nama tampilan lengkap tabel yang dieksfiltrasi. Anda dapat menelusuri Data sensitivity dan Data risk temuan terkait tabel. Lihat tingkat sensitivitas dan risiko data yang dihitung untuk tabel dan rencanakan respons Anda dengan tepat.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"

Ganti kode berikut:

  • PROJECT_ID: ID project yang berisi tabel BigQuery
  • DATASET_ID: ID set data tabel
  • TABLE_ID: ID tabel

Mencantumkan semua temuan Data sensitivity dan Data risk untuk instance Cloud SQL tertentu

Kueri ini berguna, misalnya, jika Security Command Center mendeteksi peristiwa saat data instance Cloud SQL aktif diekspor ke bucket Cloud Storage di luar organisasi. Dalam hal ini, temuan Exfiltration: Cloud SQL Data Exfiltration dibuat, dan berisi nama resource lengkap instance yang dieksfiltrasi. Anda dapat menelusuri Data sensitivity dan Data risk temuan terkait instance. Lihat sensitivitas dan tingkat risiko data yang dihitung untuk instance dan rencanakan respons Anda dengan tepat.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"

Ganti kode berikut:

  • INSTANCE_NAME: sebagian nama instance Cloud SQL

Mencantumkan semua temuan Data risk dan Data sensitivity dengan tingkat keparahan High

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"

Langkah berikutnya