הפעלת פעולות של בדיקה או ניתוח סיכונים

במאמר הזה מוסבר על הפעולות ש-Sensitive Data Protection יכול לבצע אחרי הפעלת עבודת בדיקה או ניתוח סיכונים.

פעולה היא משימה ש-Sensitive Data Protection מבצע אחרי השלמת עבודת בדיקה או ניתוח סיכונים. לדוגמה, אפשר לשמור ממצאים בטבלה ב-BigQuery, לפרסם התראה בנושא Pub/Sub או לשלוח אימייל כשפעולה מסתיימת בהצלחה או מפסיקה בגלל שגיאה.

לפעולות של מיון מידע אישי רגיש יש קבוצה שונה של פעולות. מידע נוסף על פעולות איתור זמין במאמר בנושא הפעלת פעולות איתור.

פעולות אפשריות

כשמריצים עבודה של Sensitive Data Protection, סיכום של הממצאים נשמר כברירת מחדל ב-Sensitive Data Protection. אפשר לראות את הסיכום הזה באמצעות Sensitive Data Protection ב Google Cloud מסוף. אפשר גם לאחזר מידע סיכום ב-DLP API באמצעות השיטה projects.dlpJobs.get.

בקטעים הבאים מפורטות הפעולות שאפשר לבצע באמצעות משימות של בדיקה וניתוח סיכונים.

שמירת ממצאים ב-BigQuery

שמירת התוצאות של משימת Sensitive Data Protection בטבלת BigQuery. לפני שצופים בתוצאות או מנתחים אותן, צריך לוודא שהמשימה הסתיימה.

בכל פעם שמריצים סריקה, Sensitive Data Protection שומר את הממצאים בטבלה ב-BigQuery שצוינה. התוצאות המיוצאות מכילות פרטים על המיקום של כל ממצא ועל הסבירות להתאמה.

אם רוצים שכל ממצא יכלול את המחרוזת שתאמה לגלאי סוג המידע, צריך להפעיל את האפשרות Include quote (הוספת ציטוט). הצעות מחיר הן מידע רגיש, ולכן הן לא נכללות בתוצאות של Sensitive Data Protection כברירת מחדל.

אם לא מציינים מזהה טבלה, BigQuery מקצה שם ברירת מחדל לטבלה חדשה בפעם הראשונה שהסריקה מופעלת. השם דומה ל-dlpgoogleapisDATE_1234567890, כאשר DATE מייצג את התאריך שבו הסריקה מופעלת. אם מציינים טבלה קיימת, אפליקציית Sensitive Data Protection מוסיפה אליה את הממצאים מהסריקה.

כשנתונים נכתבים לטבלה ב-BigQuery, החיוב והשימוש במכסת נפח האחסון חלים על הפרויקט שמכיל את טבלת היעד.

שמירת ממצאים ב-Cloud Storage

שמירת תוצאות העבודה של Sensitive Data Protection בקטגוריה או בתיקייה קיימות ב-Cloud Storage. לפני שצופים בתוצאות או מנתחים אותן, צריך קודם לוודא שהעבודה הסתיימה.

אם בודקים קטגוריה של Cloud Storage, הקטגוריה שמייעדים לייצוא הממצאים לא יכולה להיות הקטגוריה שנבדקת.

בכל פעם שמריצים סריקה, הכלי Sensitive Data Protection שומר את הממצאים במיקום ב-Cloud Storage שציינתם. הממצאים שמייצאים כוללים פרטים על המיקום של כל ממצא ועל הסבירות להתאמה.

אם רוצים שכל ממצא יכלול את המחרוזת שתאמה לגלאי סוג המידע, צריך להפעיל את האפשרות Include quote (הוספת ציטוט). הצעות מחיר הן מידע רגיש, ולכן הן לא נכללות בתוצאות של Sensitive Data Protection כברירת מחדל.

הממצאים מיוצאים בפורמט טקסט של Protobuf כאובייקט SaveToGcsFindingsOutput. מידע על ניתוח ממצאים בפורמט הזה זמין במאמר ניתוח ממצאים שאוחסנו כטקסט Protobuf.

פרסום ב-Pub/Sub

פרסום התראה שמכילה את השם של עבודת Sensitive Data Protection (הגנה על מידע רגיש) כמאפיין בערוץ Pub/Sub. אפשר לציין נושא אחד או יותר לשליחת הודעת ההתראה. מוודאים שלחשבון השירות של Sensitive Data Protection שמריץ את עבודת הסריקה יש גישת פרסום בנושא.

אם יש בעיות בהגדרות או בהרשאות של נושא Pub/Sub, Sensitive Data Protection מנסה לשלוח את ההתראה ל-Pub/Sub במשך שבועיים. אחרי שבועיים, ההתראה נמחקת.

פרסום ב-Security Command Center

פרסום סיכום של תוצאות העבודה ב-Security Command Center. מידע נוסף זמין במאמר בנושא שליחת תוצאות סריקה של Sensitive Data Protection אל Security Command Center.

כדי להשתמש בפעולה הזו, הפרויקט צריך להיות שייך לארגון, וצריך להפעיל את Security Command Center ברמת הארגון. אחרת, הממצאים של Sensitive Data Protection לא יופיעו ב-Security Command Center. מידע נוסף זמין במאמר בנושא בדיקת רמת ההפעלה של Security Command Center.

פרסום ב-Knowledge Catalog

שליחת התוצאות של עבודת בדיקה ב-BigQuery אל Knowledge Catalog. מידע נוסף זמין במאמר בנושא שליחת תוצאות בדיקה ל-Knowledge Catalog כהיבטים.

פרסום בקטלוג הנתונים

שליחת תוצאות של משימות ל-Data Catalog. התכונה הזו יצאה משימוש.

שליחת הודעה באימייל

שליחת אימייל כשהעבודה מסתיימת. האימייל נשלח לבעלי פרויקטים ב-IAM ולאנשי קשר חיוניים טכניים.

פרסום ב-Cloud Monitoring

שליחת תוצאות הבדיקה אל Cloud Monitoring ב-Google Cloud Observability.

יצירת עותק עם הסרת פרטים מזהים

להסיר את הפרטים המזהים מכל הממצאים בנתונים שנבדקו, ולכתוב את התוכן אחרי הסרת הפרטים המזהים לקובץ חדש. לאחר מכן תוכלו להשתמש בעותק שעבר הסרת פרטים מזהים בתהליכים העסקיים שלכם, במקום בנתונים שמכילים מידע רגיש. מידע נוסף מופיע במאמר בנושא יצירת עותק של נתונים ב-Cloud Storage שעברו הסרת פרטים מזהים באמצעות Sensitive Data Protection בGoogle Cloud מסוף.

פעולות נתמכות

בטבלה הבאה מוצגות הפעולות של Sensitive Data Protection והמקומות שבהם כל פעולה זמינה.

פעולה בדיקת BigQuery בדיקה ב-Cloud Storage בדיקת Datastore בדיקה היברידית ניתוח סיכונים
שמירת ממצאים ב-BigQuery
שמירת ממצאים ב-Cloud Storage
פרסום ב-Pub/Sub
פרסום ב-Security Command Center
פרסום ב-Knowledge Catalog
פרסום ב-Data Catalog (הוצא משימוש)
שליחת הודעה באימייל
פרסום ב-Cloud Monitoring
הסרת פרטי הזיהוי מהממצאים

ציון פעולות

כשמגדירים עבודה, אפשר לציין פעולה אחת או יותר:

  • כשיוצרים עבודת בדיקה או ניתוח סיכונים חדשה באמצעות Sensitive Data Protection במסוף, צריך לציין פעולות בקטע הוספת פעולות בתהליך העבודה של יצירת העבודה. Google Cloud
  • כשמגדירים בקשה חדשה לעיבוד משימה לשליחה אל DLP API, צריך לציין פעולות באובייקט Action.

מידע נוסף וקוד לדוגמה בכמה שפות זמינים במאמרים הבאים:

תרחיש לדוגמה של פעולה

אתם יכולים להשתמש בפעולות של Sensitive Data Protection כדי להפוך תהליכים לאוטומטיים על סמך תוצאות הסריקה של Sensitive Data Protection. נניח שיש לכם טבלת BigQuery שמשותפת עם שותף חיצוני. אתם רוצים לוודא שהטבלה הזו לא מכילה מזהים רגישים כמו מספרי תעודות זהות בארה"ב (infoType US_SOCIAL_SECURITY_NUMBER), ושאם נמצאים כאלה, הגישה של השותף נשללת. הנה תרשים כללי של תהליך עבודה שמשתמש בפעולות:

  1. יוצרים טריגר של משימה של Sensitive Data Protection כדי להריץ סריקת בדיקה של טבלה ב-BigQuery כל 24 שעות.
  2. מגדירים את הפעולה של העבודות האלה לפרסום התראה ב-Pub/Sub בנושא projects/foo/scan_notifications.
  3. יוצרים פונקציה של Cloud Functions שמקשיבה להודעות נכנסות בכתובת projects/foo/scan_notifications. פונקציית Cloud הזו תקבל את השם של משימת Sensitive Data Protection כל 24 שעות, תפעיל את Sensitive Data Protection כדי לקבל תוצאות סיכום מהמשימה הזו, ואם היא תמצא מספרי ביטוח לאומי, היא תוכל לשנות את ההגדרות ב-BigQuery או בניהול זהויות וגישה (IAM) כדי להגביל את הגישה לטבלה.

המאמרים הבאים