יצירת פרופיל של נתונים ב-BigQuery בפרויקט יחיד

בדף הזה מוסבר איך להגדיר גילוי נתונים ב-BigQuery ברמת הפרויקט. הפלט של המשימה הזו הוא הגדרת גילוי ברמת הפרויקט, שאם היא פעילה, היא מורה ל-Sensitive Data Protection ליצור פרופיל של הנתונים לפי לוח זמנים מוגדר.

אם רוצים ליצור פרופיל של ארגון או תיקייה, אפשר לעיין במאמר יצירת פרופיל של נתוני BigQuery בארגון או בתיקייה.

מידע נוסף על שירות הגילוי זמין במאמר פרופילי נתונים.

כדי להתחיל ליצור פרופילים של נתונים, יוצרים הגדרה של סריקת גילוי.

לפני שמתחילים

  1. אם יש לכם מינוי לגילוי ברמת הארגון – כולל מינוי דרך Security Command Center – חשוב לדעת שהגדרת הגילוי ברמת הפרויקט לא כלולה במינוי שלכם ותחויבו עליה בנפרד. מומלץ להשתמש בהגדרת גילוי ברמת הארגון כדי ליצור פרופיל של הפרויקט. מידע נוסף זמין במאמר יצירת פרופיל של פרויקטים או נכסי נתונים בארגון או בתיקייה.

  2. מוודאים ש-Cloud Data Loss Prevention API מופעל בפרויקט:

    1. נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

    2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Roles required to select or create a project

      • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
      • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

      Go to project selector

    3. Verify that billing is enabled for your Google Cloud project.

    4. Enable the required API.

      Roles required to enable APIs

      To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

      Enable the API

    5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Roles required to select or create a project

      • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
      • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

      Go to project selector

    6. Verify that billing is enabled for your Google Cloud project.

    7. Enable the required API.

      Roles required to enable APIs

      To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

      Enable the API

      8.

  3. מוודאים שיש לכם את הרשאות ה-IAM שנדרשות להגדרת פרופילי נתונים ברמת הפרויקט.

  4. צריכה להיות לכם תבנית בדיקה בכל אזור שבו יש לכם נתונים שצריך ליצור להם פרופיל. אם רוצים להשתמש בתבנית אחת לכמה אזורים, אפשר להשתמש בתבנית שמאוחסנת באזור global. אם מדיניות הארגון מונעת מכם ליצור תבנית בדיקה באזור global, אתם צריכים להגדיר תבנית בדיקה ייעודית לכל אזור. מידע נוסף מופיע במאמר שיקולים לגבי מיקום הנתונים.

    במשימה הזו אפשר ליצור תבנית בדיקה רק באזור global. אם אתם צריכים תבניות ייעודיות לבדיקה באזור אחד או יותר, אתם צריכים ליצור את התבניות האלה לפני שתבצעו את המשימה הזו.

  5. אתם יכולים להגדיר את Sensitive Data Protection כך שישלח התראות ל-Pub/Sub כשמתרחשים אירועים מסוימים, למשל כש-Sensitive Data Protection יוצר פרופיל של טבלה חדשה. כדי להשתמש בתכונה הזו, קודם צריך ליצור נושא Pub/Sub.

  6. אתם יכולים להגדיר את Sensitive Data Protection כך שיצור באופן אוטומטי תגים למשאבים שלכם. התכונה הזו מאפשרת להעניק גישה למשאבים האלה באופן מותנה על סמך רמות הרגישות המחושבות שלהם. כדי להשתמש בתכונה הזו, צריך קודם להשלים את המשימות שמתוארות במאמר שליטה בגישת IAM למשאבים על סמך רגישות הנתונים.

יצירת הגדרות סריקה

  1. עוברים לדף יצירת הגדרת סריקה.

    כניסה לדף Create scan configuration

  2. עוברים לפרויקט. בסרגל הכלים, לוחצים על רשימת הפרויקטים לבחירה ובוחרים את הפרויקט.

בקטעים הבאים מוסבר בהרחבה על השלבים בדף יצירת הגדרת סריקה. בסיום כל קטע, לוחצים על המשך.

בוחרים סוג Discovery

בוחרים באפשרות BigQuery.

בחירת היקף הרשאות

מבצעים אחת מהפעולות הבאות:

  • אם רוצים לסרוק טבלה אחת, בוחרים באפשרות סריקת טבלה אחת.

    לכל טבלה יכולה להיות רק הגדרה אחת של סריקת משאב יחיד. מידע נוסף מופיע במאמר יצירת פרופיל של משאב נתונים יחיד.

    ממלאים את הפרטים של הטבלה שרוצים ליצור לה פרופיל.

  • כדי לבצע פרופיל סטנדרטי ברמת הפרויקט, בוחרים באפשרות סריקה של הפרויקט שנבחר.

ניהול לוחות זמנים

אם תדירות יצירת הפרופילים שמוגדרת כברירת מחדל מתאימה לצרכים שלכם, אתם יכולים לדלג על הקטע הזה בדף יצירת הגדרות סריקה.

מגדירים את הקטע הזה מהסיבות הבאות:

  • כדי לבצע שינויים מדויקים בתדירות יצירת הפרופילים של כל הנתונים או של קבוצות משנה מסוימות של הנתונים.
  • כדי לציין את הטבלאות שלא רוצים ליצור להן פרופיל.
  • כדי לציין את הטבלאות שלא רוצים ליצור להן פרופיל יותר מפעם אחת.

כדי לבצע התאמות מדויקות בתדירות של יצירת הפרופיל, פועלים לפי השלבים הבאים:

  1. לוחצים על הוספת תזמון.

  2. בקטע Filters (מסננים), מגדירים מסנן אחד או יותר שמציין אילו טבלאות נכללות בהיקף של התזמון. טבלה נחשבת כנכללת בהיקף של התזמון אם היא תואמת לפחות לאחד מהמסננים שהוגדרו.

    כדי להגדיר מסנן, צריך לציין לפחות אחד מהערכים הבאים:

    • מזהה פרויקט או ביטוי רגולרי שמציין פרויקט אחד או יותר
    • מזהה של קבוצת נתונים או ביטוי רגולרי שמציין קבוצת נתונים אחת או יותר
    • מזהה טבלה או ביטוי רגולרי שמציין טבלה אחת או יותר

    הביטויים הרגולריים צריכים להיות בהתאם לתחביר RE2.

    לדוגמה, אם רוצים שכל הטבלאות במערך נתונים ייכללו במסנן, מציינים את המזהה של מערך הנתונים ומשאירים את שני השדות האחרים ריקים.

    כדי שתהיה התאמה למסנן, הטבלה צריכה לעמוד בכל הביטויים הרגולריים שצוינו במסנן.

    כדי להוסיף עוד מסננים, לוחצים על הוספת מסנן וחוזרים על השלב הזה.

  3. לוחצים על תדירות.

  4. בקטע תדירות, מציינים אם השירות Sensitive Data Protection צריך ליצור פרופיל של הטבלאות שהגדרתם במסננים, ואם כן, באיזו תדירות:

    • אם אתם לא רוצים שהטבלאות ינותחו, משביתים את האפשרות ניתוח הטבלאות.

    • אם רוצים שהטבלאות ינותחו לפחות פעם אחת, משאירים את האפשרות ניתוח הטבלאות מופעלת.

      בשדות הבאים בקטע הזה, מציינים אם המערכת צריכה ליצור פרופיל חדש של הנתונים ואילו אירועים צריכים להפעיל פעולה של יצירת פרופיל חדש. מידע נוסף זמין במאמר בנושא תדירות יצירת פרופיל הנתונים.

      1. בקטע When schema changes (כשיש שינויים בסכימה), מציינים באיזו תדירות Sensitive Data Protection צריכה לבדוק אם בוצעו שינויים בסכימה של הטבלאות שנבחרו מאז הפעם האחרונה שנוצר להן פרופיל. רק טבלאות עם שינויים בסכימה ינותחו מחדש.
      2. בקטע Types of schema change (סוגי שינויים בסכימה), מציינים אילו סוגים של שינויים בסכימה צריכים להפעיל פעולה של יצירת פרופיל מחדש. בוחרים אחת מהאפשרויות הבאות:
        • עמודות חדשות: צריך ליצור מחדש את הפרופיל של הטבלאות שנוספו להן עמודות חדשות.
        • העמודות שהוסרו: צריך ליצור מחדש את הפרופיל של הטבלאות שהוסרו מהן עמודות.

        לדוגמה, נניח שיש לכם טבלאות שמתווספות להן עמודות חדשות כל יום, ואתם צריכים ליצור פרופיל של התוכן שלהן בכל פעם. אפשר להגדיר את האפשרות When schema changes (כשיש שינויים בסכימה) לערך Reprofile daily (יצירת פרופיל מחדש מדי יום), ואת האפשרות Types of schema change (סוגי שינויים בסכימה) לערך New columns (עמודות חדשות).

      3. בקטע When table changes (כאשר הטבלה משתנה), מציינים באיזו תדירות Sensitive Data Protection צריך לבדוק אם חלו שינויים בטבלאות שנבחרו מאז הפעם האחרונה שנוצר להן פרופיל. רק טבלאות עם שינויים ינותחו מחדש. דוגמאות לשינויים בטבלה: מחיקות של שורות ושינויים בסכימה.

        צריך לבחור ערך שזהה לערך שהגדרתם בשדה When schema changes או נמוך ממנו.

      4. בקטע When inspect template changes (כשמתבצעים שינויים בתבנית הבדיקה), מציינים אם רוצים שהנתונים ינותחו מחדש כשמתעדכנת תבנית הבדיקה המשויכת, ואם כן, באיזו תדירות.

        שינוי בתבנית בדיקה מזוהה באחד מהמקרים הבאים:

        • השם של תבנית הבדיקה משתנה בהגדרת הסריקה.
        • התבנית updateTime של תבנית בדיקה משתנה.

        5. לדוגמה, אם הגדרתם תבנית בדיקה לאזור us-west1 ועדכנתם את תבנית הבדיקה הזו, רק נתונים באזור us-west1 יעברו פרופיל מחדש.

  5. לוחצים על תנאים.

  6. בקטע תנאים, מציינים את התנאים שהטבלאות, שמוגדרות במסננים, צריכות לעמוד בהם לפני ש-Sensitive Data Protection יחיל עליהן פרופילים. אם מגדירים תנאים מינימליים וגם תנאי זמן, Sensitive Data Protection יוצר פרופילים רק לטבלאות שעומדות בשני סוגי התנאים.

    • תנאים מינימליים: התנאים האלה שימושיים אם רוצים לדחות את יצירת הפרופיל של טבלה עד שיש בה מספיק שורות או עד שהיא מגיעה לגיל מסוים. מפעילים את התנאים שרוצים להחיל ומציינים את מספר השורות המינימלי או את משך הזמן.
    • תנאי זמן: התנאי הזה שימושי אם אתם לא רוצים שאי פעם ייווצר פרופיל של טבלאות ישנות. מפעילים את התנאי של השעה ובוחרים תאריך ושעה. כל טבלה שנוצרה בתאריך הזה או לפניו לא נכללת בפרופיל.

    תנאים לדוגמה

    נניח שהגדרתם את ההגדרות הבאות:

    • תנאים מינימליים

      • מספר השורות המינימלי: 10 שורות
      • משך הזמן המינימלי: 24 שעות

    • תנאי זמן

      • חותמת זמן: 4/5/22, ‏ 23:59

    במקרה הזה, Sensitive Data Protection לא יכלול טבלאות שנוצרו בתאריך 4 במאי 2022 בשעה 23:59 או לפני כן. מבין הטבלאות שנוצרו אחרי התאריך והשעה האלה, פרופילים של Sensitive Data Protection נוצרים רק לטבלאות שיש בהן 10 שורות או שהן בנות 24 שעות לפחות.

  7. בקטע Tables to profile, בוחרים באחת מהאפשרויות הבאות, בהתאם לסוגי הטבלאות שרוצים ליצור להן פרופיל:

    • Profile all tables (יצירת פרופיל לכל הטבלאות): בוחרים באפשרות הזו אם רוצים ש-Sensitive Data Protection ייצור פרופיל לכל סוגי הטבלאות שתואמים למסננים ולתנאים שהגדרתם.

      עבור סוגי טבלאות שלא נתמכים, Sensitive Data Protection יוצר פרופילים שאוכלסו רק באופן חלקי. בפרופילים כאלה מוצגות שגיאות שמציינות שהטבלאות שאליהן הם מתייחסים לא נתמכות. בוחרים באפשרות הזו אם רוצים לראות את הפרופילים החלקיים למרות הודעות השגיאה.

      כש-Sensitive Data Protection מוסיף תמיכה בסוג חדש של טבלה, הוא יוצר מחדש פרופילים של טבלאות מהסוג הזה באופן מלא במהלך ההפעלה המתוזמנת הבאה.

    • טבלאות נתמכות בפרופיל: בוחרים באפשרות הזו אם רוצים ש-Sensitive Data Protection תיצור פרופיל רק של הטבלאות הנתמכות שתואמות למסננים ולתנאים שהגדרתם. לא יהיו פרופילים חלקיים לטבלאות שלא נתמכות.

    • Profile specific table types: בוחרים באפשרות הזו אם רוצים ש-Sensitive Data Protection יצור פרופיל רק לסוגי הטבלאות שבוחרים. ברשימה שמופיעה, בוחרים סוג אחד או יותר.

      כש-Sensitive Data Protection מוסיף תמיכה בסוג חדש של טבלה, הוא לא יוצר באופן אוטומטי פרופיל של טבלאות מהסוג הזה. כדי ליצור פרופיל של סוגי טבלאות חדשים שנתמכים, צריך לערוך את הגדרות הסריקה ולבחור את הסוגים האלה.

    אם לא בוחרים באפשרות, פרופילים של Sensitive Data Protection יסרקו רק טבלאות ב-BigQuery ויציגו שגיאות לגבי טבלאות שלא נתמכות.

    המחיר של פרופיל נתונים משתנה בהתאם לסוגי הטבלאות שיוצרים להן פרופיל. מידע נוסף זמין במאמר בנושא תמחור של פרופיל נתונים.

  8. לוחצים על סיום.

  9. אופציונלי: כדי להוסיף עוד לוחות זמנים, לוחצים על הוספת לוח זמנים וחוזרים על השלבים הקודמים.

  10. כדי לציין את סדר העדיפות בין לוחות הזמנים, משנים את הסדר שלהם באמצעות החצים למעלה ו למטה.

    הסדר של לוחות הזמנים מציין איך נפתרות התנגשויות בין לוחות זמנים. אם טבלה תואמת למסננים של שני לוחות זמנים שונים, לוח הזמנים שמופיע גבוה יותר ברשימת לוחות הזמנים יקבע את תדירות יצירת הפרופיל עבור הטבלה הזו.

  11. אופציונלי: עורכים או משביתים את לוח הזמנים הכללי.

    לוח הזמנים האחרון ברשימה הוא לוח הזמנים הכללי. התזמון הזה חל על הטבלאות בהיקף שבחרת שלא תואמות לאף אחד מהתזמונים שיצרת. לוח הזמנים של כלל התפיסה פועל לפי תדירות ברירת המחדל של המערכת ליצירת פרופילים.

    • כדי לשנות את לוח הזמנים של כתובת catch-all, לוחצים על עריכת לוח הזמנים ומשנים את ההגדרות לפי הצורך.
    • כדי למנוע מ-Sensitive Data Protection ליצור פרופיל של משאבים שנכללים בלוח הזמנים הכללי, משביתים את האפשרות יצירת פרופיל של משאבים שלא תואמים ללוח זמנים מותאם אישית.

בחירת תבנית בדיקה

בוחרים באחת מהאפשרויות הבאות, בהתאם לאופן שבו רוצים לספק הגדרת בדיקה. לא משנה באיזו אפשרות תבחרו, Sensitive Data Protection יסרוק את הנתונים שלכם באזור שבו הם מאוחסנים. כלומר, הנתונים לא יוצאים מהאזור שבו הם נוצרו.

אפשרות 1: יצירת תבנית בדיקה

בוחרים באפשרות הזו אם רוצים ליצור תבנית חדשה לבדיקה באזור global.

  1. לוחצים על יצירת תבנית חדשה לבדיקה.

  2. אופציונלי: כדי לשנות את ברירת המחדל של סוגי המידע, לוחצים על ניהול סוגי מידע.

    מידע נוסף על ניהול של סוגי מידע מובנים ומותאמים אישית זמין במאמר בנושא ניהול סוגי מידע דרך מסוףGoogle Cloud .

    כדי להמשיך, צריך לבחור לפחות סוג מידע אחד.

  3. אופציונלי: אפשר להוסיף עוד כללים ולהגדיר סף מהימנות כדי להגדיר עוד את תבנית הבדיקה. מידע נוסף זמין במאמר בנושא הגדרת זיהוי.

כש-Sensitive Data Protection יוצרת את הגדרת הסריקה, היא מאחסנת את תבנית הבדיקה החדשה באזור global.

אפשרות 2: שימוש בתבנית בדיקה קיימת

בוחרים באפשרות הזו אם יש לכם תבניות בדיקה קיימות שאתם רוצים להשתמש בהן.

  1. לוחצים על בחירה בתבנית בדיקה קיימת.
  2. מזינים את שם המשאב המלא של תבנית הבדיקה שרוצים להשתמש בה. השדה אזור מאוכלס אוטומטית בשם האזור שבו מאוחסנת תבנית הבדיקה.

    תבנית הבדיקה שאתם מזינים צריכה להיות באותו אזור שבו נמצאים הנתונים שאתם רוצים ליצור להם פרופיל.

    כדי לכבד את דרישות שמירת הנתונים, Sensitive Data Protection לא משתמש בתבנית בדיקה מחוץ לאזור שבו התבנית מאוחסנת.

    כדי למצוא את שם המשאב המלא של תבנית בדיקה, פועלים לפי השלבים הבאים:

    1. עוברים לרשימת תבניות הבדיקה. הדף הזה ייפתח בכרטיסייה נפרדת.

      מעבר לתבניות בדיקה

    2. בוחרים את הפרויקט שמכיל את תבנית הבדיקה שרוצים להשתמש בה.
    3. בוחרים באפשרות Configuration > Templates > Inspect (הגדרה > תבניות > בדיקה), ואז לוחצים על מזהה התבנית שרוצים להשתמש בה.
    4. בדף שנפתח, מעתיקים את שם המשאב המלא של התבנית. הפורמט של השם המלא של המשאב הוא: 
      projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
    5. בדף Create scan configuration (יצירת הגדרת סריקה), בשדה Template name (שם התבנית), מדביקים את שם המשאב המלא של התבנית.
  3. כדי להוסיף תבנית בדיקה לאזור אחר, לוחצים על Add inspection template (הוספת תבנית בדיקה) ומזינים את שם המשאב המלא של התבנית. חוזרים על הפעולה הזו לכל אזור שיש לו תבנית בדיקה ייעודית.
  4. אופציונלי: מוסיפים תבנית בדיקה שמאוחסנת באזור global. מערכת Sensitive Data Protection משתמשת אוטומטית בתבנית הזו לנתונים באזורים שבהם אין לכם תבנית בדיקה ייעודית.

הוספת פעולות

בקטע הזה מוסבר איך מציינים פעולות שרוצים ש-Sensitive Data Protection יבצע אחרי יצירת פרופיל של טבלה. הפעולות האלה שימושיות אם רוצים לשלוח תובנות שנאספו מפרופילי נתונים לשירותים אחרים שלGoogle Cloud .

פרסום ב-Security Command Center

הממצאים מפרופילי הנתונים מספקים הקשר כשממיינים ומפתחים תוכניות תגובה לממצאי נקודות החולשה והאיומים ב-Security Command Center.

כדי להשתמש בפעולה הזו, צריך להפעיל את Security Command Center ברמת הארגון. הפעלת Security Command Center ברמת הארגון מאפשרת את זרימת הממצאים משירותים משולבים כמו Sensitive Data Protection. השירות Sensitive Data Protection פועל עם Security Command Center בכל רמות השירות.

אם Security Command Center לא מופעל ברמת הארגון, הממצאים של Sensitive Data Protection לא יופיעו ב-Security Command Center. מידע נוסף זמין במאמר בנושא בדיקת רמת ההפעלה של Security Command Center.

כדי לשלוח את התוצאות של פרופילי הנתונים אל Security Command Center, מוודאים שהאפשרות פרסום ב-Security Command Center מופעלת.

מידע נוסף זמין במאמר בנושא פרסום פרופילי נתונים ב-Security Command Center.

שמירת עותקים של פרופיל הנתונים ב-BigQuery

‫Sensitive Data Protection שומר עותק של כל פרופיל נתונים שנוצר בטבלה ב-BigQuery. אם לא תספקו את הפרטים של הטבלה המועדפת, Sensitive Data Protection ייצור מערך נתונים וטבלה בפרויקט. כברירת מחדל, קבוצת הנתונים נקראת sensitive_data_protection_discovery והטבלה נקראת discovery_profiles.

הפעולה הזו מאפשרת לכם לשמור היסטוריה של כל הפרופילים שנוצרו. היסטוריה כזו יכולה להיות שימושית ליצירת דוחות ביקורת ולהצגת פרופילים של נתונים. אפשר גם לטעון את המידע הזה למערכות אחרות.

בנוסף, האפשרות הזו מאפשרת לכם לראות את כל פרופילי הנתונים בתצוגה אחת, בלי קשר לאזור שבו הנתונים נמצאים. אפשר גם לראות את פרופילי הנתונים דרך מסוףGoogle Cloud , אבל במסוף מוצגים הפרופילים רק מאזור אחד בכל פעם.

אם לא ניתן ליצור פרופיל של טבלה באמצעות Sensitive Data Protection, המערכת מנסה שוב באופן תקופתי. כדי למזער רעשים בנתונים המיוצאים, Sensitive Data Protection מייצא ל-BigQuery רק את הפרופילים שנוצרו בהצלחה.

הייצוא של פרופילים באמצעות Sensitive Data Protection מתחיל מרגע שמפעילים את האפשרות הזו. פרופילים שנוצרו לפני שהפעלתם את הייצוא לא נשמרים ב-BigQuery.

לדוגמה, שאילתות שאפשר להשתמש בהן כשמנתחים פרופילי נתונים מופיעות במאמר ניתוח פרופילי נתונים.

שמירת ממצאים לדוגמה של גילוי ב-BigQuery

בעזרת Sensitive Data Protection אפשר להוסיף ממצאים לדוגמה לטבלה ב-BigQuery שתבחרו. ממצאי הדוגמה מייצגים קבוצת משנה של כל הממצאים, ויכול להיות שהם לא מייצגים את כל סוגי המידע שהמערכת גילתה. בדרך כלל, המערכת יוצרת כ-10 ממצאים לדוגמה לכל טבלה, אבל המספר הזה יכול להשתנות בכל הפעלה של גילוי.

כל ממצא כולל את המחרוזת בפועל (שנקראת גם ציטוט) שזוהתה ואת המיקום המדויק שלה.

הפעולה הזו שימושית אם רוצים לבדוק אם הגדרת הבדיקה מתאימה לסוג המידע שרוצים לסמן כרגיש. באמצעות פרופילי הנתונים המיוצאים וממצאי הדגימה המיוצאים, אפשר להריץ שאילתות כדי לקבל מידע נוסף על הפריטים הספציפיים שסומנו, על סוגי המידע שהם תואמים להם, על המיקומים המדויקים שלהם, על רמות הרגישות המחושבות שלהם ועל פרטים נוספים.

כדי להשתמש בדוגמה הזו, צריך להפעיל את האפשרויות שמירת עותקים של פרופיל הנתונים ב-BigQuery ושמירת ממצאי גילוי לדוגמה ב-BigQuery.

השאילתה הבאה משתמשת בפעולה INNER JOIN גם בטבלה של פרופילי הנתונים המיוצאים וגם בטבלה של ממצאי הדוגמה המיוצאים. בטבלה שמתקבלת, כל רשומה מציגה את הציטוט של הממצא, את סוג המידע שתאם לו, את המשאב שמכיל את הממצא ואת רמת הרגישות המחושבת של המשאב. 

SELECT
 findings_table.quote,
 findings_table.infotype.name,
 findings_table.location.container_name,
 findings_table.location.data_profile_finding_record_location.field.name AS field_name,
 profiles_table.table_profile.dataset_project_id AS project_id,
 profiles_table.table_profile.dataset_id AS dataset_id,
 profiles_table.table_profile.table_id AS table_id,
 profiles_table.table_profile.sensitivity_score AS table_sensitivity_score
 FROM
 `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table
INNER JOIN
 `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table
ON
 findings_table.data_profile_resource_name=profiles_table.table_profile.name

כדי לשמור ממצאים לדוגמה בטבלה ב-BigQuery, פועלים לפי השלבים הבאים:

  1. מפעילים את האפשרות שמירת ממצאי גילוי לדוגמה ב-BigQuery.

  2. מזינים את הפרטים של הטבלה ב-BigQuery שבה רוצים לשמור את הממצאים לדוגמה.

    הטבלה שמציינים לפעולה הזו צריכה להיות שונה מהטבלה שמשמשת לפעולה שמירת עותקים של פרופיל הנתונים ב-BigQuery.

    • בקטע מזהה פרויקט, מזינים את המזהה של פרויקט קיים שאליו רוצים לייצא את הממצאים.

    • בשדה Dataset ID מזינים את השם של מערך נתונים קיים בפרויקט.

    • בשדה מזהה הטבלה, מזינים את השם של הטבלה ב-BigQuery שבה רוצים לשמור את הממצאים. אם הטבלה הזו לא קיימת, Sensitive Data Protection יוצר אותה באופן אוטומטי בשם שאתם מספקים.

למידע על התוכן של כל ממצא שנשמר בטבלה ב-BigQuery, אפשר לעיין במאמר DataProfileFinding.

צירוף תגים למשאבים

הפעלת האפשרות צירוף תגים למשאבים מורה לשירות Sensitive Data Protection לתייג אוטומטית את הנתונים בהתאם לרמת הרגישות המחושבת שלהם. כדי להשלים את השלב הזה, צריך קודם לבצע את המשימות שבקטע שליטה בגישת IAM למשאבים על סמך רגישות הנתונים.

כדי לתייג באופן אוטומטי משאב לפי רמת הרגישות המחושבת שלו: פועלים לפי השלבים הבאים:

  1. מפעילים את האפשרות תיוג משאבים.

  2. לכל רמת רגישות (גבוהה, בינונית, נמוכה ולא ידועה), מזינים את הנתיב של ערך התג שיצרתם לרמת הרגישות הנתונה.

    אם מדלגים על רמת רגישות, לא מצורף תג לרמה הזו.

  3. כדי להנמיך אוטומטית את רמת הסיכון של נתונים במשאב מסוים כשתג רמת הרגישות קיים, בוחרים באפשרות כשתג מוחל על משאב, רמת הסיכון של הנתונים בפרופיל שלו תוגדר כנמוכה. האפשרות הזו עוזרת לכם למדוד את השיפור ברמת אבטחת המידע והפרטיות שלכם.

  4. בוחרים אחת מהאפשרויות הבאות או את שתיהן:

    • תיוג משאב כשיוצרים לו פרופיל בפעם הראשונה

    • תיוג משאב כשמעדכנים את הפרופיל שלו בוחרים באפשרות הזו אם רוצים ש-Sensitive Data Protection יחליף את הערך של תג רמת הרגישות בהפעלות הבאות של הגילוי. כתוצאה מכך, הגישה של גורם מרכזי למשאב משתנה אוטומטית ככל שרמת הרגישות של הנתונים המחושבת עבור המשאב הזה עולה או יורדת.

      לא בוחרים באפשרות הזו אם מתכננים לעדכן באופן ידני את ערכי התוויות של רמת הרגישות ששירות הגילוי צירף למשאבים. אם בוחרים באפשרות הזו, Sensitive Data Protection יכול לדרוס את העדכונים הידניים שלכם.

פרסום ב-Pub/Sub

הפעלת האפשרות פרסום ב-Pub/Sub מאפשרת לכם לבצע פעולות פרוגרמטיות על סמך תוצאות הפרופילים. אתם יכולים להשתמש בהתראות של Pub/Sub כדי לפתח תהליך עבודה לזיהוי ולתיקון של ממצאים עם סיכון משמעותי לנתונים או רגישות משמעותית של נתונים.

כדי לשלוח התראות לנושא Pub/Sub, פועלים לפי השלבים הבאים:

  1. מפעילים את האפשרות פרסום ב-Pub/Sub.

    מופיעה רשימת אפשרויות. כל אפשרות מתארת אירוע שגורם ל-Sensitive Data Protection לשלוח התראה ל-Pub/Sub.

  2. בוחרים את האירועים שיפעילו התראת Pub/Sub.

    אם בוחרים באפשרות שליחת התראה ב-Pub/Sub בכל פעם שמתעדכן פרופיל, המערכת של Sensitive Data Protection שולחת התראה כשמתבצע שינוי במדדים חשובים בפרופיל, כמו רמת הרגישות, רמת הסיכון של הנתונים, סוגי המידע שזוהו, הגישה הציבורית ועוד.

  3. לכל אירוע שבוחרים, פועלים לפי השלבים הבאים:

    1. מזינים את שם הנושא. השם צריך להיות בפורמט הבא:

      projects/PROJECT_ID/topics/TOPIC_ID

      מחליפים את מה שכתוב בשדות הבאים:

      • PROJECT_ID: מזהה הפרויקט שמשויך לנושא ב-Pub/Sub.
      • TOPIC_ID: המזהה של נושא ה-Pub/Sub.

    2. מציינים אם לכלול בהתראה את פרופיל הטבלה המלא או רק את שם המשאב המלא של הטבלה שנוצר לה פרופיל.

    3. מגדירים את רמות הסיכון והרגישות המינימליות של הנתונים שצריך לעמוד בהן כדי ש-Sensitive Data Protection תשלח התראה.

    4. מציינים אם צריך לעמוד רק באחד מהתנאים של רמת הסיכון והרגישות של הנתונים, או בשניהם. לדוגמה, אם בוחרים באפשרות AND, התראת Sensitive Data Protection תישלח רק אם יתקיימו גם התנאים של סיכון הנתונים וגם התנאים של הרגישות.

שליחה ל-Data Catalog כתגים

התכונה הזו יצאה משימוש.

הפעולה הזו מאפשרת ליצור תגים של Data Catalog ב-Knowledge Catalog על סמך תובנות מפרופילי נתונים. הפעולה הזו חלה רק על פרופילים חדשים ומעודכנים. פרופילים קיימים שלא עודכנו לא נשלחים אל Knowledge Catalog.

Data Catalog הוא שירות מנוהל וניתן להתאמה לעומס לניהול מטא-נתונים. כשמפעילים את הפעולה הזו, טבלאות שיוצרים להן פרופיל מתויגות באופן אוטומטי ב-Data Catalog בהתאם לתובנות שנאספו מפרופילי הנתונים. אחר כך תוכלו להשתמש ב-Knowledge Catalog כדי לחפש בארגון ובפרויקטים שלכם טבלאות עם ערכי תגים ספציפיים.

כדי לשלוח את פרופילי הנתונים אל Knowledge Catalog בתור תגים של Data Catalog, מוודאים שהאפשרות שליחה אל Dataplex בתור תגים מופעלת.

מידע נוסף זמין במאמר תיוג טבלאות ב-Data Catalog על סמך תובנות מפרופילי נתונים.

שליחה אל Knowledge Catalog כהיבטים

הפעולה הזו מאפשרת להוסיף מאפיינים של Knowledge Catalog לטבלאות עם פרופילים על סמך תובנות מפרופילי נתונים. הפעולה הזו חלה רק על פרופילים חדשים ומעודכנים. פרופילים קיימים שלא עודכנו לא נשלחים אל Knowledge Catalog.

כשמפעילים את הפעולה הזו, Sensitive Data Protection מצרף את ההיבט Sensitive Data Protection profile לרשומה ב-Knowledge Catalog של כל טבלה חדשה או מעודכנת שיוצרים לה פרופיל. ההיבטים שנוצרו מכילים תובנות שנאספו מפרופילי הנתונים. אחר כך תוכלו לחפש בארגון ובפרויקטים רשומות עם ערכים ספציפיים של Sensitive Data Protection profileמאפיינים.

כדי לשלוח את פרופילי הנתונים אל Knowledge Catalog, מוודאים שהאפשרות Send to Dataplex Catalog as aspects (שליחה אל Dataplex Catalog כהיבטים) מופעלת.

מידע נוסף זמין במאמר הוספת היבטים ל-Knowledge Catalog על סמך תובנות מפרופילי נתונים.

הגדרת מיקום לאחסון ההגדרות

לוחצים על הרשימה מיקום המשאב ובוחרים את האזור שבו רוצים לאחסן את הגדרת הסריקה הזו. כל הגדרות הסריקה שתיצרו בהמשך יאוחסנו גם הן במיקום הזה.

המיקום שבו תבחרו לאחסן את הגדרות הסריקה לא ישפיע על הנתונים שייסרקו. הנתונים שלכם נסרקים באותו אזור שבו הם מאוחסנים. מידע נוסף זמין במאמר שיקולים לגבי מיקום הנתונים.

בדיקה ויצירה

  1. אם רוצים לוודא שהפרופיל לא יתחיל באופן אוטומטי אחרי שיוצרים את הגדרת הסריקה, בוחרים באפשרות יצירת סריקה במצב מושהה.

    האפשרות הזו שימושית במקרים הבאים:

    • בחרתם לשמור פרופילי נתונים ב-BigQuery ואתם רוצים לוודא שלסוכן השירות יש גישת כתיבה לטבלה ב-BigQuery שבה יישמרו העותקים של פרופילי הנתונים.
    • בחרתם לשמור את הממצאים של גילוי הדוגמאות ב-BigQuery, ואתם רוצים לוודא שלסוכן השירות יש הרשאת כתיבה לטבלה ב-BigQuery שבה יישמרו הממצאים של הדוגמאות.
    • הגדרתם התראות Pub/Sub ואתם רוצים להעניק סוכנות שירות גישה לפרסום.
    • הפעלתם את הפעולה Attach tags to resources ואתם צריכים לתת לסוכן השירות גישה לתג של רמת הרגישות.
  2. בודקים את ההגדרות ולוחצים על יצירה.

    Sensitive Data Protection יוצר את הגדרת הסריקה ומוסיף אותה לרשימת הגדרות הסריקה לגילוי.

כדי לראות את הגדרות הסריקה או לנהל אותן, אפשר לעיין במאמר ניהול הגדרות הסריקה.

אם לסוכן השירות שלכם יש את התפקידים שנדרשים לגישה לנתונים ולפרופיל שלהם, אז התהליך של Sensitive Data Protection (הגנה על מידע רגיש) יתחיל לסרוק את הנתונים זמן קצר אחרי שתצרו את הגדרות הסריקה או תפעילו מחדש הגדרות שהושהו. אחרת, שגיאה תוצג ב-Sensitive Data Protection כשמציגים את פרטי הגדרת הסריקה.

המאמרים הבאים

  • איך מנהלים פרופילים של נתונים
  • איך מנהלים את הגדרות הסריקה
  • איך מקבלים ומנתחים הודעות Pub/Sub שפורסמו על ידי הכלי ליצירת פרופיל נתונים
  • פתרון בעיות בפרופילי נתונים
  • בדקו את המגבלות של פרופיל נתונים.