安全敏感数据扫描器创建敏感数据扫描

注意:以下翻译的准确性尚未经过验证。这是使用 AIP ↗ 从原始英文文本进行的机器翻译。

创建敏感数据扫描

一次性和定期的敏感数据扫描均通过相同的用户工作流程配置。首先,导航到敏感数据扫描器应用程序并选择创建新的敏感数据扫描。这将打开一个概述页面,解释创建敏感数据扫描的步骤:

  1. 选择要扫描的资源: 此部分允许您指定要扫描的数据集。有关更多详细信息,请参阅选择要扫描的资源
  2. 选择匹配条件: 如果您当前需要查找的敏感数据类型在您的空间中不可用作为匹配条件,您也可以在此部分创建匹配条件。有关更多详细信息,请参阅创建匹配条件
  3. 选择匹配操作: 如果您希望敏感数据扫描器执行的操作在您的空间中不存在作为匹配操作,您也可以在此部分创建新的匹配操作。有关更多信息,请参阅创建匹配操作
  4. 审查并运行: 在创建扫描之前进行最终检查。

选择要扫描的资源

包含的数据集和文件夹

您可以通过在包含的数据集和文件夹下选择添加资源来明确包含要扫描的数据集或文件夹。如果您添加文件夹,则这些文件夹内的所有数据集将被扫描,除非它们被明确排除。您必须在此部分至少包含一个文件夹(包括空间/项目)或数据集才能继续。

包含的数据集和文件夹

排除的数据集和文件夹

同样,您可以通过在排除的数据集和文件夹下选择添加资源来明确排除要扫描的数据集或文件夹。如果您添加文件夹,则这些文件夹内的所有数据集将被排除在扫描之外,除非它们被明确包含。您不需要明确排除任何资源(此部分可以留空)。

排除的数据集和文件夹

在资源同时被包含和排除的罕见情况下,最具体的包含或排除将优先。例如,一个数据集可以被包含,但它可能位于一个被排除的文件夹中。在这种情况下,数据集(包含)比父文件夹(排除)更具体,因此数据集将被扫描。

扫描策略

以下扫描策略选项允许您进一步细化您的敏感数据扫描的行为。

选择的事务类型

敏感数据扫描器允许您基于某些数据集属性来指定要扫描的数据集。有两种选项:

  • 仅扫描源数据集: 允许您仅扫描常见的源数据集类型。这些数据集通常表示在Foundry中新导入的数据,而不是从其他数据集派生的数据。仅扫描源数据集是推荐选项,因为它允许您通过监控Foundry中的“数据边界”来查找敏感数据,而不一定要扫描您空间中的所有数据集。
    • 通过(不)勾选各种资源类型的复选框,您还可以更精确地缩小应/不应扫描的数据集类型,例如手动输入数据上传的数据集数据连接同步等。
    • 您还可以选择扫描虚拟表以查找PII。虚拟表是指向Foundry之外的源系统中的表的指针;此选项使您能够扫描联邦数据以查找PII。请注意,这些源系统必须在扫描时可以访问才能成功。
  • 扫描所有数据集: 扫描所有数据集,包括派生的数据集。由于扫描的数据集更多,此选项需要比仅扫描源数据集更多的计算资源来执行。

在下面的示例中,敏感数据扫描器将仅扫描所选文件夹内的源数据集。

扫描策略

行选择策略

此外,您可以选择配置要扫描的行数。

  • 扫描所有行选项将扫描_整个_数据集。这通常是推荐的选项,因为只有详尽的扫描才能保证扫描结果正确,因为所有包含触发选定匹配条件的值的数据集将被标记。请注意,此选项可能会导致扫描时间较长,具体取决于配置的匹配条件的复杂性和扫描数据集的大小。
  • 仅扫描随机行子集选项允许您扫描行的随机抽样子集,而不是扫描整个数据集。这种方法可以降低运行资源密集型匹配条件的计算成本。
    • 注意: 指定的数量是一个近似值,行数少于指定行数的数据集将被完整扫描。

“扫描所有行”和“仅扫描随机行子集”选项

扫描计划

扫描计划部分,您有两种选项来配置扫描的运行时间:

  • 一次性扫描: 将立即对所有在指定资源筛选器中的数据集进行扫描。请注意,稍后更新、创建或添加的数据集将不会被扫描。
  • 定期扫描: 每当在指定资源筛选器中的数据集中添加新数据时,扫描将运行。
    • 选择对所有匹配的数据集进行初始扫描选项,以便敏感数据扫描器立即对指定资源筛选器中的所有数据集进行扫描。这确保即使数据集在稍后没有更新时也会被扫描。

“扫描计划”部分

包含和排除的权限标记

类似于明确包含和排除数据集和文件夹,您可以基于这些数据集上的权限标记来包含和排除数据集。这是一个高级功能,通常用于排除已被保护的数据集。例如,在下面的截图中,我们看到标记为PII(个人身份信息)的数据集将不会被扫描,因为此PII权限标记可能是在先前敏感数据扫描中的匹配之后应用的。

扫描策略

选择匹配条件

创建敏感数据扫描的第一步是选择您希望查找的特定匹配条件,然后选择在找到匹配时敏感数据扫描器应执行的特定匹配操作。

选择匹配条件

在选择匹配条件时,请考虑您希望查找哪些敏感数据以及您的空间中已经有哪些匹配条件可用。如果所需类型的敏感数据没有相应的匹配条件,您可以创建新的匹配条件

选择匹配操作

选择匹配操作时,请考虑检测到敏感数据的适当响应:您可以选择应用权限标记,这将在包含敏感数据的数据集上施加访问控制,或者创建问题,这将通知指定的用户群体发现了敏感数据。您也可以选择不应用任何匹配操作。

选择匹配操作

如果在您的空间中不存在适当的匹配操作,您可以创建一个。有关详细信息,请参阅创建匹配操作

测试您的匹配条件

如果您的敏感数据扫描涉及大量数据集,建议在继续之前测试匹配条件。配置错误的匹配条件可能会产生误报,从而导致不必要的问题或数据集上的权限标记。要测试匹配条件,请为您的扫描选择无匹配操作。扫描完成后,确认匹配条件与预期的数据格式一致,您可以从扫描的概览页面应用额外的匹配操作。

有关详细信息,请查看应用额外的匹配操作

审查并运行

在创建敏感数据扫描的最后阶段,您可以审查为扫描选择的匹配条件、匹配操作和资源。

在此步骤中,敏感数据扫描器还将根据您在调整扫描时选择的资源筛选器计算扫描所需的数据集。

扫描计算估计

如果您选择了一次性扫描计划,可以通过选择运行一次性扫描来触发扫描。

如果您选择了定期扫描计划,您还可以为扫描添加名称和描述。然后,您可以通过选择保存为定期扫描来保存扫描。

应用额外的匹配操作

对于在过去七天内创建的不活跃扫描,您可以选择额外的匹配操作以应用于扫描发现的敏感数据。

应用额外的匹配操作

定期扫描

对于定期扫描,额外的匹配操作将仅适用于在选择额外匹配操作之前识别的匹配。如果扫描稍后重新激活,定期扫描检测到的任何未来敏感数据将不会自动应用先前选择的额外匹配操作。

查看扫描概览页面底部的额外匹配操作的应用状态。

应用额外匹配操作状态

撤销匹配操作

对于在过去七天内创建的不活跃扫描,您可以撤销之前应用于扫描发现的敏感数据的匹配操作。对于创建问题匹配操作,这将导致删除由操作创建的问题。对于应用权限标记匹配操作,这将涉及移除由操作应用的权限标记。

撤销匹配操作

定期扫描

对于定期扫描,仅在执行匹配操作撤销时的操作结果将被撤销。如果扫描稍后重新激活,任何未来由定期扫描发现的敏感数据仍将应用匹配操作(如果在初始扫描设置中配置),即使在撤销后也是如此。要阻止定期扫描在再次激活时继续执行某些匹配操作,请在重新激活扫描之前编辑定期扫描以移除匹配操作。

查看扫描概览页面底部的匹配操作撤销状态。

撤销匹配操作状态