Создать сканирование DSPM
Модуль контроля данных (Data Security Posture Management) находит чувствительную информацию в хранилищах с помощью сканирования бакетов Yandex Object Storage и Яндекс Дисков
Перед началом работы
Прежде чем начать работать с модулем DSPM, настройте окружение и задайте каталог по умолчанию для хранения данных модуля Контроль данных (DSPM):
-
Перейдите в сервис Yandex Security Deck
. -
На панели слева выберите
Контроль данных. -
Если открылось окно настройки Security Deck, значит, каталог хранения данных модуля DSPM не настроен. В блоке Выберите каталог по умолчанию выберите каталог, в котором по умолчанию будут сохраняться данные модуля, и внизу страницы нажмите Сохранить.
-
Если открылся интерфейс модуля Контроль данных, значит, каталог хранения данных модуля уже настроен, и вы можете продолжить работу.
Вы можете изменить каталог хранения данных модуля Контроль данных. Для этого перейдите на вкладку Параметры и в блоке Хранилище по умолчанию измените выбранный каталог.
-
Активируйте модуль DSPM в текущем окружении. Для этого справа сверху нажмите кнопку
Настроить контроль.В открывшемся окне на вкладке Модули контроля в блоке Модули контроля выберите модуль Контроль данных (DSPM) и нажмите кнопку Сохранить.
Если у вас еще нет окружения, создайте его, активировав модуль Контроль данных (DSPM) при создании.
Создать сканирование
При активации модуля DSPM автоматически запускается анализ данных. По результатам анализа для бакетов вы можете создать непрерывное сканирование изменений в Интерфейсе v2.0.
В Интерфейсе v1.0 можно создать регулярное сканирование для бакетов и дисков.
Чтобы создать непрерывное сканирование изменений, создайте область сканирования:
-
Перейдите в сервис Yandex Security Deck
. -
На панели слева выберите
Контроль данных. -
На странице модуля Контроль данных выберите
Интерфейс: v2.0и перейдите на вкладку Области сканирования. -
Нажмите Новое сканирование или Новая область сканирования, если у вас уже есть запущенное сканирование. Откроется окно создания области сканирования.
-
Выберите нужные бакеты, каталоги или облака и нажмите Добавить к сканированию.
-
В блоке Группа ресурсов укажите конкретные места, которые требуют постоянного мониторинга:
- В строке Ресурсы определите облака или каталоги:
ВсеилиВыбранные. При необходимости выберите облака или каталоги. - В строке Бакеты выберите
Все бакетыилиПубличные бакеты. - (Опционально) Настройте
Фильтр по файлам:- добавьте форматы;
- ограничьте максимальный и минимальный размер;
- задайте регулярное выражение, которому будет удовлетворять или не удовлетворять путь.
При необходимости добавьте еще группу ресурсов. Вы можете добавить несколько групп ресурсов, каждую со своими фильтрами.
- В строке Ресурсы определите облака или каталоги:
-
В блоке Категории данных для поиска укажите, в каких данных будет выполняться поиск. Можно выбрать данные и В тексте, и На изображениях. Включите опцию
Данные для поиска, чтобы модуль искал все чувствительные данные, или выберите конкретный тип данных:- В тексте:
Персональные данные— ФИО, адреса электронной почты, номера телефонов, СНИЛС.Финансовые данные— данные банковских карт.Секреты— облачные ключи доступа, пароли, токены, SSH-ключи и т. п.
- На изображениях:
Персональные данные— ФИО, адреса электронной почты, номера телефонов, СНИЛС.Финансовые данные— данные банковских карт.Медицинские данные— данные медицинских документов и снимков.Прочее— данные личных документов: военных билетов, пенсионных удостоверений, документов об образовании и т.п.
- В тексте:
-
В блоке Параметры области в поле Имя введите имя области сканирования. Оно может описывать контролируемую область, включать критичность, настройки поиска чувствительных данных и другую полезную информацию.
-
Нажмите Создать.
DSPM начнет непрерывно отслеживать изменения только в области сканирования, обеспечивая эффективный и целевой контроль за вашими чувствительными данными.
Для создания регулярного сканирования нужен источник данных. Создайте его заранее или во время создания сканирования.
Чтобы создать регулярное сканирование для Object Storage или Яндекс 360:
-
Перейдите в сервис Yandex Security Deck
. -
На панели слева выберите
Контроль данных. -
На странице модуля Контроль данных выберите
Интерфейс: v1.0и перейдите на вкладку Регулярные сканирования. -
В правом верхнем углу экрана нажмите Новое сканирование.
-
В блоке Источники данных выберите нужный источник данных: бакет Object Storage или диск Яндекс 360
.При необходимости создайте новый источник данных.
Примечание
Если доступ к бакету контролируется политикой, разрешите доступ к IP-адресам Security Deck в настройках политики бакета. Список адресов в разделе Диапазоны публичных IP-адресов.
-
Если в качестве источника используется бакет, то в блоке Доступ к данным в источниках выберите сервисный аккаунт, от имени которого будет выполняться сканирование. При необходимости нажмите Создать новый, чтобы создать новый сервисный аккаунт.
Важно
Для выполнения сканирования сервисному аккаунту должна быть назначена роль
dspm.workerна все сканируемые бакеты. Если бакеты зашифрованы, сервисному аккаунту также необходима рольkms.keys.decrypterна соответствующие ключи шифрования Yandex Key Management Service. -
В блоке Категории данных для поиска отдельно для текста и для изображений выберите категории данных, которые необходимо искать при сканировании:
- В тексте:
Персональные данные— ФИО, адреса электронной почты, номера телефонов, СНИЛС.Финансовые данные— данные банковских карт.Секреты— облачные ключи доступа, пароли, токены, SSH-ключи и т. п.
- На изображениях:
Персональные данные— ФИО, адреса электронной почты, номера телефонов, СНИЛС.Финансовые данные— данные банковских карт.Медицинские данные— данные медицинских документов и снимков.Прочее— данные личных документов: военных билетов, пенсионных удостоверений, документов об образовании и т.п.
Вы можете выбрать все доступные категории одновременно и любую их комбинацию.
- В тексте:
-
(Опционально) В блоке Подключение пользовательских словарей оставьте заявку на подключение пользовательских словарей для поиска чувствительных данных:
-
Нажмите Да, подключить.
Примечание
После выбора любого варианта блок больше не будет отображаться.
Если вы нажали Нет, вы можете изменить решение. Для этого заполните форму
. -
На открывшейся странице заполните поля и нажмите Отправить.
Специалисты обработают заявку и свяжутся с вами для уточнения деталей и информирования о результате.
-
-
В блоке Настройки сканирования:
-
Выберите Метод сканирования:
- Полное — в источнике сканируются все объекты поддерживаемых типов. Этот метод гарантирует высокую точность обнаружения чувствительных данных.
- Частичное — выборочно сканируется только часть данных. Точность обнаружения чувствительных данных этого метода ниже, подходит для обработки больших объемов данных.
-
В поле Запуск выберите подходящую периодичность создаваемого сканирования:
Однократно,Каждые 7 дней,Каждые 30 дней,Каждые 90 днейили задайте свою периодичность, выбравСвоё количество дней. -
В поле Имя сканирования задайте имя, по которому вы сможете находить создаваемое сканирование. Требования к имени:
- длина — от 3 до 63 символов;
- может содержать строчные буквы латинского алфавита, цифры и дефисы;
- первый символ — буква, последний — не дефис.
-
-
Нажмите Создать сканирование без проверки.
В результате в списке сканирований появится созданное сканирование, которое вы сможете запускать.