简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

管理私有数据

提供者 netapp-tonacki 下载此页面的 PDF

Cloud Data sense 为您提供了多种管理私有数据的方法。某些功能可以让您更轻松地查看对您最重要的数据,而其他功能则允许您对数据进行更改。

  • 使用 " 策略 " 功能,您可以创建自己的自定义搜索查询,以便通过单击一个按钮轻松查看结果。

  • 当某些关键策略返回结果时,您可以向 Cloud Manager 用户发送电子邮件警报。

  • 您可以将标记添加到要标记用于组织或某种类型的跟进的文件中。

  • 如果您已订阅 "Azure 信息保护( AIP )" 要对文件进行分类和保护,您可以使用 Cloud Data sense 管理这些 AIP 标签。

  • 您可以删除那些看起来不安全或风险过高,无法留在存储系统中的文件,或者您已确定为重复文件的文件。

注 只有在选择对数据源执行完整分类扫描后,才可以使用本节所述的功能。已执行仅映射扫描的数据源不会显示文件级详细信息。

使用策略控制数据

策略类似于自定义筛选器的收藏夹列表,可在 " 调查 " 页面中为常见请求的合规性查询提供搜索结果。Cloud Data sense 可根据常见客户请求提供一组预定义策略。您可以创建自定义策略,为特定于您的组织的搜索提供结果。

策略提供以下功能:

  • 预定义策略 基于用户请求从 NetApp 获得

  • 能够创建自己的自定义策略

  • 单击一下即可启动包含策略结果的调查页面

  • 当某些关键策略返回结果时,向 Cloud Manager 用户发送电子邮件警报,以便您可以获得保护数据的通知

  • 将 AIP ( Azure 信息保护)标签自动分配给与策略中定义的标准匹配的所有文件

合规性信息板中的 * 策略 * 选项卡列出了此 Cloud Data sense 实例上可用的所有预定义和自定义策略。

Cloud Data sense 信息板中的策略选项卡的屏幕截图。

此外,策略还会显示在 " 调查 " 页面的筛选器列表中。

在 " 调查 " 页面中查看策略结果

要在 " 调查 " 页面中显示策略的结果,请单击 更多按钮 按钮,然后选择 * 调查结果 * 。

从策略选项卡中选择调查特定策略的结果的屏幕截图。

创建自定义策略

您可以创建自己的自定义策略,为特定于您的组织的搜索提供结果。

步骤
  1. 在数据调查页面中,选择要使用的所有筛选器来定义搜索。请参见 "筛选 " 数据调查 " 页面中的数据" 了解详细信息。

  2. 按所需方式获取所有筛选器特征后,单击 * 从此搜索创建策略 * 。

    显示如何将筛选的查询另存为策略的屏幕截图。

  3. 为策略命名,然后选择可由策略执行的其他操作:

    1. 输入唯一名称和问题描述。

    2. 或者,如果您希望向 Cloud Manager 用户发送通知电子邮件,请选中此框,然后选择发送电子邮件的间隔。

    3. 或者,选中此框可自动为与策略参数匹配的文件分配 AIP 标签,然后选择此标签。(仅当您已集成 AIP 标签时。了解更多信息 AIP 标签

    4. 单击 * 创建策略 * 。

      显示如何配置和保存策略的屏幕截图。

新策略将显示在策略选项卡中。

编辑策略

您可以根据策略类型修改策略的某些部分:

  • 自定义策略—您可以修改 NameAIP ,是否发送电子邮件通知以及是否添加问题描述标签。

  • 预定义策略—您只能修改是否发送电子邮件通知以及是否添加了 AIP 标签。

注 如果需要更改自定义策略的筛选器参数,则需要使用所需参数创建一个新策略,然后删除旧策略。

要修改策略,请单击 * 编辑 * 按钮,在 Edit Policy 页面上输入所做的更改,然后单击 * 保存策略 * 。

正在删除策略

如果您不再需要创建的任何自定义策略,则可以将其删除。您无法删除任何预定义策略。

要删除策略,请单击 更多按钮 按钮,单击 * 删除策略 * ,然后在确认对话框中再次单击 * 删除策略 * 。

应用标记以管理扫描的文件

您可以向要标记为某种类型的跟进的文件添加标记。例如,您可能已发现一些重复文件,并且希望删除其中一个文件,但需要检查应删除哪个文件。您可以向文件添加一个标记 "Check to delete" ,以使您知道此文件需要进行一些研究并在未来执行某种类型的操作。

使用 Data sense ,您可以查看分配给文件的标记,在文件中添加或删除标记,以及更改名称或删除现有标记。

请注意,标记添加到文件中的方式与 AIP 标签是文件元数据的一部分不同。使用 Cloud Data sense 的 Cloud Manager 用户可以看到此标记,因此您可以查看是否需要删除文件或检查文件以进行某种类型的跟进。

提示 在 Cloud Data sense 中分配给文件的标记与您可以添加到资源(例如卷或虚拟机实例)的标记无关。数据感知标记在文件级别应用。

查看应用了特定标记的文件

您可以查看已分配特定标记的所有文件。

  1. 单击 Cloud Data sense 中的 * 调查 * 选项卡。

  2. 在数据调查页面中,单击筛选器窗格中的 * 标记 * ,然后选择所需的标记。

    显示如何从筛选器窗格中选择标记的屏幕截图。

    " 调查结果 " 窗格将显示已分配这些标记的所有文件。

为文件分配标记

您可以向单个文件或一组文件添加标记。

向单个文件添加标记:

步骤
  1. 在数据调查结果窗格中,单击 注意 文件以展开文件元数据详细信息。

  2. 单击 * 标记 * 字段,此时将显示当前已分配的标记。

  3. 添加一个或多个标记:

    • 要分配现有标记,请单击 * 新标记 …​* 字段,然后开始键入标记的名称。出现要查找的标记时,请选择该标记并按 * 输入 * 。

    • 要创建新标记并将其分配给文件,请单击 * 新标记 …​* 字段,输入新标记的名称,然后按 * 输入 * 。

      显示如何在 " 数据调查 " 页面中为文件分配标记的屏幕截图。

    此标记将显示在文件元数据中。

向多个文件添加标记:

步骤
  1. 在数据调查结果窗格中,选择要标记的一个或多个文件。

    显示如何从 " 数据调查 " 页面选择要标记的文件的屏幕截图以及 " 标记 " 按钮。

    • 要选择当前页面上的所有文件,请选中标题行()。(您不能从多个页面中选择文件。)

    • 要选择单个文件,请选中每个文件()。

  2. 在按钮栏中,单击 * 标记 * ,此时将显示当前已分配的标记。

  3. 添加一个或多个标记:

    • 要分配现有标记,请单击 * 新标记 …​* 字段,然后开始键入标记的名称。出现要查找的标记时,请选择该标记并按 * 输入 * 。

    • 要创建新标记并将其分配给文件,请单击 * 新标记 …​* 字段,输入新标记的名称,然后按 * 输入 * 。

      显示如何在 " 数据调查 " 页面中为多个文件分配标记的屏幕截图。

  4. 批准在确认对话框中添加标记,标记将添加到所有选定文件的元数据中。

从文件中删除标记

如果不再需要使用某个标记,可以将其删除。

只需单击现有标记的 * x * 即可。

请将此内容添加到此主题的某个位置

如果选择了多个文件,则标记将从所有文件中删除。

分配用户以管理某些文件

您可以将一个 Cloud Manager 用户分配给一个特定文件或多个文件,以便此用户可以负责对该文件执行任何后续操作。此功能通常与功能结合使用,用于向文件添加自定义状态标记。

例如,您的文件可能包含某些个人数据,这些数据允许过多的用户进行读写访问(打开权限)。因此,您可以将状态标记 " 更改权限 " 并将此文件分配给用户 "Joan Smith" ,以便用户确定如何修复问题描述。修复问题描述后,他们可以将状态标记更改为 " 已完成 " 。

请注意,用户名不会作为文件元数据的一部分添加到文件中, Cloud Manager 用户只会在使用 Cloud Data sense 时看到此用户名。

通过 " 调查 " 页面中的新筛选器,您可以轻松查看 " 已分配给 " 字段中具有相同人员的所有文件。

要将用户分配给单个文件,请执行以下操作:

步骤
  1. 在数据调查结果窗格中,单击 注意 文件以展开文件元数据详细信息。

  2. 单击 * 已分配给 * 字段并选择用户名。

    显示如何在 " 数据调查 " 页面中为文件分配用户的屏幕截图。

    用户名显示在文件元数据中。

要将用户分配给多个文件,请执行以下操作:

步骤
  1. 在数据调查结果窗格中,选择要分配给用户的一个或多个文件。

    显示如何从数据调查页面选择要分配给用户的文件的屏幕截图以及分配给按钮。

    • 要选择当前页面上的所有文件,请选中标题行()。(您不能从多个页面中选择文件。)

    • 要选择单个文件,请选中每个文件()。

  2. 从按钮栏中,单击 * 分配给 * 并选择用户名:

    显示如何在 " 数据调查 " 页面中为用户分配多个文件的屏幕截图。

    用户将添加到所有选定文件的元数据中。

使用 AIP 标签对数据进行分类

如果您已订阅,则可以管理 Cloud Data sense 正在扫描的文件中的 AIP 标签 "Azure 信息保护( AIP )"。AIP 允许您通过将标签应用于内容来对文档和文件进行分类和保护。使用 Data sense ,您可以查看已分配给文件的标签,向文件添加标签以及在标签已存在时更改标签。

Cloud Data sense 支持以下文件类型中的 AIP 标签: .DOC , .docx , .PDF , .PPTX , .XLS , .XLSX 。

请注意,当前不能更改大于 30 MB 的文件中的标签。对于 OneDrive 帐户,最大文件大小为 4 MB 。

提示 如果某个文件的标签不再存在于 AIP 中,则 Cloud Data sense 会将其视为一个无标签的文件。

在工作空间中集成 AIP 标签

在管理 AIP 标签之前,您需要通过登录到现有 Azure 帐户将 AIP 标签功能集成到 Cloud Data sense 中。启用后,您可以管理所有文件中的 AIP 标签 "工作环境和数据源" 在 Cloud Manager 工作空间中。

要求
  • 您必须拥有帐户和 Azure 信息保护许可证。

  • 您必须具有 Azure 帐户的登录凭据。

  • 如果您计划更改 Amazon S3 存储分段中文件的标签,请确保 IAM 角色中包含权限 s 3 : PutObject 。请参见 "设置 IAM 角色"

步骤
  1. 在 "Cloud Data sense Configuration" 页面中,单击 * 集成 AIP 标签 * 。

    屏幕截图显示了单击按钮将 AIP 标签功能集成到 Cloud Data sense 中的情况。

  2. 在集成 AIP 标签对话框中,单击 * 登录到 Azure* 。

  3. 在显示的 Microsoft 页面中,选择帐户并输入所需的凭据。

  4. 返回到 Cloud Data sense 选项卡,您将看到消息 "AIP Labels were successfully Integrated with the account <account_name>" 。

  5. 单击 * 关闭 * ,您将在页面顶部看到文本 _AIP Labels Integrated _ 。

    已成功集成显示 AIP 标签的屏幕截图。

您可以从调查页面的结果窗格中查看和分配 AIP 标签。您还可以使用策略为文件分配 AIP 标签。

查看文件中的 AIP 标签

您可以查看分配给文件的当前 AIP 标签。

在数据调查结果窗格中,单击 注意 文件以展开文件元数据详细信息。

显示单个文件的元数据详细信息的屏幕截图,包括分配的 AIP 标签。

手动分配 AIP 标签

您可以使用 Cloud Data sense 在文件中添加,更改和删除 AIP 标签。

按照以下步骤为单个文件分配 AIP 标签。

步骤
  1. 在数据调查结果窗格中,单击 注意 文件以展开文件元数据详细信息。

    显示数据调查页面中文件的元数据详细信息的屏幕截图。

  2. 单击 * 为此文件分配标签 * ,然后选择此标签。

    此标签将显示在文件元数据中。

为多个文件分配 AIP 标签:

步骤
  1. 在数据调查结果窗格中,选择要标记的一个或多个文件。

    显示如何从 " 数据调查 " 页面选择要标记的文件的屏幕截图以及 " 标签 " 按钮。

    • 要选择当前页面上的所有文件,请选中标题行()。(您不能从多个页面中选择文件。)

    • 要选择单个文件,请选中每个文件()。

  2. 从按钮栏中,单击 * 标签 * 并选择 AIP 标签:

    显示如何在 " 数据调查 " 页面中为多个文件分配 AIP 标签的屏幕截图。

    AIP 标签将添加到所有选定文件的元数据中。

使用策略自动分配 AIP 标签

您可以为符合策略标准的所有文件分配 AIP 标签。您可以在创建策略时指定 AIP 标签,也可以在编辑任何策略时添加此标签。

在 Cloud Data sense 扫描文件时,标签会在文件中持续添加或更新。

根据标签是否已应用于文件以及标签的分类级别,更改标签时会执行以下操作:

如果文件 …​ 那么 …​

无标签

此时将添加此标签

具有较低分类级别的现有标签

此时将添加更高级别的标签

具有较高级别分类的现有标签

较高级别的标签将保留

手动和通过策略为其分配一个标签

此时将添加更高级别的标签

通过两个策略为其分配两个不同的标签

此时将添加更高级别的标签

按照以下步骤向现有策略添加 AIP 标签。

步骤
  1. 在策略列表页面中,单击要添加(或更改) AIP 标签的策略的 * 编辑 * 。

    显示如何编辑现有策略的屏幕截图。

  2. 在编辑策略页面中,选中复选框为与策略参数匹配的文件启用自动标签,然后选择标签(例如 * 常规 * )。

    显示如何选择要分配给与策略匹配的文件的标签的屏幕截图。

  3. 单击 * 保存策略 * ,此标签将显示在策略问题描述中。

注 如果为某个策略配置了标签,但此后已从 AIP 中删除了该标签,则该标签名称将变为关闭,并且不再分配该标签。

删除 AIP 集成

如果您不再希望能够管理文件中的 AIP 标签,则可以从云数据感知界面中删除 AIP 帐户。

请注意,您使用 Data sense 添加的标签不会进行任何更改。文件中存在的标签将保持当前存在的状态。

步骤
  1. Configuration 页面中,单击 * 集成 AIP 标签 > 删除集成 * 。

    显示如何删除与 Cloud Data sense 的 AIP 集成的屏幕截图。

  2. 从确认对话框中单击 * 删除集成 * 。

在发现不合规数据时发送电子邮件警报

当某些关键策略返回结果时, Cloud Data sense 可以向 Cloud Manager 用户发送电子邮件警报,以便您可以获得保护数据的通知。您可以选择每天,每周或每月发送电子邮件通知。

您可以在创建策略或编辑任何策略时配置此设置。

按照以下步骤向现有策略添加电子邮件更新。

步骤
  1. 在策略列表页面中,单击要添加(或更改)电子邮件设置的策略的 * 编辑 * 。

    显示如何编辑现有策略的屏幕截图。

  2. 在编辑策略页面中,如果要向 Cloud Manager 用户发送通知电子邮件,请选中此框,然后选择发送电子邮件的间隔(例如,每 * 周 * )。

    屏幕截图显示了如何为策略选择要发送的电子邮件条目的方式。

  3. 单击 * 保存策略 * ,策略问题描述中将显示发送电子邮件的间隔。

现在,如果策略中有任何结果,则会发送第一封电子邮件,但前提是任何文件符合策略标准。通知电子邮件不会发送任何个人信息。此电子邮件指示存在与策略条件匹配的文件,并提供指向策略结果的链接。

正在删除源文件

您可以永久删除看似不安全或风险太大,无法留在存储系统中的源文件,或者已确定为重复的源文件。此操作为永久操作,不会撤消。

提示 您不能删除数据库中的文件或卷备份中的文件。

要删除文件,您必须具有帐户管理员或工作空间管理员角色。

删除文件需要以下权限:

  • 对于 NFS 数据—需要使用写入权限定义导出策略。

  • 对于 CIFS 数据— CIFS 凭据需要具有写入权限。

  • 对于 S3 数据 - IAM 角色必须包括以下权限: s 3 : DeleteObject

步骤
  1. 在数据调查结果窗格中,选择要删除的一个或多个文件。

    显示如何从数据调查页面选择要删除的文件的屏幕截图以及删除按钮。

    • 要选择当前页面上的所有文件,请选中标题行()。(您不能从多个页面中选择文件。)

    • 要选择单个文件,请选中每个文件()。

  2. 在按钮栏中,单击 * 删除 * 。

  3. 由于删除操作是永久性的,因此您必须在后续的 Delete File 对话框中键入 "* 永久删除 * " ,然后单击 * 删除文件 * 。

请注意,您也可以在查看文件的元数据详细信息时删除单个文件。只需单击 * 删除此文件 * 。

屏幕截图显示了从 " 数据调查 " 页面中的文件元数据详细信息中选择的删除文件按钮。

将源文件移动到 NFS 共享

您可以将 Data sense 正在扫描的源文件移动到任何 NFS 共享。NFS 共享不需要与 Data sense 集成(请参见 "正在扫描文件共享")。

提示 您不能移动数据库中的文件或卷备份中的文件。

要移动文件,您必须具有帐户管理员或工作空间管理员角色。

移动文件要求 NFS 共享允许从 Data sense 实例进行访问。

步骤
  1. 在数据调查结果窗格中,选择要移动的一个或多个文件。

    显示如何从数据调查页面选择要移动的文件以及移动按钮的屏幕截图。

    • 要选择当前页面上的所有文件,请选中标题行()。(您不能从多个页面中选择文件。)

    • 要选择单个文件,请选中每个文件()。

  2. 在按钮栏中,单击 * 移动 * 。

    显示移动文件对话框的屏幕截图,用于指定要移动所有选定文件的 NFS 共享的名称。

  3. move Files 对话框中,以 ` <host_name> : /<share_path>` 格式输入要移动所有选定文件的 NFS 共享的名称,然后单击 * 移动文件 * 。

请注意,在查看文件的元数据详细信息时,您也可以移动单个文件。只需单击 * 移动文件 * 。

屏幕截图显示了从 " 数据调查 " 页面中的文件元数据详细信息中选择的移动文件按钮。

预定义策略列表

Cloud Data sense 提供了以下系统定义的策略:

名称 说明 逻辑

S3 公开公开的私有数据

包含个人或敏感个人信息的 S3 对象,具有开放的公有读取访问权限。

( S3 公有)并包含个人或敏感个人信息)

PCI DSS — 30 天内的陈旧数据

包含信用卡信息的文件,上次修改时间为 30 天前。

包含信用卡,最后一次修改日期为 30 天

HIPAA — 30 天内过期的数据

包含运行状况信息的文件,上次修改时间超过 30 天。

包含运行状况数据(定义方式与 HIPAA 报告相同),最后修改时间为 30 天

私有数据—过期 7 年

包含个人或敏感个人信息的文件,上次修改时间为 7 年前。

包含个人或敏感个人信息的文件,上次修改时间为 7 年前

GDPR —欧洲公民

包含 5 个以上欧盟国家公民标识符的文件或包含欧盟国家公民标识符的数据库表。

包含 5 个以上的欧盟公民标识符的文件,或者包含超过 15% 列且具有一个国家或地区的欧盟标识符的行的数据库表。(欧洲国家 / 地区的任何一个国家 / 地区标识符。不包括巴西,加利福尼亚,美国 SSN ,以色列,南非)

CCPA —加利福尼亚居民

包含 10 个以上加利福尼亚驱动程序许可证标识符的文件或包含此标识符的数据库表。

包含 10 个以上加利福尼亚驱动程序许可证标识符的文件或包含加利福尼亚驱动程序许可证的数据库表

数据主体名称—高风险

数据主题名称超过 50 个的文件。

数据主题名称超过 50 个的文件

电子邮件地址—高风险

电子邮件地址超过 50 个的文件,或者包含电子邮件地址的行数超过 50% 的数据库列

电子邮件地址超过 50 个的文件,或者包含电子邮件地址的行数超过 50% 的数据库列

个人数据—高风险

包含 20 个以上个人数据标识符的文件,或者包含个人数据标识符的行数超过 50% 的数据库列。

包含 20 个以上个人列的文件,或包含 50% 以上个人行的数据库列

敏感个人数据—高风险

包含 20 个以上敏感个人数据标识符的文件,或者包含敏感个人数据的行数超过 50% 的数据库列。

包含 20 多个敏感个人或数据库列的文件,其中 50% 以上的行包含敏感个人