Crea plantillas de inspección de Cloud DLP

En este tema, se describe en detalle cómo crear una plantilla de inspección nueva. Para obtener una explicación rápida sobre cómo crear una plantilla de inspección nueva mediante la IU de Cloud Data Loss Prevention (DLP), consulta Guía de inicio rápido: Crea una plantilla de inspección de Cloud DLP.

Acerca de las plantillas

Puedes usar plantillas a fin de crear y conservar información de configuración para usar con Cloud DLP. Las plantillas son útiles para separar la información de configuración, como qué inspeccionas y cómo lo desidentificas, de la implementación de tus solicitudes. Las plantillas proporcionan una forma de reutilizar la configuración y habilitar la coherencia entre los usuarios y los conjuntos de datos. Además, cada vez que actualizas una plantilla, se actualiza para cualquier activador de trabajo que la use.

Cloud DLP admite plantillas de inspección, que se analizan en este tema, y plantillas de desidentificación, que se analizan en Crea plantillas de desidentificación de Cloud DLP.

Para obtener información conceptual sobre plantillas en Cloud DLP, consulta Plantillas.

Crea una plantilla de inspección nueva

Para crear una plantilla de Cloud DLP nueva, haz lo siguiente:

Console

En Cloud Console, abre Cloud DLP.

Ir a la IU de Cloud DLP
En el menú Create (Crear), elige Template (Plantilla).

También puedes hacer clic en el siguiente botón:

Crear plantilla nueva

La página Crear plantilla contiene las siguientes secciones:

Definir una plantilla
Configurar detección

Define una plantilla

En Definir plantilla, ingresa un identificador para la plantilla de inspección. Así es como te referirás a la plantilla cuando ejecutes un trabajo, crees un activador de trabajo, etc. Puedes usar letras, números y guiones. Si lo deseas, también puedes ingresar un nombre visible más sencillo, así como una descripción para recordar mejor lo que hace la plantilla.

Configura la detección

A continuación, configura lo que Cloud DLP detectará en tu contenido mediante la selección de un Infotipo y otras opciones.

Los detectores de Infotipo encuentran datos sensibles de un tipo determinado. Por ejemplo, el detector de Infotipos US_SOCIAL_SECURITY_NUMBER de Cloud DLP busca números de identificación personal de EE.UU. Además de los detectores de Infotipos integrados, puedes crear tus propios detectores de Infotipos personalizados.

En Infotipos, elige el detector de Infotipo que corresponda al tipo de datos que deseas analizar. También puedes dejar este campo en blanco para buscar todos los Infotipos predeterminados. Para obtener más información sobre cada detector, consulta la referencia del detector de Infotipo.

También puedes agregar detectores de Infotipo personalizados en la sección Infotipos personalizados y personalizar los detectores de Infotipos integrados y personalizados en la sección Conjuntos de reglas de inspección.

Infotipos personalizados

To add a custom infoType detector:

Click Add custom infoType.
Choose the type of custom infoType detector you want to create:
- Words or phrases: Matches on one or more words or phrases that you enter into the field. Use this custom infoType when you have just a few words or phrases to search for. Give your custom infoType a name, and then, under List of words or phrases, type the word or phrase you want Cloud DLP to match on. To search on multiple words or phrases, press Enter after each one. For more information, see Creating a regular custom dictionary detector.
- Dictionary path: Searches your content for items in a list of words and phrases. The list is stored in a text file in Cloud Storage. Use this custom infoType when you have anywhere from a few to several hundred thousand words or phrases to search for. This method is also useful if your list contains sensitive elements and you don't want to store them inside of a job or template. Give your custom infoType a name, and then, under Dictionary location, enter or browse to the Cloud Storage path where the dictionary file is stored. For more information, see Creating a regular custom dictionary detector.
- Regex: Matches content based on a regular expression. Give your custom infoType a name, and then, in the Regex field, enter a regex pattern to match words and phrases. See the supported regex syntax.
- Stored infoType: This option adds a stored custom dictionary detector, which is a kind of dictionary detector that is built from either a large text file stored in Cloud Storage or a single column of a BigQuery table. Use this kind of custom infoType when you have anywhere from several hundred thousand to tens of millions of words or phrases to search for. Be aware that this is the only option in this menu for which you must have already created the stored infoType to use it. Give your custom infoType a name (different from the name you gave the stored infoType), and then, in the Stored infoType field, enter the name of the stored infoType. For more information about creating stored custom dictionaries, see Creating a stored custom dictionary detector.

Click Add custom infoType again to add additional custom infoType detectors.

Conjuntos de reglas de inspección

Inspection rulesets allow you to customize both built-in and custom infoType detectors using context rules. The two types of inspection rules are:

Exclusion rules, which help exclude false or unwanted findings.
Hotword rules, which help detect additional findings.

To add a new ruleset, first specify one or more built-in or custom infoType detectors in the InfoTypes section. These are the infoType detectors that your rulesets will be modifying. Then, do the following:

Click in the Choose infoTypes field. The infoType or infoTypes you specified previously appear below the field in a menu, as shown here:

Screenshot of the DLP UI's inspection rulesets configuration.

Choose an infoType from the menu, and then click Add rule. A menu appears with the two options Hotword rule and Exclusion rule.

For hotword rules, choose Hotword rules. Then, do the following:

In the Hotword field, enter a regular expression that Cloud DLP should look for.
From the Hotword proximity menu, choose whether the hotword you entered is found before or after the chosen infoType.
In Hotword distance from infoType, enter the approximate number of characters between the hotword and the chosen infoType.
In Confidence level adjustment, choose whether to assign matches a fixed likelihood level, or to increase or decrease the default likelihood level by a certain amount.

For exclusion rules, choose Exclusion rules. Then, do the following:

In the Exclude field, enter a regular expression (regex) that Cloud DLP should look for.
From the Matching type menu, choose one of the following:

Full match: The finding must completely match the regex.
Partial match: A substring of the finding can match the regex.
Inverse match: The finding doesn't match the regex.

You can add additional hotword or exclusion rules and rulesets to further refine your scan results.

Umbral de confianza

Cada vez que Cloud DLP detecta una posible coincidencia con datos sensibles, le asigna un valor de probabilidad en una escala de “Muy improbable” a “Muy probable”. Cuando configuras un valor de probabilidad aquí, le indicas a Cloud DLP que solo haga coincidir los datos que se corresponden con ese valor de probabilidad o uno superior.

El valor predeterminado de “Posible” es suficiente para la mayoría de los propósitos. Si habitualmente obtienes coincidencias demasiado amplias, mueve el control deslizante hacia arriba. Si obtienes muy pocas coincidencias, mueve el control deslizante hacia abajo.

Cuando hayas terminado, haz clic en Crear para crear la plantilla. Aparecerá la página de información de resumen de la plantilla.

Para volver a la página principal de Cloud DLP, haz clic en la flecha Atrás en Cloud Console.

Protocolo

Una plantilla de inspección es una configuración de inspección reutilizable más algunos metadatos. En términos de API, el objeto InspectTemplate es, de hecho, un objeto InspectConfig que incluye algunos campos más de metadatos, como un nombre visible y una descripción. Por lo tanto, para crear una plantilla de inspección nueva, los pasos básicos son los siguientes:

Comienza con un objeto InspectConfig.
Llama o publica el método create del recurso projects.inspectTemplates o organizations.inspectTemplates con un objeto InspectTemplate incluido en la solicitud que contenga un nombre visible, una descripción y ese objeto InspectConfig.

El InspectTemplate que se muestra estará listo para usarse de inmediato. Puedes hacer referencia a él en otras llamadas o trabajos por su name. Puedes enumerar las plantillas existentes mediante una llamada al método *.inspectTemplates.list. Para ver una plantilla específica, llama al método *.inspectTemplates.get. Ten en cuenta que el límite para la cantidad de plantillas que creas es 1,000.

Si ya tienes experiencia en la inspección de texto, imágenes o contenido estructurado en busca de contenido sensible mediante Cloud DLP, ya creaste un objeto InspectConfig. Un paso adicional lo convierte en un objeto InspectTemplate.

En el siguiente ejemplo de JSON, se muestra lo que podrías enviar al método projects.inspectTemplates.create. Con este JSON, se crea una plantilla nueva con el nombre visible y la descripción dados y se buscan coincidencias en los Infotipos PHONE_NUMBER y US_TOLLFREE_PHONE_NUMBER. Se incluirán en los resultados hasta 100 coincidencias cuyas probabilidades sean al menos de POSSIBLE y un fragmento de contexto para cada una.

Entrada de JSON:

POST https://dlp.googleapis.com/v2/projects/[PROJECT_ID]/inspectTemplates?key={YOUR_API_KEY}

{
  "inspectTemplate":{
    "displayName":"Phone number inspection",
    "description":"Scans for phone numbers",
    "inspectConfig":{
      "infoTypes":[
        {
          "name":"PHONE_NUMBER"
        },
        {
          "name":"US_TOLLFREE_PHONE_NUMBER"
        }
      ],
      "minLikelihood":"POSSIBLE",
      "limits":{
        "maxFindingsPerRequest":100
      },
      "includeQuote":true
    }
  }
}

Resultado de JSON:

La respuesta JSON se parece a lo que se muestra a continuación:

{
  "name":"projects/[PROJECT_ID]/inspectTemplates/[JOB_ID]",
  "displayName":"Phone number inspection",
  "description":"Scans for phone numbers",
  "createTime":"2018-11-30T07:26:28.164136Z",
  "updateTime":"2018-11-30T07:26:28.164136Z",
  "inspectConfig":{
    "infoTypes":[
      {
        "name":"PHONE_NUMBER"
      },
      {
        "name":"US_TOLLFREE_PHONE_NUMBER"
      }
    ],
    "minLikelihood":"POSSIBLE",
    "limits":{
      "maxFindingsPerRequest":100
    },
    "includeQuote":true
  }
}

Para probar esto rápidamente, puedes usar el Explorador de API que se incorpora a continuación. Si quieres obtener información general sobre el uso de JSON para enviar solicitudes a la API de Cloud DLP, consulta Guía de inicio rápido: usa una solicitud JSON.

Java

Si deseas obtener información para instalar y usar la biblioteca cliente de Cloud DLP, consulta las Bibliotecas cliente de Cloud DLP.

Crea plantillas de inspección de Cloud DLP

Acerca de las plantillas

Crea una plantilla de inspección nueva

Console

Define una plantilla

Configura la detección

Infotipos personalizados

Conjuntos de reglas de inspección

Umbral de confianza

Protocolo

Java

Node.js

Python

Comienza a usarlo

PHP

C#

Usa plantillas de inspección

Console

Protocolo

Enumera plantillas de inspección

Console

Protocolo

Java

Node.js

Python

Comienza a usarlo

PHP

C#

Borra plantillas de inspección

Console

Protocolo

Java

Node.js

Python

Comienza a usarlo

PHP

C#