Como criar modelos de inspeção do Cloud DLP

Neste tópico, você conhecerá os detalhes da criação de um novo modelo de inspeção. Para ver instruções rápidas sobre como criar um novo modelo de inspeção usando a IU do Cloud Data Loss Prevention (DLP), consulte o Guia de início rápido: como criar um modelo de inspeção do Cloud DLP.

Sobre modelos

Com os modelos, é possível criar e manter informações de configuração para usar com o Cloud DLP. Os modelos são úteis para desassociar informações de configuração da implementação das solicitações como, por exemplo, o que você inspeciona e como faz a desidentificação disso. Os modelos fornecem uma maneira de reutilizar a configuração e ter consistência entre usuários e conjuntos de dados. Além disso, sempre que você atualiza um modelo, ele é atualizado para qualquer gatilho de job que o use.

O Cloud DLP oferece suporte a modelos de inspeção, discutidos neste tópico, e a modelos de desidentificação, discutidos em Como criar modelos de desidentificação do Cloud DLP.

Para informações conceituais sobre modelos no Cloud DLP, consulte Modelos.

Criar um novo modelo de inspeção

Para criar um novo modelo do Cloud DLP:

Console

No Console do Cloud, abra o Cloud DLP.

Acessar a IU do Cloud DLP
No menu Criar, escolha Modelo.

Como alternativa, clique no seguinte botão:

Criar novo modelo

A página "Criar Modelo" contém as seguintes seções:

Definir modelo
Configurar detecção

Definir modelo

Em Definir modelo, insira um identificador para o modelo de inspeção. É assim que você fará referência ao modelo quando executar um job, criar um gatilho de job e assim por diante. Use letras, números e hifens. Se quiser, você também pode inserir um nome de exibição mais adequado a pessoas, além de uma descrição para lembrar melhor o que o modelo faz.

Configurar detecção

Em seguida, configure o que o Cloud DLP detecta no seu conteúdo escolhendo um infoType e outras opções.

Os detectores de InfoType encontram dados confidenciais de um determinado tipo. Por exemplo, o detector de infoType do Cloud DLP US_SOCIAL_SECURITY_NUMBER encontra números da Previdência Social dos EUA. Além dos detectores de infoType integrados, é possível criar seus próprios detectores de infoType personalizados.

Em InfoTypes, escolha o detector de infoType correspondente a um tipo de dado que você quer verificar. Também é possível deixar esse campo em branco para verificar todos os infoTypes padrão. Mais informações sobre cada detector são fornecidas na referência de detectores de InfoType.

Também é possível adicionar detectores de infoType personalizados na seção infoTypes personalizados e personalizar os detectores de infoType integrados e personalizados na seção Conjuntos de regras de inspeção.

InfoTypes personalizados

To add a custom infoType detector:

Click Add custom infoType.
Choose the type of custom infoType detector you want to create:
- Words or phrases: Matches on one or more words or phrases that you enter into the field. Use this custom infoType when you have just a few words or phrases to search for. Give your custom infoType a name, and then, under List of words or phrases, type the word or phrase you want Cloud DLP to match on. To search on multiple words or phrases, press Enter after each one. For more information, see Creating a regular custom dictionary detector.
- Dictionary path: Searches your content for items in a list of words and phrases. The list is stored in a text file in Cloud Storage. Use this custom infoType when you have anywhere from a few to several hundred thousand words or phrases to search for. This method is also useful if your list contains sensitive elements and you don't want to store them inside of a job or template. Give your custom infoType a name, and then, under Dictionary location, enter or browse to the Cloud Storage path where the dictionary file is stored. For more information, see Creating a regular custom dictionary detector.
- Regex: Matches content based on a regular expression. Give your custom infoType a name, and then, in the Regex field, enter a regex pattern to match words and phrases. See the supported regex syntax.
- Stored infoType: This option adds a stored custom dictionary detector, which is a kind of dictionary detector that is built from either a large text file stored in Cloud Storage or a single column of a BigQuery table. Use this kind of custom infoType when you have anywhere from several hundred thousand to tens of millions of words or phrases to search for. Be aware that this is the only option in this menu for which you must have already created the stored infoType to use it. Give your custom infoType a name (different from the name you gave the stored infoType), and then, in the Stored infoType field, enter the name of the stored infoType. For more information about creating stored custom dictionaries, see Creating a stored custom dictionary detector.

Click Add custom infoType again to add additional custom infoType detectors.

Conjuntos de regras de inspeção

Inspection rulesets allow you to customize both built-in and custom infoType detectors using context rules. The two types of inspection rules are:

Exclusion rules, which help exclude false or unwanted findings.
Hotword rules, which help detect additional findings.

To add a new ruleset, first specify one or more built-in or custom infoType detectors in the InfoTypes section. These are the infoType detectors that your rulesets will be modifying. Then, do the following:

Click in the Choose infoTypes field. The infoType or infoTypes you specified previously appear below the field in a menu, as shown here:

Screenshot of the DLP UI's inspection rulesets configuration.

Choose an infoType from the menu, and then click Add rule. A menu appears with the two options Hotword rule and Exclusion rule.

For hotword rules, choose Hotword rules. Then, do the following:

In the Hotword field, enter a regular expression that Cloud DLP should look for.
From the Hotword proximity menu, choose whether the hotword you entered is found before or after the chosen infoType.
In Hotword distance from infoType, enter the approximate number of characters between the hotword and the chosen infoType.
In Confidence level adjustment, choose whether to assign matches a fixed likelihood level, or to increase or decrease the default likelihood level by a certain amount.

For exclusion rules, choose Exclusion rules. Then, do the following:

In the Exclude field, enter a regular expression (regex) that Cloud DLP should look for.
From the Matching type menu, choose one of the following:

Full match: The finding must completely match the regex.
Partial match: A substring of the finding can match the regex.
Inverse match: The finding doesn't match the regex.

You can add additional hotword or exclusion rules and rulesets to further refine your scan results.

Limite de confiança

Sempre que detecta uma correspondência potencial de dados confidenciais, o Cloud DLP atribui a ele um valor de probabilidade em uma escala de "Muito improvável" a "Muito provável". Ao definir um valor de probabilidade aqui, você está instruindo o Cloud DLP a comparar apenas os dados correspondentes a esse valor de probabilidade ou valores superiores.

O valor padrão "Possível" é suficiente para a maioria das finalidades. Se você normalmente recebe correspondências muito amplas, mova o controle deslizante para a direita. Se você recebe poucas correspondências, mova o controle deslizante para a esquerda.

Quando terminar, clique em Criar a fim de criar o modelo. A página de informações resumidas do modelo é exibida.

Para retornar à página principal do Cloud DLP, clique na seta Voltar no Console do Cloud.

Protocolo

Um modelo de inspeção é uma configuração de inspeção reutilizável, além de alguns metadados. Em termos de API, o objeto InspectTemplate é efetivamente um objeto InspectConfig que inclui mais alguns campos de metadados, como um nome de exibição e uma descrição. Portanto, para criar um novo modelo de inspeção, siga estas etapas básicas:

Comece com um objeto InspectConfig.
Faça chamada ou execute o comando POST do método create do recurso projects.inspectTemplates ou organizations.inspectTemplates, incluindo em sua solicitação um objeto InspectTemplate que contenha um nome de exibição, uma descrição e esse objeto InspectConfig.

O InspectTemplate retornado estará pronto para uso imediatamente. É possível referir-se a ele em outras chamadas ou jobs pelo name. É possível listar os modelos existentes chamando o método *.inspectTemplates.list. Para visualizar um modelo específico, chame o método *.inspectTemplates.get. Observe que o limite para o número de modelos que podem ser criados é 1.000.

Se já teve alguma experiência na inspeção de texto, imagens ou conteúdo estruturado em busca de conteúdo confidencial usando o Cloud DLP, você já criou um objeto InspectConfig. Uma outra etapa o transforma em um objeto InspectTemplate.

O seguinte JSON é um exemplo do que é possível enviar para o método projects.inspectTemplates.create. Esse JSON cria um novo modelo com o nome de exibição e a descrição fornecidos e verifica correspondências nos InfoTypes PHONE_NUMBER e US_TOLLFREE_PHONE_NUMBER. Ele incluirá nas descobertas até 100 correspondências com probabilidades de pelo menos POSSIBLE e incluirá um snippet de contexto para cada uma.

Entrada JSON:

POST https://dlp.googleapis.com/v2/projects/[PROJECT_ID]/inspectTemplates?key={YOUR_API_KEY}

{
  "inspectTemplate":{
    "displayName":"Phone number inspection",
    "description":"Scans for phone numbers",
    "inspectConfig":{
      "infoTypes":[
        {
          "name":"PHONE_NUMBER"
        },
        {
          "name":"US_TOLLFREE_PHONE_NUMBER"
        }
      ],
      "minLikelihood":"POSSIBLE",
      "limits":{
        "maxFindingsPerRequest":100
      },
      "includeQuote":true
    }
  }
}

Saída JSON:

O JSON de resposta será parecido com este:

{
  "name":"projects/[PROJECT_ID]/inspectTemplates/[JOB_ID]",
  "displayName":"Phone number inspection",
  "description":"Scans for phone numbers",
  "createTime":"2018-11-30T07:26:28.164136Z",
  "updateTime":"2018-11-30T07:26:28.164136Z",
  "inspectConfig":{
    "infoTypes":[
      {
        "name":"PHONE_NUMBER"
      },
      {
        "name":"US_TOLLFREE_PHONE_NUMBER"
      }
    ],
    "minLikelihood":"POSSIBLE",
    "limits":{
      "maxFindingsPerRequest":100
    },
    "includeQuote":true
  }
}

Para testar isso rapidamente, use as APIs Explorer incorporadas abaixo. Para informações gerais sobre como usar JSON para enviar solicitações à API Cloud DLP, consulte o guia de início rápido do JSON.

Como criar modelos de inspeção do Cloud DLP

Sobre modelos

Criar um novo modelo de inspeção

Console

Definir modelo

Configurar detecção

InfoTypes personalizados

Conjuntos de regras de inspeção

Limite de confiança

Protocolo

Java

Node.js

Python

Go

PHP

C#

Usar modelos de inspeção

Console

Protocolo

Listar modelos de inspeção

Console

Protocolo

Java

Node.js

Python

Go

PHP

C#

Excluir modelos de inspeção

Console

Protocolo

Java

Node.js

Python

Go

PHP

C#