Criar perfil de dados em uma organização ou pasta

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Nesta página, descrevemos como configurar a criação de perfil no nível de uma organização ou pasta. Se você quiser criar o perfil de um projeto, consulte Criar perfil de dados em um único projeto.

Para mais informações sobre perfis de dados, consulte Perfis de dados para dados do BigQuery.

Para começar a criar o perfil dos dados, crie uma configuração de verificação.

Antes de começar

  1. Confirme se você tem as permissões do IAM necessárias para configurar os perfis de dados no nível da organização.

    Se você não tiver o papel de Administrador da organização (roles/resourcemanager.organizationAdmin) ou Administrador de segurança (roles/iam.securityAdmin), ainda poderá criar uma configuração de verificação. No entanto, depois de criar a configuração da verificação, alguém com qualquer um desses papéis precisará conceder acesso de criação de perfil de dados ao agente de serviço.

  2. É necessário ter um modelo de inspeção em cada região em que você tem dados para criar o perfil. Se você quiser usar um único modelo para várias regiões, use um modelo armazenado na região global. Se as políticas organizacionais impedirem a criação de um modelo de inspeção global, defina um modelo de inspeção dedicado para cada região. Para mais informações, consulte Considerações sobre residência de dados.

    Essa tarefa permite criar um modelo de inspeção apenas na região global. Se você precisar de modelos de inspeção dedicados para uma ou mais regiões, crie esses modelos antes de executar esta tarefa.

  3. É possível configurar o Cloud DLP para enviar notificações ao Pub/Sub quando determinados eventos ocorrerem, como quando o Cloud DLP criar um perfil de uma nova tabela. Se você quiser usar esse recurso, primeiro crie um tópico do Pub/Sub.

Para gerar perfis de dados, você precisa de um contêiner de agente de serviço e um agente de serviço dentro dele. Essa tarefa permite a criação automática.

Criar uma configuração de verificação

  1. Acesse a página Criar configuração de verificação.

    Acessar "Criar configuração de verificação"

  2. Se necessário, acesse sua organização. Na barra de ferramentas, clique no seletor de projeto e selecione sua organização.

    Captura de tela do seletor de projetos na barra de ferramentas

As seções a seguir fornecem mais informações sobre as etapas na página Criar configuração de verificação. No final de cada seção, clique em Continuar.

Selecionar o recurso a ser verificado

Escolha uma destas opções:

  • Para configurar a criação de perfil no nível da organização, selecione Verificar toda a organização.
  • Para configurar a criação de perfil no nível da pasta, selecione Verificar pasta selecionada. Em seguida, clique em Procurar e selecione a pasta.

Gerenciar programações

Se a frequência de criação de perfil padrão atender às suas necessidades, pule esta seção da página Criar configuração de verificação. Essa seção é útil para fazer ajustes na frequência de criação de perfil de todos os seus dados ou de determinados subconjuntos de dados. Ela também é útil se você não quiser que determinadas tabelas sejam analisadas ou para que haja criação do perfil apenas uma vez.

Nesta seção, você cria filtros para especificar determinados subconjuntos de dados que são do seu interesse. Para esses subconjuntos, você define se o Cloud DLP deve criar o perfil das tabelas e com que frequência. Aqui, você também especifica os tipos de mudanças que farão com que uma tabela seja reformulada. Por fim, especifique todas as condições que cada tabela nos subconjuntos precisa atender antes de o Cloud DLP começar a criar o perfil da tabela.

Para fazer ajustes na frequência de criação de perfil, siga estas etapas:

  1. Clique em Adicionar programação.

  2. Na seção Filtros, você define um ou mais filtros que especificam quais tabelas estão no escopo da programação.

    Especifique pelo menos uma das seguintes opções:

    • Um ID do projeto ou uma expressão regular que especifica um ou mais projetos.
    • Um ID do conjunto de dados ou uma expressão regular que especifica um ou mais conjuntos de dados.
    • Um ID de tabela ou uma expressão regular que especifica uma ou mais tabelas.

    As expressões regulares precisam seguir a sintaxe RE2.

    Por exemplo, se você quiser que todas as tabelas de um projeto sejam incluídas no filtro, especifique o ID desse projeto e deixe os outros dois campos em branco.

    Se você quiser incluir mais filtros, clique em Adicionar filtro e repita a etapa.

  3. Clique em Frequência.

  4. Na seção Frequência, especifique se o Cloud DLP precisa criar o perfil das tabelas definidas nos filtros e, em caso afirmativo, com que frequência:

    • Se não quiser que as tabelas sejam analisadas, desative Criar perfil de tabelas.

    • Se você quiser que as tabelas sejam analisadas pelo menos uma vez, deixe Criar o perfil das tabelas e siga estas etapas:

      1. No campo Quando alterações no esquema, especifique quando você quer que as tabelas sejam reformuladas se passarem por mudanças no esquema após o último perfil.

        • Não criar novo perfil: nunca crie um novo perfil depois que os perfis iniciais forem gerados.
        • Recriar perfil diariamente: recrie o perfil uma vez a cada 24 horas.
        • Recriar um perfil mensalmente: recrie o perfil uma vez a cada 30 dias.

      2. Em Tipos de alteração de esquema, especifique quais tipos de alteração de esquema devem acionar uma operação de recriação:

        • Novas colunas: crie novamente o perfil das tabelas que ganharam novas colunas.
        • Colunas removidas: crie novamente o perfil das tabelas que tiveram colunas removidas.

        Suponha que você queira que as operações de criação de perfil sejam executadas a cada 24 horas. Além disso, você quer criar novamente o perfil apenas das tabelas que ganharam novas colunas após a última criação de perfil. Nesse caso, defina Quando o esquema for alterado como Recriar perfil diariamente e Tipos de alteração de esquema como Novas colunas.

      3. No campo Quando as tabelas são alteradas, especifique quando as tabelas terão o perfil recriado se passarem por alguma alteração após o último perfil. Exemplos de alterações em tabelas são exclusões de linhas e alterações de esquema.

        • Não criar novo perfil: nunca crie um novo perfil depois que os perfis iniciais forem gerados.
        • Recriar perfil diariamente: recrie o perfil uma vez a cada 24 horas.
        • Recriar um perfil mensalmente: recrie o perfil uma vez a cada 30 dias.

      É preciso selecionar um valor igual ou menos frequente que o valor definido no campo Quando o esquema for alterado.

  5. Clique em Condições.

  6. Na seção Condições, especifique as condições que as tabelas, definidas nos seus filtros, precisam atender antes de criar um perfil do Cloud DLP. Se você definir condições mínimas e a condição de tempo, o Cloud DLP só vai criar perfis de tabelas que atendam aos dois tipos de condições.

    • Condições mínimas: estas condições são úteis se você quiser atrasar a criação de perfil de uma tabela até que ela tenha linhas suficientes ou atinja uma certa idade. Ative as condições que você quer aplicar e especifique a contagem ou a duração mínima da linha.
    • Condição de tempo: essa condição será útil se você não quiser que tabelas antigas tenham um perfil. Ative a condição de horário e escolha uma data e hora. Qualquer tabela criada nesta data ou antes dela é excluída da criação de perfil.

    Suponha que você tenha a seguinte configuração:

    • Condições mínimas

      • Número mínimo de linhas: 10 linhas
      • Duração mínima: 24 horas

    • Condição de tempo

      • Carimbo de data/hora: 4/5/22, 23h59

    Nesse caso, o Cloud DLP exclui todas as tabelas criadas até 4 de maio de 2022, às 23h59. Entre as tabelas criadas após essa data e hora, o Cloud DLP só cria perfis para as tabelas que têm 10 linhas ou que tenham pelo menos 24 horas.

  7. Na seção Tabelas para o perfil, selecione uma das seguintes opções, dependendo dos tipos de tabelas para as quais você quer criar um perfil:

    • Criar perfil de todas as tabelas: selecione essa opção para que o Cloud DLP crie o perfil de todos os tipos de tabelas que correspondam aos seus filtros e condições de tempo.

      Para tipos de tabela não suportados, o Cloud DLP só gera perfis parcialmente preenchidos. Esses perfis mostram erros indicando que as tabelas a que pertencem não são compatíveis. Selecione esta opção se quiser ver os perfis parciais mesmo com as mensagens de erro.

      Quando o Cloud DLP adiciona suporte a um novo tipo de tabela, ele cria novamente perfis de tabelas desse tipo durante a próxima execução programada.

    • Criar perfil de tabelas suportadas: selecione essa opção se quiser que o Cloud DLP crie o perfil apenas das tabelas compatíveis que correspondam aos seus filtros e condições de tempo. As tabelas não compatíveis não terão perfis parciais.

    • Classificar tipos de tabela específicos: selecione essa opção se quiser que o Cloud DLP crie o perfil apenas dos tipos de tabelas selecionados. Na lista exibida, selecione um ou mais tipos.

      Quando o Cloud DLP adiciona suporte a um novo tipo de tabela, ele não cria perfis de tabelas automaticamente desse tipo. Para criar o perfil de tipos de tabela aceitas recentemente, edite a configuração da verificação e selecione-os.

    Se você não selecionar uma opção, o Cloud DLP vai criar perfis apenas para tabelas do BigQuery e mostrar erros para tabelas não suportadas.

    Os preços da criação de perfil dos dados variam de acordo com os tipos de tabelas. Para mais informações, consulte Preços da criação de perfil de dados.

  8. Clique em Concluído.

  9. Se você quiser adicionar mais programações, clique em Adicionar programação e repita as etapas anteriores.

  10. Para reordenar as programações de acordo com a prioridade, use as setas para cima e para baixo. Por exemplo, se os filtros em duas programações diferentes corresponderem à Tabela A, a programação mais alta na lista de prioridades vai ter precedência.

    A última programação na lista é sempre marcada como Programação padrão. Essa programação padrão abrange as tabelas no recurso selecionado (organização ou pasta) que não correspondem a nenhuma das programações criadas. Essa programação padrão segue a frequência padrão de criação de perfil do sistema.

  11. Se você quiser ajustar a programação padrão, clique em Editar programação e faça as configurações conforme necessário.

Selecionar modelo de inspeção

Dependendo de como você quer fornecer uma configuração de inspeção, escolha uma das opções a seguir. Seja qual for a opção escolhida, o Cloud DLP verifica seus dados na região em que você configurou o BigQuery para armazenar esses dados. Seus dados do BigQuery não saem da região de origem.

Opção 1: criar um modelo de inspeção

Escolha essa opção se você quiser criar um novo modelo de inspeção na região global.

  1. Clique em Criar novo modelo de inspeção.

  2. Opcional: para modificar a seleção padrão de infoTypes, clique em Gerenciar infoTypes. Use o filtro para encontrar e selecionar infoTypes. Depois, clique em Concluído.

  3. Opcional: configure o modelo de inspeção ainda mais adicionando conjuntos de regras e definindo um limite de confiança. Para mais informações, consulte Configurar detecção.

    Quando o Cloud DLP cria a configuração de verificação, ele armazena esse novo modelo de inspeção na região global.

Opção 2: usar um modelo de inspeção atual

Escolha essa opção se você quiser usar modelos de inspeção.

  1. Clique em Selecionar modelo de inspeção existente.

  2. Digite o nome completo do recurso do modelo de inspeção que você quer usar. O campo Região é preenchido automaticamente com o nome da região em que o modelo de inspeção está armazenado.

    O modelo de inspeção inserido precisa estar na mesma região dos dados para o perfil ser criado. Para respeitar a residência dos dados, o Cloud DLP não usa um modelo de inspeção fora da própria região.

    Para encontrar o nome completo do recurso de um modelo de inspeção, siga estas etapas:

    1. Acesse a lista de modelos de inspeção. Essa página é aberta em uma guia separada.

      Acessar modelos de inspeção

    2. Se necessário, alterne para o projeto que contém o modelo de inspeção que você quer usar.

    3. Na guia Modelos, clique no ID do modelo que você quer usar.

    4. Na página exibida, copie o nome completo do recurso do modelo. O nome completo do recurso segue este formato:

      projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID

    5. Na página Criar configuração de verificação, no campo Nome do modelo, cole o nome completo do recurso do modelo.

  3. Se você tiver dados em outra região e tiver um modelo de inspeção que queira usar para essa região, siga estas etapas:

    1. Clique em Adicionar modelo de inspeção.
    2. Insira o nome completo do recurso do modelo de inspeção.

    Repita essas etapas para cada região em que você tiver um modelo de inspeção dedicado.

  4. Opcional: adicione um modelo de inspeção armazenado na região global. O Cloud DLP usa automaticamente esse modelo para dados em regiões em que você não tem um modelo de inspeção dedicado.

Adicionar ações

Nas seções a seguir, especifique as ações que você quer que o Cloud DLP execute após gerar os perfis de dados.

Publicar no Chronicle

As métricas coletadas dos perfis de dados podem adicionar contexto às suas descobertas do Chronicle. O contexto adicionado pode ajudar a determinar os problemas de segurança mais importantes a serem resolvidos. Por exemplo, se você estiver investigando um agente de serviço específico no Chronicle, os perfis de dados poderão fornecer insights sobre se esse agente de serviço tem acesso a tabelas com altos níveis de risco de dados.

Para enviar seus perfis de dados para sua conta do Chronicle, ative a opção Publicar no Chronicle.

Se o Chronicle não estiver ativado para sua organização, essa opção não vai ter efeito.

Salvar cópias do perfil de dados no BigQuery

Ao ativar a opção Salvar cópias do perfil de dados no BigQuery, é possível manter uma cópia ou um histórico salvo de todos os perfis gerados. Isso pode ser útil para criar relatórios de auditoria e visualizar perfis de dados. Também é possível carregar essas informações em outros sistemas.

Além disso, essa opção permite ver todos os perfis de dados em uma única visualização, independentemente da região em que residem os dados. Se você desativar essa opção, ainda vai poder ver os perfis de dados no painel. No entanto, no seu painel, você seleciona uma região por vez e vê apenas os perfis de dados dessa região.

Para exportar cópias dos perfis de dados para uma tabela do BigQuery, siga estas etapas:

  1. Ative a opção Salvar cópias do perfil de dados no BigQuery.

  2. Insira os detalhes da tabela do BigQuery em que você quer salvar os perfis de dados:

    • Em ID do projeto, insira o ID de um projeto atual para onde os perfis de dados serão exportados.

    • Em ID do conjunto de dados, insira o nome de um conjunto de dados existente no projeto para o qual você quer exportar perfis de dados.

    • Em ID da tabela, insira um nome para a tabela do BigQuery em que os perfis serão exportados. Se você ainda não tiver criado essa tabela, o Cloud DLP a criará automaticamente usando o nome fornecido.

O Cloud DLP começa a exportar perfis a partir do momento em que você ativa essa opção. Os perfis gerados antes da ativação da exportação não são salvos no BigQuery.

Publicar no Pub/Sub

Ative a opção Publicar no Pub/Sub para realizar ações programáticas com base nos resultados da criação de perfil. É possível usar as notificações do Pub/Sub para desenvolver um fluxo de trabalho para detectar e corrigir descobertas com risco ou sensibilidade de dados significativos.

Para enviar notificações para um tópico do Pub/Sub, siga estas etapas:

  1. Ative Publicar no Pub/Sub.

    Uma lista de opções será exibida. Cada opção descreve um evento que faz com que o Cloud DLP envie uma notificação para o Pub/Sub.

  2. Selecione os eventos que acionam uma notificação do Pub/Sub.

    Se você selecionar Enviar uma notificação do Pub/Sub sempre que um perfil for atualizado, o Cloud DLP enviará uma notificação quando houver uma alteração nas seguintes métricas no nível da tabela:

    • Risco de dados
    • Sensitivity (Sensibilidade)
    • InfoTypes previstos
    • Outros InfoTypes
    • Público
    • Criptografia

  3. Siga estas etapas para cada evento selecionado:

    1. Digite o nome do tópico. O nome precisa estar neste formato:

      projects/PROJECT_ID/topics/TOPIC_ID

      Substitua:

      • PROJECT_ID: o ID do projeto associado ao tópico do Pub/Sub.
      • TOPIC_ID: o ID do tópico do Pub/Sub.

    2. Especifique se você quer incluir o perfil completo da tabela na notificação ou apenas o nome completo do recurso da tabela que foi criada.

    3. Defina os níveis mínimos de risco e confidencialidade dos dados que o Cloud DLP precisa atender para enviar uma notificação.

    4. Especifique se apenas uma ou ambas as condições de risco e sensibilidade de dados precisam ser atendidas. Por exemplo, se você escolher AND, o risco de dados e as condições de sensibilidade precisarão ser cumpridos antes que o Cloud DLP envie uma notificação.

Gerenciar o contêiner e o faturamento do agente de serviço

Nesta seção, você especifica o projeto a ser usado como um contêiner do agente de serviço. O Cloud DLP pode criar automaticamente um novo projeto ou escolher um atual.

  • Se você não tiver um contêiner do agente do serviço, selecione Criar um novo projeto como um contêiner do agente de serviço.

    O Cloud DLP cria um novo projeto chamado Contêiner do agente de serviço do DLP. Esse é efetivamente um projeto normal do Google Cloud que contém um novo agente de serviço. O Cloud DLP solicita que você selecione a conta para faturar todas as operações faturáveis relacionadas a este projeto, incluindo operações não relacionadas à criação de perfil de dados.

    Se você não tiver as permissões necessárias para criar projetos, essa opção estará desativada. Para mais informações sobre as permissões necessárias, consulte Papéis necessários para trabalhar com perfis de dados no nível da organização ou da pasta.

  • Se você tiver um contêiner de agente de serviço que queira reutilizar, selecione Selecionar um contêiner de agente de serviço. Em seguida, clique em Procurar para selecionar o ID do projeto do contêiner do agente de serviço.

Se você está usando um agente de serviço recém-criado ou reutilizando um agente atual, verifique se ele tem acesso de leitura aos dados para o perfil.

Definir o local para armazenar a configuração

Clique na lista Local do recurso e selecione a região em que você quer armazenar essa configuração de verificação. Todas as configurações de verificação criadas posteriormente também serão armazenadas nesse local.

O local em que você decide armazenar a configuração da verificação não afeta os dados a serem verificados. Além disso, não afeta onde os perfis de dados são armazenados. Os dados são verificados na mesma região em que estão armazenados (conforme definido no BigQuery). Para mais informações, consulte Considerações sobre a residência de dados.

Revisar e criar

  1. Se você não quiser que a criação de perfil seja iniciada logo após a criação da configuração, selecione Criar verificação no modo pausado.

    Essa opção é útil nos seguintes casos:

    • Seu administrador do Google Cloud ainda precisa conceder acesso de criação de perfil de dados ao agente de serviço.
    • Você quer criar várias configurações de verificação e que algumas modifiquem outras.
    • Você optou por salvar perfis de dados no BigQuery e quer garantir que o agente de serviço tenha acesso de gravação à sua tabela de saída.
    • Você configurou as notificações do Pub/Sub e quer conceder acesso de publicação ao agente de serviço.

  2. Revise suas configurações e clique em Criar.

    O Cloud DLP cria a configuração de verificação e a adiciona à lista Configurações.

Para ver ou gerenciar as configurações de verificação, acesse a lista de configurações do perfil de dados.

Acessar as configurações do perfil de dados

Se o agente de serviços tiver os papéis necessários para acessar e criar o perfil dos dados, o Cloud DLP começará a verificar os dados logo depois que você criar a configuração de verificação. Caso contrário, o Cloud DLP mostrará um erro quando você visualizar os detalhes da configuração da verificação.

A seguir