Dados de perfil em uma organização ou pasta

Esta página descreve como configurar a criação de perfil no nível de uma organização ou pasta. Se você quiser criar o perfil de um projeto, consulte Criar perfil de dados em um único projeto.

Para mais informações sobre perfis de dados, consulte Perfis de dados para dados do BigQuery.

Para começar a criação de perfil de dados, crie uma configuração de verificação.

Antes de começar

  1. Confirme se você tem as permissões do IAM necessárias para configurar perfis de dados no nível da organização.

    Se você não tiver o papel Administrador de organização (roles/resourcemanager.organizationAdmin) ou Administrador de segurança (roles/iam.securityAdmin), ainda poderá criar uma configuração de verificação. No entanto, depois de criar a configuração da verificação, alguém com um desses papéis precisará conceder acesso à criação de perfil de dados para seu agente de serviço.

  2. É possível configurar o Cloud DLP para enviar notificações ao Pub/Sub quando determinados eventos ocorrerem, como quando o Cloud DLP criar um perfil de uma nova tabela. Se você quiser usar esse recurso, primeiro crie um tópico do Pub/Sub.

Criar uma configuração de verificação

Para criar uma configuração de verificação, siga as etapas nas seções a seguir. No final de cada seção, clique em Continuar.

  1. Acesse a página Criar configuração de verificação.

    Acessar "Criar configuração de verificação"

  2. Se necessário, acesse sua organização. Na barra de ferramentas, clique no seletor de projetos e selecione sua organização.

    Captura de tela do seletor de projetos na barra de ferramentas

As seções a seguir fornecem mais informações sobre as etapas na página Criar configuração de verificação.

Selecionar o recurso a ser verificado

Escolha uma destas opções:

  • Para configurar a criação de perfil no nível da organização, selecione Verificar toda a organização.
  • Para configurar a criação de perfil no nível de uma pasta, selecione Verificar pasta selecionada. Em seguida, clique em Procurar e selecione a pasta.

Gerenciar programações

Se a frequência padrão de criação de perfil atender às suas necessidades, pule esta seção da página Criar configuração de verificação. Esta seção é útil se você quiser fazer ajustes específicos na frequência de criação de perfil de todos os dados ou determinados subconjuntos de dados. Também é útil se você não quer que determinadas tabelas sejam analisadas ou quer que elas sejam mapeadas uma vez e nunca mais.

Nesta seção, você cria filtros para especificar determinados subconjuntos de dados do seu interesse. Para esses subconjuntos, defina se o Cloud DLP deve criar o perfil das tabelas e com que frequência. Aqui, você também especifica os tipos de mudanças que farão com que a tabela seja remapeada. Por fim, especifique as condições que cada tabela nos subconjuntos precisa atender antes de começar a criação do perfil da tabela no Cloud DLP.

Para fazer ajustes específicos na frequência de criação de perfil, siga estas etapas:

  1. Clique em Adicionar programação.
  2. Na seção Filtros, você define um ou mais filtros que especificam quais tabelas estão no escopo da programação.

    Especifique pelo menos uma das seguintes opções:

    • É um ID de projeto ou uma expressão regular que especifica um ou mais projetos.
    • Um ID ou expressão regular de conjunto de dados que especifica um ou mais conjuntos de dados.
    • Um ID de tabela ou uma expressão regular que especifica uma ou mais tabelas.

    As expressões regulares precisam seguir a sintaxe RE2.

    Por exemplo, se você quiser que todas as tabelas de um projeto sejam incluídas no filtro, especifique o código desse projeto e deixe os outros dois campos em branco.

    Se você quiser incluir mais filtros, clique em Adicionar filtro e repita essa etapa.

  3. Clique em Frequência.

  4. Na seção Frequência, especifique se o Cloud DLP precisa criar o perfil das tabelas definidas nos seus filtros e, em caso afirmativo, com que frequência:

    • Caso você não queira que as tabelas sejam analisadas, desative a opção Criar o perfil das tabelas.

    • Para criar um perfil das tabelas pelo menos uma vez, deixe a opção Criar um perfil das tabelas e siga estas etapas:

      1. No campo Quando há alterações de esquema, especifique quando você quer que as tabelas sejam remapeadas se passarem por mudanças de esquema após a última criação de perfil.

        • Não crie novo perfil: nunca crie um novo perfil depois que os perfis iniciais forem gerados.
        • Recriar perfil diariamente: recrie os perfis uma vez a cada 24 horas.
        • Recriar perfil mensalmente: recrie os perfis uma vez a cada 30 dias.
      2. Em Tipos de alteração de esquema, especifique quais tipos de alteração de esquema devem acionar uma operação de recriação:

        • New columns: crie um novo perfil das tabelas que ganharam novas colunas.
        • Colunas removidas: crie um novo perfil das tabelas que tiveram colunas removidas.

        Suponha que você queira que as operações de recriação sejam executadas a cada 24 horas. Além disso, você quer criar um novo perfil apenas das tabelas que ganharam novas colunas depois de criar o perfil delas pela última vez. Nesse caso, defina Quando o esquema for alterado como Recriar perfil diariamente e defina Tipos de alteração de esquema como Novas colunas.

      3. No campo Quando as tabelas são alteradas, especifique quando você quer que as tabelas sejam remapeadas se passarem por qualquer alteração após a última criação de perfil. Exemplos de alterações na tabela são exclusões de linhas e mudanças de esquema.

        • Não crie novo perfil: nunca crie um novo perfil depois que os perfis iniciais forem gerados.
        • Recriar perfil diariamente: recrie os perfis uma vez a cada 24 horas.
        • Recriar perfil mensalmente: recrie os perfis uma vez a cada 30 dias.

      Selecione um valor que seja igual ou menos frequente do que o valor definido no campo Quando o esquema for alterado.

  5. Clique em Condições.

  6. Na seção Condições, especifique as condições que as tabelas, definidas nos filtros, precisam atender antes de criar os perfis do Cloud DLP. Se você definir condições mínimas e a condição de tempo, o Cloud DLP vai criar perfis apenas de tabelas que atendam aos dois tipos.

    • Condições mínimas: essas condições são úteis quando você quer atrasar a criação de perfil de uma tabela até que ela tenha linhas suficientes ou até que atinja uma determinada idade. Ative as condições que você quer aplicar e especifique o número ou a duração mínima da linha.
    • Condição de tempo: essa condição é útil se você não quiser que tabelas antigas sejam analisadas. Ative a condição de horário e escolha uma data e hora. Qualquer tabela criada nesta data ou antes dela será excluída da criação de perfil.

    Suponha que você tenha a seguinte configuração:

    • Condições mínimas

      • Contagem mínima de linhas: 10 linhas
      • Duração mínima: 24 horas
    • Condição de tempo

      • Carimbo de data/hora: 4/5/22, 23h59

    Nesse caso, o Cloud DLP exclui todas as tabelas criadas no dia 4 de maio de 2022 ou antes, às 23h59. Entre as tabelas criadas após essa data, o Cloud DLP cria um perfil somente para tabelas com 10 linhas ou com pelo menos 24 horas de duração.

  7. Clique em Concluir.

  8. Se quiser adicionar mais programações, clique em Adicionar programação e repita as etapas anteriores.

  9. Para reorganizar as programações de acordo com a prioridade, use as setas para cima e para baixo de . Por exemplo, se os filtros em duas programações diferentes corresponderem à Tabela A, a programação mais alta na lista de prioridades terá prioridade.

    A última programação na lista é sempre a Programação padrão. Esta programação padrão abrange as tabelas no recurso selecionado (organização ou pasta) que não correspondem a nenhuma das programações criadas. Essa programação padrão segue a frequência padrão de criação de perfil do sistema.

  10. Se você quiser ajustar a programação padrão, clique em Editar programação e ajuste as configurações conforme necessário.

Selecionar modelo de inspeção

Dependendo de como você quer fornecer uma configuração de inspeção, escolha uma das opções a seguir. Seja qual for a opção escolhida, o Cloud DLP verifica seus dados na região em que você configurou o BigQuery para armazenar esses dados. Os dados do BigQuery não saem da região de origem.

Opção 1: criar um modelo de inspeção

Escolha essa opção se quiser criar um novo modelo de inspeção na região global.

  1. Clique em Criar novo modelo de inspeção.
  2. Opcional: para modificar a seleção padrão de infoTypes, clique em Gerenciar infoTypes. Use o filtro para encontrar e selecionar infoTypes. Depois, clique em Concluído.

  3. Opcional: configure o modelo de inspeção ainda mais adicionando conjuntos de regras e definindo um limite de confiança. Para mais informações, consulte Configurar detecção.

    Quando o Cloud DLP cria a configuração de verificação, ele armazena esse novo modelo de inspeção na região global.

Opção 2: usar um modelo de inspeção existente

Escolha essa opção se você quiser usar modelos de inspeção.

  1. Clique em Selecionar modelo de inspeção existente.

  2. Digite o nome completo do recurso do modelo de inspeção que você quer usar. O campo Região é preenchido automaticamente com o nome da região onde o modelo de inspeção está armazenado.

    O modelo de inspeção inserido precisa estar na mesma região dos dados a serem analisados. Para respeitar a residência de dados, o Cloud DLP não usa um modelo de inspeção fora da própria região.

    Para encontrar o nome completo do recurso de um modelo de inspeção, siga estas etapas:

    1. Acesse a lista de modelos de inspeção. Essa página é aberta em uma guia separada.

      Acessar modelos de inspeção

    2. Se necessário, alterne para o projeto que contém o modelo de inspeção que você quer usar.

    3. Na guia Modelos, clique no ID do modelo que você quer usar.

    4. Na página exibida, copie o nome completo do recurso do modelo. O nome completo do recurso segue este formato:

      projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
    5. Na página Criar configuração de verificação, no campo Nome do modelo, cole o nome completo do recurso do modelo.

  3. Se você tiver dados em outra região e tiver um modelo de inspeção que quer usar nessa região, siga estas etapas:

    1. Clique em Adicionar modelo de inspeção.
    2. Insira o nome completo do recurso do modelo de inspeção.

    Repita essas etapas para cada região em que você tem um modelo de inspeção dedicado.

  4. Opcional: adicione um modelo de inspeção que esteja armazenado na região global. O Cloud DLP usa automaticamente esse modelo para dados em regiões em que você não tem um modelo de inspeção dedicado.

Gerenciar o resultado da verificação

Nas seções a seguir, você especifica as ações que o Cloud DLP deve realizar após gerar os perfis de dados.

Publicar no Chronicle

Métricas coletadas de perfis de dados podem adicionar contexto às suas descobertas do Chronicle. O contexto adicionado pode ajudar a determinar os problemas de segurança mais importantes a serem resolvidos. Por exemplo, se você estiver investigando um agente de serviço específico no Chronicle, os perfis de dados poderão fornecer insights sobre se ele tem acesso a tabelas com altos níveis de risco de dados.

Para enviar seus perfis de dados para sua conta do Chronicle, ative a opção Publicar no Chronicle.

Se o Chronicle não estiver ativado para sua organização, ativar essa opção não terá efeito.

Salvar cópias do perfil de dados no BigQuery

Ativar a opção Salvar cópias do perfil de dados no BigQuery permite que você mantenha uma cópia ou um histórico salvo de todos os seus perfis gerados. Isso pode ser útil para criar relatórios de auditoria e visualizar perfis de dados. Você também pode carregar essas informações em outros sistemas.

Além disso, essa opção permite ver todos os perfis de dados em uma única visualização, independentemente da região em que seus dados residem. Se você desativar essa opção, ainda será possível ver os perfis de dados no seu painel. No entanto, no seu painel, você seleciona uma região por vez e vê apenas os perfis de dados para essa região.

Para exportar cópias dos perfis de dados para uma tabela do BigQuery, siga estas etapas:

  1. Ative a opção Salvar cópias do perfil de dados no BigQuery.

  2. Insira os detalhes da tabela do BigQuery em que você quer salvar os perfis de dados:

    • Em ID do projeto, insira o ID do projeto atual para onde os perfis de dados serão exportados.

    • Em ID do conjunto de dados, insira o nome de um conjunto de dados atual no projeto para onde os perfis de dados serão exportados.

    • Em ID da tabela, insira um nome para a tabela do BigQuery em que os perfis de dados serão exportados. Se você ainda não tiver criado essa tabela, o Cloud DLP a criará automaticamente usando o nome fornecido.

O Cloud DLP começa a exportar perfis a partir do momento em que você ativa essa opção. Os perfis gerados antes da ativação da exportação não são salvos no BigQuery.

Publicar no Pub/Sub

Ativar a publicação no Pub/Sub permite que você realize ações programáticas com base nos resultados da criação de perfil. É possível usar as notificações do Pub/Sub para desenvolver um fluxo de trabalho para capturar e corrigir descobertas com confidencialidade e risco de dados significativos.

Para enviar notificações para um tópico do Pub/Sub, siga estas etapas:

  1. Ative a opção Publicar no Pub/Sub.

    Uma lista de opções será exibida. Cada opção descreve um evento que faz o Cloud DLP enviar uma notificação para o Pub/Sub.

  2. Selecione os eventos que precisam acionar uma notificação do Pub/Sub.

    Se você selecionar Enviar uma notificação do Pub/Sub toda vez que um perfil for atualizado, o Cloud DLP enviará uma notificação quando houver uma alteração nas seguintes métricas no nível da tabela:

    • Risco de dados
    • Confidencialidade
    • InfoTypes previstos
    • Outros InfoTypes
    • Público
    • Criptografia
  3. Para cada evento selecionado, siga estas etapas:

    1. Digite o nome do tópico. O nome precisa estar no seguinte formato:

      projects/PROJECT_ID/topics/TOPIC_ID
      

      Substitua:

      • PROJECT_ID: o ID do projeto associado ao tópico do Pub/Sub.
      • TOPIC_ID: o ID do tópico do Pub/Sub.
    2. Especifique se você quer incluir o perfil completo da tabela na notificação ou apenas o nome completo do recurso da tabela para a qual o perfil foi criado.

    3. Defina os níveis mínimos de risco e sensibilidade dos dados que precisam ser atendidos para que o Cloud DLP envie uma notificação.

    4. Especifique se apenas uma ou ambas as condições de risco e confidencialidade dos dados precisam ser atendidas. Por exemplo, se você escolher AND, o risco de dados e as condições de confidencialidade precisarão ser atendidos antes que o Cloud DLP envie uma notificação.

Gerenciar o contêiner e o faturamento do agente de serviço

Nesta seção, você especifica o projeto a ser usado como um contêiner do agente de serviço. O Cloud DLP pode criar um novo projeto automaticamente ou você pode escolher um existente.

  • Se você estiver criando uma configuração de verificação pela primeira vez, clique em Criar um novo projeto como um contêiner do agente de serviço.

    O Cloud DLP cria um novo projeto chamado Contêiner de agente de serviço de DLP. Ele é efetivamente um projeto normal do Google Cloud que contém um novo agente de serviço. O Cloud DLP solicita que você selecione a conta para faturar todas as operações faturáveis relacionadas a este projeto, incluindo operações não relacionadas à criação de perfil de dados.

  • Se você tiver um contêiner do agente de serviço atual que queira reutilizar, clique em Selecionar um contêiner do agente de serviço atual. Em seguida, clique em Procurar para selecionar o ID do projeto do contêiner do agente de serviço.

Não importa se você está usando um agente de serviço recém-criado ou reutilizando um existente, verifique se ele tem acesso de leitura aos dados a serem analisados. Se você estiver exportando perfis para o BigQuery, verifique se ele também tem acesso de gravação à tabela de saída.

Definir o local para armazenar a configuração

Clique na lista Local do recurso e selecione a região em que você quer armazenar essa configuração de verificação. Todas as configurações de verificação que você criar posteriormente também serão armazenadas nesse local.

O local em que você decide armazenar a configuração da verificação não afeta os dados a serem verificados. Além disso, não afeta onde os perfis de dados são armazenados. Os dados são verificados na mesma região em que estão armazenados (conforme definido no BigQuery). Para mais informações, consulte Considerações sobre a residência de dados.

Revisar e criar

  1. Se você não quiser que a criação de perfil seja iniciada logo após a criação da configuração, selecione Criar verificação no modo pausado.

    Essa opção é útil nos seguintes casos:

    • Seu administrador do Google Cloud ainda precisa conceder acesso à criação de perfil de dados ao agente de serviço.
    • Você quer criar várias configurações de verificação e quer que algumas configurações modifiquem outras.
    • Você optou por salvar perfis de dados no BigQuery e quer garantir que o agente de serviço tenha acesso de gravação à tabela de saída.
    • Você configurou notificações do Pub/Sub e quer conceder acesso de publicação ao agente de serviço.
  2. Revise suas configurações e clique em Criar.

    O Cloud DLP cria a configuração de verificação e a adiciona à lista Configurações.

Para ver ou gerenciar as configurações de verificação, acesse a lista de configurações do perfil de dados.

Acessar as configurações do perfil de dados

Se o agente de serviços tiver os papéis necessários para acessar e criar o perfil dos dados, o Cloud DLP começará a verificar os dados logo depois que você criar a configuração de verificação. Caso contrário, o Cloud DLP mostrará um erro quando você visualizar os detalhes da configuração da verificação.

A seguir