Publicar perfis de dados no Security Command Center

Nesta página, você terá uma visão geral de alto nível das ações que precisará executar se quiser que os perfis de dados gerem descobertas no Security Command Center. Nesta página, também fornecemos exemplos de consultas que você pode usar para encontrar as descobertas geradas.

É possível configurar o Cloud DLP para gerar automaticamente perfis sobre dados do BigQuery em uma organização, pasta ou projeto. Os perfis de dados contêm métricas e metadados sobre as tabelas e ajudam a determinar onde estão os dados confidenciais e de alto risco. O Cloud DLP informa essas métricas nos níveis de projeto, tabela e coluna. Para mais informações, consulte Perfis de dados do BigQuery.

O Security Command Center é o serviço centralizado de relatórios de vulnerabilidades e ameaças do Google Cloud. O Security Command Center ajuda a fortalecer sua postura de segurança identificando configurações incorretas, vulnerabilidades, observações e ameaças. Ele também fornece recomendações para investigar e corrigir as descobertas.

Os perfis de dados podem gerar descobertas de observação no Security Command Center que mostram a sensibilidade calculada e os níveis de risco dos dados do BigQuery. Você pode usar essas descobertas para informar sua resposta quando encontrar ameaças e vulnerabilidades relacionadas aos dados do BigQuery.

Descobertas do Security Command Center geradas

Quando você configura o serviço de descoberta para publicar perfis de dados no Security Command Center, cada perfil de dados da tabela gera as seguintes descobertas do Security Command Center:

Data sensitivity
Uma indicação do nível de confidencialidade dos dados em uma tabela específica. Os dados são confidenciais quando contêm PII ou outros elementos que podem exigir mais controle ou gerenciamento. A gravidade da descoberta é o nível de confidencialidade calculado pelo Cloud DLP ao gerar o perfil de dados.
Data risk
O risco associado aos dados no estado atual. Ao calcular o risco de dados, o Cloud DLP considera o nível de confidencialidade dos dados na tabela e a presença de controles de acesso para proteger esses dados. A gravidade da descoberta é o nível de risco de dados que o Cloud DLP calculou ao gerar o perfil de dados.

Enviar perfis de dados para o Security Command Center

Veja a seguir um fluxo de trabalho de alto nível para a publicação de perfis de dados no Security Command Center.

  1. Verifique o nível de ativação do Security Command Center para sua organização. Para enviar perfis de dados para o Security Command Center, você precisa ativar o Security Command Center no nível da organização no nível Standard ou Premium.

    Se o Security Command Center estiver ativado apenas para envolvidos no projeto, as descobertas do Cloud DLP não aparecerão no Security Command Center.

  2. Se o Security Command Center não estiver ativado na sua organização, será necessário ativá-lo. Para mais informações, consulte Ativar o Security Command Center para uma organização.

  3. Adicione o Cloud Data Loss Prevention como um serviço integrado. Para mais informações, consulte Adicionar um serviço integrado do Google Cloud.

    Ativar o Cloud DLP no Security Command Center

  4. Ao configurar a criação de perfil de dados para uma organização ou pasta ou projeto, ative a opção Publicar no Centro de Comando de Segurança. Também é possível editar as configurações atuais da verificação de descoberta para ativar essa opção.

    Localização da opção Publicar no Security Command Center

    Para começar a criar ou editar uma configuração de verificação, acesse a página Descoberta no Console do Google Cloud.

    Acessar o Discovery

Consultar descobertas do Security Command Center relacionadas a perfis de dados

Veja a seguir exemplos de consultas que você pode usar para encontrar descobertas relevantes de Data sensitivity e Data risk no Security Command Center. Insira essas consultas no campo Editor de consultas. Para mais informações sobre o editor de consultas, consulte Editar uma consulta de descobertas no painel do Security Command Center.

Listar todas as descobertas de Data sensitivity e Data risk de uma tabela específica

Essa consulta é útil, por exemplo, se o Security Command Center detectar um evento em que uma tabela do BigQuery foi salva em um projeto diferente. Nesse caso, uma descoberta de Exfiltration: BigQuery Data Exfiltration é gerada, contendo o nome de exibição completo da tabela que foi exfiltrada. É possível pesquisar qualquer descoberta Data sensitivity e Data risk relacionada à tabela. Visualize os níveis calculados de risco de confidencialidade e dados da tabela e planeje sua resposta de acordo.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"

Substitua:

  • PROJECT_ID: o ID do projeto que contém a tabela do BigQuery.
  • DATASET_ID: o ID do conjunto de dados da tabela.
  • TABLE_ID: o ID da tabela

Listar todas as descobertas de Data risk e Data sensitivity com um nível de gravidade High

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"