Envía los resultados de análisis de Cloud DLP a Cloud SCC

En esta guía, aprenderás a usar Cloud Data Loss Prevention (Cloud DLP) para analizar recursos específicos de Google Cloud Platform (GCP) y enviar datos a Cloud Security Command Center (Cloud SCC).

Cloud SCC te permite recopilar datos sobre amenazas de seguridad, identificarlas y actuar antes de que causen daños o pérdidas comerciales. Con Cloud SCC, puedes realizar varias acciones relacionadas con la seguridad desde un único panel centralizado.

Cloud Data Loss Prevention se integra de forma nativa a Cloud SCC. Cuando usas una acción de Cloud DLP para analizar tus repositorios de almacenamiento de GCP de datos sensibles, se pueden enviar resultados de forma directa al panel de Cloud SCC y mostrarlos junto con otras métricas de seguridad.

Si completas esta guía, podrás cumplir con las siguientes acciones:

  • Habilitar Cloud SCC y Cloud DLP
  • Configurar Cloud DLP para escanear un repositorio de almacenamiento de GCP (ya sea un depósito de Cloud Storage, una tabla de BigQuery o categoría de Cloud Datastore)
  • Configurar un análisis de Cloud DLP para enviar resultados de análisis a Cloud SCC

Para obtener más información sobre Cloud SCC, consulta la documentación de Cloud Security Command Center.

Costos

En las instrucciones de este tema, se usan componentes facturables de GCP, entre los cuales se incluyen los siguientes:

  • Cloud Data Loss Prevention
  • Cloud Storage
  • BigQuery
  • Cloud Datastore

Usa la calculadora de precios para generar una estimación de los costos según el uso previsto.

Los usuarios nuevos de GCP pueden ser aptos para una prueba gratuita.

Antes de comenzar

Antes de enviar los resultados del análisis de Cloud DLP a Cloud SCC, debes configurar los siguientes componentes:

  • Paso 1: Configura los repositorios de almacenamiento de GCP.
  • Paso 2: Configura las funciones de Cloud Identity and Access Management (Cloud IAM).
  • Paso 3: Habilita Cloud SCC.
  • Paso 4: Habilita Cloud DLP.

Los pasos para configurar estos componentes se describen en las secciones a continuación.

Paso 1: Configura los repositorios de almacenamiento de GCP

Decide si quieres analizar tu propio repositorio de almacenamiento de GCP o uno de ejemplo. En este tema, se proporcionan instrucciones para ambas situaciones.

Analiza sus propios datos

Si deseas analizar tu propio depósito de Cloud Storage, tabla de BigQuery o categoría de Cloud Datastore existentes, primero abre el proyecto en el que se encuentra el repositorio. En los pasos posteriores, habilitarás Cloud SCC y Cloud DLP para este proyecto y su organización.

Después de abrir el proyecto que quieras usar, continúa con la configuración de algunas funciones de Cloud IAM.

Analiza datos de muestra

Si deseas analizar un conjunto de datos de muestra o de prueba, primero crea un proyecto nuevo:

  1. En GCP Console, haz clic en el menú emergente en la parte superior de la ventana.
  2. En la ventana Seleccionar desde [ORG_NAME], haz clic en Proyecto nuevo.
  3. En la pantalla Proyecto nuevo, confirma que el cuadro Ubicación tiene la organización correcta. Si no, cámbialo.
  4. Haz clic en Crear.

Asegúrate de tener habilitada la facturación para tu proyecto.

Aprende a habilitar la facturación

A continuación, descarga y almacena los datos de muestra:

  1. Ve al repositorio de instructivos en Cloud Functions en GitHub.
  2. Haz clic en el botón verde de Clonar o descargar y luego haz clic en Descargar ZIP.
  3. Descomprime el archivo ZIP descargado.
  4. En Google Cloud Platform Console, ve a Cloud Storage.

    Ir a Cloud Storage

    En esta página puedes configurar depósitos de Cloud Storage.

  5. En el navegador de Cloud Storage, haz clic en Crear depósito.
  6. En la página Crear depósito, ponle un nombre único al depósito y haz clic en Crear.
  7. Después de crear tu depósito, haz clic en Upload folder (subir carpeta) en la página Bucket details (detalles del depósito).
  8. Ve a la carpeta dlp-cloud-functions-tutorials-master que descomprimiste antes, ábrela y selecciona la carpeta sample_data. Haz clic en Upload (subir) para subir los contenidos de la carpeta a Cloud Storage.

    Nuevo depósito de Cloud Storage.

Ten en cuenta el nombre que le pusiste al depósito de Cloud Storage para más adelante. Una vez que se complete la carga del archivo, estarás listo para continuar.

Paso 2: Configura las funciones de Cloud IAM

Antes de poder usar Cloud DLP para enviar los resultados de análisis a Cloud SCC, tienes que habilitar algunas funciones de Cloud IAM. En esta sección se requiere la función de administrador de la organización de Cloud IAM.

  1. Ve a la página de IAM y administración de GCP Console.

    Ir a la página de IAM y administración

  2. Busca tu nombre de usuario en la columna Miembro y haz clic en Editar Botón Editar.

  3. En el Panel editar permisos, haz clic en Agregar otra función.
  4. Desde la lista desplegable Seleccionar una función, selecciona Command Security Center > Administrador de Security Center.
  5. A continuación, en la misma lista desplegable, selecciona Cloud DLP > Editor de trabajos de DLP y haz clic en Guardar.

Ahora tienes las funciones de editor de trabajos de Cloud DLP y administrador de Cloud SCC para tu organización. Estas funciones te permitirán completar las tareas por el resto de este tema.

Paso 3: Habilita el panel de Cloud SCC

  1. Dirígete a la página de Cloud Security Command Center Marketplace de GCP Console.

    Ir a la página de Cloud Security Command Center Marketplace

  2. Si no está seleccionada la organización para la que deseas habilitar Cloud SCC, selecciónala en el menú desplegable.
  3. En Todos los proyectos actuales y futuros, haz clic en Habilitar. Un mensaje muestra que Cloud SCC inició el descubrimiento de recursos.

La página de Cloud SCC de GCP Console se carga de manera automática y ahora Cloud SCC muestra tus recursos de GCP compatibles.

Para obtener más información sobre cómo habilitar Cloud SCC, consulta la documentación de Cloud SCC.

Paso 4: Habilita Cloud DLP

Habilita Cloud DLP para el proyecto que deseas analizar. El proyecto debe encontrarse dentro de la misma organización en la que habilitaste Cloud SCC. Para habilitar Cloud DLP con GCP Console, sigue estos pasos:

  1. Dirígete a la página Administrar recursos de GCP Console y selecciona un proyecto.

    Ir a la página Administrar recursos

    El proyecto que selecciones o crees aquí debe contener el depósito de Cloud Storage, tabla de BigQuery o categoría de Cloud Datastore que quieres analizar.

  2. Haz clic en el siguiente botón para habilitar Cloud DLP:

    Habilitar la API

Cuando se te solicite seleccionar un proyecto en el que registrarás tu aplicación, encuentra y selecciona el proyecto que deseas usar en el menú y haz clic en Continuar. Ahora Cloud DLP está habilitado.

Configura y ejecuta el análisis de inspección de Cloud DLP

En esta sección, configuras y ejecutas el trabajo de análisis de Cloud DLP.

El trabajo de inspección que configures aquí le indica a Cloud DLP que analice los datos de muestra almacenados en Cloud Storage (como se describió antes) o tus propios datos almacenados en Cloud Storage, Cloud Datastore o BigQuery. La configuración del trabajo que especifiques también es donde le indicas a Cloud DLP que guarde los resultados del análisis en Cloud SCC.

Paso 1: Anota tu identificador de proyecto

  1. En GCP Console, haz clic en el menú emergente en la parte superior de la ventana.
  2. En la ventana Seleccionar desde [ORG_NAME] asegúrate de que el nombre de la organización en el menú en la parte superior de la ventana es el que tiene habilitado Cloud SCC.
  3. Encuentra el proyecto que contiene tu depósito de Cloud Storage con los datos de muestra. Copia el ID del proyecto para poder consultarlo más adelante.
  4. Haz clic en el nombre del proyecto para abrirlo.

Paso 2: Abre el explorador de API y configura el trabajo

  1. Abre el explorador de API de Google.
  2. En el cuadro de búsqueda en la parte superior de la página, ingresa dlp.projects.dlpJobs.create.
  3. En la lista de Métodos que aparece, haz clic en dlp.projects.dlpJobs.create.
  4. En la página del método que aparece, activa Autorizar solicitudes con OAuth 2.0.
  5. En el cuadro de diálogo de Seleccionar alcance de OAuth 2.0 que aparece, haz clic en Autorizar para autorizar el nivel de acceso predeterminado a Cloud DLP. Si se solicita, inicia sesión con tu cuenta.
  6. En el cuadro de diálogo principal, ingresa lo siguiente, en donde [PROJECT_ID] es el ID del proyecto que anotaste en el paso 1 anterior: projects/[PROJECT_ID]
  7. Deja el cuadro de campos en blanco.
  8. Haz clic en el cuadro del Cuerpo de la solicitud. En el lado derecho del cuadro, haz clic en la flecha. En la lista desplegable que aparece, haz clic en Editor de forma libre.

Reemplaza el contenido del campo Cuerpo de la solicitud con el siguiente JSON para los tipos de datos que quieres usar: datos de muestra en un depósito de Cloud Storage o tus propios datos almacenados en Cloud Storage, Cloud Datastore o BigQuery.

Datos de muestra

Si creas un depósito de Cloud Storage para almacenar datos como se mencionó antes, copia el siguiente JSON y pégalo en el campo Cuerpo de la solicitud. Reemplaza [BUCKET_NAME] con el nombre que le diste a tu depósito de Cloud Storage:

{
  "inspectJob":{
    "storageConfig":{
      "cloudStorageOptions":{
        "fileSet":{
          "url":"gs://[BUCKET_NAME]/**"
        }
      }
    },
    "inspectConfig":{
      "infoTypes":[
        {
          "name":"EMAIL_ADDRESS"
        },
        {
          "name":"PERSON_NAME"
        },
        {
          "name": "LOCATION"
        },
        {
          "name":"PHONE_NUMBER"
        }
      ],
      "includeQuote":true,
      "minLikelihood":"UNLIKELY",
      "limits":{
        "maxFindingsPerRequest":100
      }
    },
    "actions":[
      {
        "publishSummaryToCscc":{

        }
      }
    ]
  }
}

Datos de Cloud Storage

Para analizar tu propio depósito de Cloud Storage, copia el siguiente JSON y pégalo en el campo Cuerpo de la solicitud.

Reemplaza [PATH_NAME] con la ruta de acceso a la ubicación que deseas analizar. Para analizar de forma recursiva, escribe dos asteriscos al final de la ruta (gs://path_to_files/**). Para analizar solo un directorio específico, pon un solo asterisco al final de la ruta (gs://path_to_files/*).

{
  "inspectJob":{
    "storageConfig":{
      "cloudStorageOptions":{
        "fileSet":{
          "url":"gs://[PATH_NAME]"
        }
      }
    },
    "inspectConfig":{
      "infoTypes":[
        {
          "name":"EMAIL_ADDRESS"
        },
        {
          "name":"PERSON_NAME"
        },
        {
          "name": "LOCATION"
        },
        {
          "name":"PHONE_NUMBER"
        }
      ],
      "includeQuote":true,
      "minLikelihood":"UNLIKELY",
      "limits":{
        "maxFindingsPerRequest":100
      }
    },
    "actions":[
      {
        "publishSummaryToCscc":{

        }
      }
    ]
  }
}

Para obtener más información sobre las opciones de análisis disponibles, consulta Cómo inspeccionar datos sensibles en almacenamiento y bases de datos.

Datos de Datastore

Para analizar tus propios datos de Cloud Datastore, copia el siguiente JSON y pégalo en el campo Cuerpo de la solicitud.

Reemplaza [DATASTORE_KIND] con el nombre de la categoría de Cloud Datastore. También puedes reemplazar [NAMESPACE_ID] y [PROJECT_ID] con el espacio de nombres y los identificadores del proyecto, respectivamente o puedes quitar "partitionID" por completo si quieres.

{
  "inspectJob":{
    "storageConfig":{
      "datastoreOptions":{
        "kind":{
          "name":"[DATASTORE_KIND]"
        },
        "partitionId":{
          "namespaceId":"[NAMESPACE_ID]",
          "projectId":"[PROJECT_ID]"
        }
      }
    },
    "inspectConfig":{
      "infoTypes":[
        {
          "name":"EMAIL_ADDRESS"
        },
        {
          "name":"PERSON_NAME"
        },
        {
          "name": "LOCATION"
        },
        {
          "name":"PHONE_NUMBER"
        }
      ],
      "includeQuote":true,
      "minLikelihood":"UNLIKELY",
      "limits":{
        "maxFindingsPerRequest":100
      }
    },
    "actions":[
      {
        "publishSummaryToCscc":{

        }
      }
    ]
  }
}

Para obtener más información sobre las opciones de análisis disponibles, consulta Cómo inspeccionar datos sensibles en almacenamiento y bases de datos.

Datos de BigQuery

Para analizar tu propia tabla de BigQuery, copia el siguiente JSON y pégalo en el campo Cuerpo de la solicitud.

Reemplaza [PROJECT_ID], [BIGQUERY-DATASET-NAME] y [BIGQUERY-TABLE-NAME] con el ID del proyecto y el conjunto de datos, y nombre de tabla de BigQuery.

{
  "inspectJob":
  {
    "storageConfig":
    {
      "bigQueryOptions":
      {
        "tableReference":
        {
          "projectId": "[PROJECT_ID]",
          "datasetId": "[BIGQUERY-DATASET-NAME]",
          "tableId": "[BIGQUERY-TABLE-NAME]"
        }
      }
    },
    "inspectConfig":
    {
      "infoTypes":
      [
        {
          "name": "EMAIL_ADDRESS"
        },
        {
          "name": "PERSON_NAME"
        },
        {
          "name": "LOCATION"
        },
        {
          "name": "PHONE_NUMBER"
        }
      ],
      "includeQuote": true,
      "minLikelihood": "UNLIKELY",
      "limits":
      {
        "maxFindingsPerRequest": 100
      }
    },
    "actions":
    [
      {
        "publishSummaryToCscc":
        {
        }
      }
    ]
  }
}

Para obtener más información sobre las opciones de análisis disponibles, consulta Cómo inspeccionar datos sensibles en almacenamiento y bases de datos.

Paso 3: Ejecuta la solicitud para iniciar el trabajo de análisis

Después de seguir los pasos anteriores y configurar el trabajo, haz clic en Ejecutar para enviar la solicitud. Si la solicitud es exitosa, aparecerá una respuesta debajo de esta con un código de éxito y un objeto JSON que indica el estado del trabajo de Cloud DLP que creaste.

Verifica el estado del análisis de inspección de Cloud DLP

La respuesta a tu solicitud de análisis incluye el ID de trabajo de tu trabajo de análisis de inspección (la clave "name") y el estado actual del trabajo de análisis de inspección (la clave "state"). Debido a que acabas de enviar la solicitud, el estado del trabajo en ese momento será "PENDING".

Después de enviar la solicitud de análisis, el análisis de tu contenido comienza de forma inmediata.

Para comprobar el estado del trabajo de análisis de inspección, abre otra pestaña del navegador y abre el explorador de API de Google de nuevo. Ingresa dlp.projects.dlpJobs.get en el cuadro de búsqueda y haz clic en el método dlp.projects.dlpJobs.get. Haz lo siguiente en la página del método:

  1. Asegúrate de que el conmutador de Autorizar las solicitudes que usan OAuth 2.0 esté activado. Si no, haz clic para autorizar el nivel de acceso predeterminado a Cloud DLP.
  2. En el cuadro nombre, escribe el nombre del trabajo de la respuesta JSON a la solicitud de análisis, el cual tiene la siguiente forma:
    projects/[PROJECT_ID]/dlpJobs/[JOB_ID]
    El ID del trabajo tiene la forma i-1234567890123456789.
  3. Para enviar la solicitud, haz clic en Ejecutar.

Si la clave "state" del objeto JSON de respuesta indica que el trabajo está "DONE", significa que el trabajo finalizó.

Para ver el resto de la respuesta JSON, desplázate hacia abajo en la página. Bajo "result" > "infoTypeStats", cada tipo de información enumerado debe tener un "count" correspondiente. Si no, vuelve y verifica que ingresaste el JSON de forma correcta y que la ruta de acceso o la ubicación de tus datos sean correctas.

Una vez finalizado el trabajo de análisis, puedes continuar con la sección de Cloud Security Command Center en esta guía.

Ve los resultados de análisis de Cloud DLP en Cloud SCC

Debido a que le indicaste a Cloud DLP que envíe sus resultados de trabajo de análisis a Cloud SCC, ahora puedes ver un resumen del análisis en el panel de Cloud SCC:

En la siguiente captura de pantalla del panel principal de Cloud SCC se muestran las dos tarjetas en las que verás datos de Cloud DLP, Findings Summary (resumen de resultados) y Cloud DLP Data Discovery.

Detalle de DLP en CSCC.

Ten en cuenta que el infoType de LOCATION no está listado. Eso ocurre porque no hubo coincidencias de Cloud DLP en el infoType de LOCATION. Los resultados de Cloud DLP se suman y se muestran junto con otras cifras en el Resumen de resultados y se enumeran por tipo de información bajo Descubrimiento de datos de Cloud DLP.

Resumen de resultados

Si se envían resultados a Cloud DLP, se mostrará una fila con Cloud DLP Data Discovery de origen. Si esa fila no aparece en el Resumen de resultados, Cloud DLP no envió ningún resultado a Cloud SCC.

Cloud DLP Data Discovery

Cualquier infoTypes que coincidió con éxito con los datos analizados se mostrará en la columna Resultados. El número en la columna Cuenta corresponde con el número de análisis que encontraron datos que coincidían con ese infoType. Si un trabajo analiza varias fuentes, la cuenta puede incluir cada fuente analizada.

Para ver resultados individuales de una categoría específica, haz clic en una fila. Por ejemplo, EMAIL_ADDRESS. Una lista de cada análisis en el que se encontró al menos una EMAIL_ADDRESS se muestra en la pestaña Findings (resultados), como se muestra en la siguiente captura de pantalla:

Detalle de DLP en CSCC.

Si quieres ver detalles sobre un resultado específico, haz clic en una de las filas de EMAIL_ADDRESS para ver la página de detalles, tal como se muestra a continuación:

Detalle de DLP en CSCC.

Limpieza

Para evitar que se apliquen cargos a tu cuenta de GCP por los recursos utilizados en este tema, realiza los siguientes pasos:

Borra el proyecto

La manera más fácil de eliminar la facturación es borrar el proyecto que creaste con las instrucciones que se proporcionan en este tema.

Para borrar el proyecto, haz lo siguiente:

  1. En GCP Console, dirígete a la página Proyectos.

    Ir a la página Proyectos

  2. En la lista de proyectos, selecciona el que quieres borrar y haz clic en Delete project (Borrar proyecto). Después de seleccionar la casilla de verificación junto al nombre del proyecto, haz clic en Borrar proyecto
  3. En el cuadro de diálogo, escribe el ID del proyecto y haz clic en Cerrar para borrar el proyecto.

Si borras tu proyecto con este método, el trabajo de Cloud DLP y el depósito de Cloud Storage que creaste también se borrarán. No es necesario seguir las instrucciones en las siguientes secciones.

Borra el trabajo de Cloud DLP

Si analizas tus propios datos, solo necesitas borrar el trabajo de análisis de inspección que acabas de crear:

  1. Abre el explorador de API de Google. Ingresa dlp.projects.dlpJobs.delete en el cuadro de búsqueda y haz clic en el método dlp.projects.dlpJobs.get.
  2. En la página del método, asegúrate de que el conmutador de Autorizar las solicitudes que usan OAuth 2.0 esté activado. Si no, haz clic para autorizar el nivel de acceso predeterminado a Cloud DLP.
  3. En el cuadro nombre, escribe el nombre del trabajo de la respuesta JSON a la solicitud de análisis, el cual tiene la siguiente forma:
    projects/[PROJECT_ID]/dlpJobs/[JOB_ID]
    El ID del trabajo tiene la forma i-1234567890123456789.

Si creaste trabajos de análisis adicionales o solo quieres asegurarte de que borraste el trabajo con éxito, puedes enumerar todos los trabajos existentes. Haz clic en la flecha hacia atrás y luego en el método dlp.projects.dlpJobs.list. En el cuadro principal, escribe el identificador del proyecto de la siguiente forma:

projects/[PROJECT_ID]
Haz clic en Ejecutar. Si no encuentras trabajos en la respuesta, es que borraste todos los trabajos. Si los hay, repite el procedimiento de eliminación anterior para esos trabajos.

Cómo borrar el depósito de Cloud Storage

Si creas un depósito nuevo de Cloud Storage para almacenar datos de muestra, borra el depósito:

  1. Abre el navegador de Cloud Storage.

    Abrir Cloud Storage

  2. En el navegador de Cloud Storage, selecciona la casilla de verificación junto al nombre del depósito que creaste y haz clic en Borrar.

Pasos siguientes

¿Te sirvió esta página? Envíanos tu opinión:

Enviar comentarios sobre…

Cloud Data Loss Prevention