Envía los resultados del análisis de Cloud DLP a Security Command Center

En esta guía, se explica cómo usar Cloud Data Loss Prevention (DLP) para analizar recursos específicos de Google Cloud y enviar datos a Security Command Center.

Security Command Center te permite recopilar datos sobre las amenazas de seguridad, identificarlas y tomar medidas antes de que causen daños o pérdidas empresariales. Gracias a Security Command Center, puedes realizar varias acciones relacionadas con la seguridad desde un único panel centralizado.

Cloud DLP se integra de forma nativa en Security Command Center. Cuando usas una acción de Cloud DLP con el fin de analizar tus repositorios de almacenamiento de Google Cloud en busca de datos sensibles, esta puede enviar los resultados directamente al panel de Security Command Center para que se muestren junto a otras métricas de seguridad.

En el siguiente video, se muestra cómo configurar Cloud DLP para enviar resultados de análisis a Security Command Center. Los pasos de configuración también se describen con más detalle más adelante en esta guía.

Si completas los pasos de esta guía, realizarás las siguientes acciones:

  • Habilitarás Security Command Center y Cloud DLP.
  • Configurarás Cloud DLP para que analice un repositorio de almacenamiento de Google Cloud, ya sea un bucket de Cloud Storage, una tabla de BigQuery o un tipo de Datastore.
  • Configurarás un análisis de Cloud DLP para que envíe los resultados del análisis a Security Command Center.

Para obtener más información sobre Security Command Center, consulta la documentación de Security Command Center.

Costos

En las instrucciones de este tema, se usan componentes facturables de Google Cloud, incluidos los siguientes:

  • Cloud DLP
  • Cloud Storage
  • BigQuery
  • Datastore

Usa la calculadora de precios para generar una estimación de los costos según el uso previsto.

Los usuarios nuevos de Google Cloud pueden ser aptos para una prueba gratuita.

Antes de comenzar

Antes de enviar los resultados del análisis de Cloud DLP a Security Command Center, debes hacer lo siguiente:

  • Paso 1: Configura los repositorios de almacenamiento de Google Cloud
  • Paso 2: Configura las funciones de administración de identidades y accesos (IAM).
  • Paso 3: Habilita Security Command Center
  • Paso 4: Habilita Cloud DLP
  • Paso 5: Habilita Cloud DLP como fuente de seguridad para Security Command Center

Los pasos para configurar estos componentes se describen en las secciones a continuación.

Paso 1: Configura los repositorios de almacenamiento de Google Cloud

Elige si deseas analizar tu propio repositorio de almacenamiento de Google Cloud o uno de ejemplo. En este tema, se proporcionan instrucciones para ambas situaciones.

Analiza tus propios datos

Si deseas analizar el bucket de Cloud Storage, la tabla de BigQuery o el tipo de Datastore existentes, primero debes abrir el proyecto en el que se encuentra el repositorio. En los pasos posteriores, habilitarás Security Command Center y Cloud DLP para este proyecto y su organización.

Después de abrir el proyecto que quieras usar, continúa con el paso 2 para configurar algunas funciones de IAM.

Analiza datos de muestra

Si deseas analizar un conjunto de datos de prueba o “ficticio”, primero asegúrate de tener una cuenta de facturación configurada y, luego, crea un proyecto nuevo. Para completar este paso, debes tener la función de Creador de proyectos de IAM. Obtén más información sobre las funciones de IAM.

  1. Configura una cuenta de facturación si aún no tienes una.

    Aprende a habilitar la facturación

  2. Ve a la página Proyecto nuevo en Cloud Console.

    Página de proyecto nuevo

  3. En la lista desplegable Cuenta de facturación, selecciona la cuenta de facturación en la que se debe facturar el proyecto.
  4. En la lista desplegable Organización, selecciona la organización en la que deseas crear el proyecto.
  5. En la lista desplegable Ubicación, selecciona la organización o la carpeta en la que deseas crear el proyecto.

A continuación, descarga y almacena los datos de muestra:

  1. Ve al repositorio de instructivos de Cloud Functions en GitHub.
  2. Haz clic en Clonar o descargar y, luego, en Descargar ZIP.
  3. Descomprime el archivo ZIP que descargaste.
  4. Ve a la página Navegador de Storage en Cloud Console.

    Ir a Cloud Storage

  5. Haga clic en Crear bucket .
  6. En la página Crear bucket , asígnale un nombre único al bucket y haz clic en Crear.
  7. En la página Bucket details (Detalles del depósito), haz clic en Upload folder (Subir carpeta).

  8. Ve a la carpeta dlp-cloud-functions-tutorials-master que descomprimiste antes, ábrela y selecciona la carpeta sample_data. Haz clic en Upload (Subir) para subir el contenido de la carpeta a Cloud Storage.

Ten en cuenta el nombre que le asignaste al bucket de Cloud Storage para usarlo más adelante. Una vez que se complete la carga del archivo, estarás listo para continuar.

Paso 2: Define las funciones de IAM

Si quieres usar Cloud DLP para enviar resultados de análisis a Security Command Center, necesitas las funciones de IAM de Administrador del centro de seguridad y de Editor de trabajos de DLP. En esta sección, se describe cómo agregar las funciones. Para completar esta sección, debes tener la función de IAM Administrador de la organización.

  1. Ve a la página IAM y administración de Cloud Console.

    Ir a la página IAM y administración

  2. En Miembro, haz clic en Editar junto a tu nombre de usuario.
  3. En el panel Editar permisos, haz clic en Agregar otra función.
  4. En la lista desplegable Seleccionar una función, selecciona Security Command Center > Administrador del centro de seguridad.
  5. A continuación, en la misma lista desplegable, selecciona Cloud DLP > Editor de trabajos de DLP y haz clic en Guardar.

Ahora tienes las funciones de Administrador del centro de seguridad y Editor de trabajos de DLP para tu organización. Estas funciones te permitirán completar las tareas del resto de este tema.

Paso 3: Habilita Security Command Center

  1. Ve a la página de Security Command Center en Cloud Console.

    Ir a la página Security Command Center

  2. En la lista desplegable Organización, selecciona la organización para la que deseas habilitar Cloud DLP y, luego, haz clic en Seleccionar.

  3. En la página Habilitar descubrimiento de recursos que aparece, selecciona Todos los proyectos actuales y futuros y, luego, haz clic en Habilitar. Se debería mostrar un mensaje que indica que Cloud DLP está comenzando el descubrimiento de recursos.

Una vez que se complete el descubrimiento de recursos, Cloud DLP mostrará tus recursos de Google Cloud compatibles. Es posible que el descubrimiento de recursos tome unos minutos y que debas actualizar la página para que se muestren los recursos.

Para obtener más información sobre cómo habilitar Security Command Center, consulta la documentación de Security Command Center.

Paso 4: Habilita Cloud DLP

Habilita Cloud DLP para el proyecto que deseas analizar. El proyecto debe estar dentro de la misma organización para la que habilitaste Security Command Center. Para habilitar Cloud DLP mediante Cloud Console, haz lo siguiente:

  1. Ve a la página de Cloud Console para registrar tu aplicación en Cloud DLP.

    Ir a la página Registra tu aplicación en Cloud DLP

  2. En la lista desplegable Crear un proyecto, selecciona el proyecto del paso 1 de esta guía. El proyecto debe contener el bucket de Cloud Storage, la tabla de BigQuery o el tipo de Datastore que deseas analizar.
  3. Después de seleccionar el proyecto que deseas usar, haz clic en Continuar.

Cloud DLP ya se encuentra habilitado para tu proyecto.

Paso 5: Habilita Cloud DLP como fuente de seguridad para Security Command Center

Para ver los resultados del análisis de Cloud DLP en el panel Security Command Center, habilita Cloud DLP como fuente de seguridad:

  1. Ve a la página Fuentes de seguridad de Security Command Center en Cloud Console.

    Ir a la página Fuentes de seguridad

  2. Selecciona la organización para la que deseas habilitar Cloud DLP como fuente de seguridad.
  3. En Habilitado, haz clic en el control deslizante horizontal para habilitar Descubrimiento de datos de Cloud DLP.

Los resultados de Cloud DLP se muestran en la página Resultados del panel de Security Command Center. Para obtener más información sobre cómo administrar las fuentes de seguridad de Security Command Center, consulta la documentación de Security Command Center.

Configura y ejecuta un análisis de inspección de Cloud DLP

En esta sección, configurarás y ejecutarás un trabajo de análisis de Cloud DLP.

El trabajo de inspección que configurarás en esta sección le indica a Cloud DLP que analice los datos de muestra almacenados en Cloud Storage que se describen en el paso previo de esta página, Configura repositorios de almacenamiento, o tus propios datos almacenados en Cloud Storage, Datastore o BigQuery. También debes indicarle a Cloud DLP que guarde los resultados del análisis en Security Command Center en la configuración del trabajo que especifiques.

Paso 1: Anota tu identificador de proyecto

  1. Ve a Cloud Console.

    Ir a Cloud Console

  2. Haz clic en Seleccionar.
  3. En la lista desplegable Seleccionar de, selecciona la organización para la que habilitaste Security Command Center.
  4. En ID, copia el ID del proyecto que contiene los datos que deseas analizar. Este es el proyecto que se describe en el paso previo de esta página, Configura repositorios de almacenamiento.
  5. En Nombre, haz clic en el proyecto para seleccionarlo.

Paso 2: Abre el explorador de API y configura el trabajo

  1. Para ir al Explorador de API en la página de referencia del método dlpJobs.create, haz clic en el siguiente botón:

    Abrir Explorador de API

  2. En el cuadro de diálogo principal, ingresa lo siguiente, en el que PROJECT_ID es el ID del proyecto que anotaste en el paso 1:
    projects/PROJECT_ID

Reemplaza el contenido del campo Cuerpo de la solicitud por el siguiente JSON para el tipo de datos que deseas usar: datos de muestra en un bucket de Cloud Storage o tus propios datos almacenados en Cloud Storage, Datastore o BigQuery.

Datos de muestra

Si creaste un bucket de Cloud Storage para almacenar datos de muestra como se describe en el paso previo de esta página, Configura repositorios de almacenamiento, copia el siguiente JSON y pégalo en el campo Cuerpo de la solicitud. Reemplaza BUCKET_NAME por el nombre que le asignaste a tu bucket de Cloud Storage:

{
  "inspectJob":{
    "storageConfig":{
      "cloudStorageOptions":{
        "fileSet":{
          "url":"gs://BUCKET_NAME/**"
        }
      }
    },
    "inspectConfig":{
      "infoTypes":[
        {
          "name":"EMAIL_ADDRESS"
        },
        {
          "name":"PERSON_NAME"
        },
        {
          "name": "LOCATION"
        },
        {
          "name":"PHONE_NUMBER"
        }
      ],
      "includeQuote":true,
      "minLikelihood":"UNLIKELY",
      "limits":{
        "maxFindingsPerRequest":100
      }
    },
    "actions":[
      {
        "publishSummaryToCscc":{

        }
      }
    ]
  }
}

Datos de Cloud Storage

Para analizar tu propio depósito de Cloud Storage, copia el siguiente JSON y pégalo en el campo Cuerpo de la solicitud.

Reemplaza PATH_NAME por la ruta de acceso a la ubicación que deseas analizar. Para analizar de forma recurrente, coloca dos asteriscos al final de la ruta de acceso, por ejemplo, gs://path_to_files/**. Para analizar solo un directorio específico, coloca un asterisco al final de la ruta de acceso, por ejemplo, gs://path_to_files/*.

{
  "inspectJob":{
    "storageConfig":{
      "cloudStorageOptions":{
        "fileSet":{
          "url":"gs://PATH_NAME"
        }
      }
    },
    "inspectConfig":{
      "infoTypes":[
        {
          "name":"EMAIL_ADDRESS"
        },
        {
          "name":"PERSON_NAME"
        },
        {
          "name": "LOCATION"
        },
        {
          "name":"PHONE_NUMBER"
        }
      ],
      "includeQuote":true,
      "minLikelihood":"UNLIKELY",
      "limits":{
        "maxFindingsPerRequest":100
      }
    },
    "actions":[
      {
        "publishSummaryToCscc":{

        }
      }
    ]
  }
}

Para obtener más información sobre las opciones de análisis disponibles, consulta Cómo inspeccionar datos sensibles en almacenamiento y bases de datos.

Datos de Datastore

Para analizar tus propios datos de Datastore, copia el siguiente JSON y pégalo en el campo Cuerpo de la solicitud.

Reemplaza DATASTORE_KIND por el nombre del tipo de Datastore. También puedes reemplazar NAMESPACE_ID y PROJECT_ID por los identificadores del proyecto y el espacio de nombres, respectivamente. O bien, puedes quitar el "partitionID" por completo si lo deseas.

{
  "inspectJob":{
    "storageConfig":{
      "datastoreOptions":{
        "kind":{
          "name":"DATASTORE_KIND"
        },
        "partitionId":{
          "namespaceId":"NAMESPACE_ID",
          "projectId":"PROJECT_ID"
        }
      }
    },
    "inspectConfig":{
      "infoTypes":[
        {
          "name":"EMAIL_ADDRESS"
        },
        {
          "name":"PERSON_NAME"
        },
        {
          "name": "LOCATION"
        },
        {
          "name":"PHONE_NUMBER"
        }
      ],
      "includeQuote":true,
      "minLikelihood":"UNLIKELY",
      "limits":{
        "maxFindingsPerRequest":100
      }
    },
    "actions":[
      {
        "publishSummaryToCscc":{

        }
      }
    ]
  }
}

Para obtener más información sobre las opciones de análisis disponibles, consulta Cómo inspeccionar datos sensibles en almacenamiento y bases de datos.

Datos de BigQuery

Para analizar tu propia tabla de BigQuery, copia el siguiente JSON y pégalo en el campo Cuerpo de la solicitud.

Reemplaza PROJECT_ID, BIGQUERY_DATASET_NAME y BIGQUERY_TABLE_NAME por el ID del proyecto y los nombres de los conjuntos de datos y las tablas de BigQuery, respectivamente.

{
  "inspectJob":
  {
    "storageConfig":
    {
      "bigQueryOptions":
      {
        "tableReference":
        {
          "projectId": "PROJECT_ID",
          "datasetId": "BIGQUERY_DATASET_NAME",
          "tableId": "BIGQUERY_TABLE_NAME"
        }
      }
    },
    "inspectConfig":
    {
      "infoTypes":
      [
        {
          "name": "EMAIL_ADDRESS"
        },
        {
          "name": "PERSON_NAME"
        },
        {
          "name": "LOCATION"
        },
        {
          "name": "PHONE_NUMBER"
        }
      ],
      "includeQuote": true,
      "minLikelihood": "UNLIKELY",
      "limits":
      {
        "maxFindingsPerRequest": 100
      }
    },
    "actions":
    [
      {
        "publishSummaryToCscc":
        {
        }
      }
    ]
  }
}

Para obtener más información sobre las opciones de análisis disponibles, consulta Cómo inspeccionar datos sensibles en almacenamiento y bases de datos.

Paso 3: Ejecuta la solicitud para iniciar el trabajo de análisis

Después de haber seguido los pasos anteriores para configurar el trabajo, haz clic en Ejecutar a fin de enviar la solicitud. Si la solicitud es exitosa, aparecerá una respuesta debajo de la solicitud con un código de éxito y un objeto JSON que indica el estado del trabajo de Cloud DLP que acabas de crear.

Verifica el estado del análisis de inspección de Cloud DLP

La respuesta a tu solicitud de análisis incluye el ID del trabajo de análisis de inspección como la clave "name" y el estado actual del trabajo de análisis de inspección como la clave "state". Debido a que acabas de enviar la solicitud, el estado del trabajo en ese momento es "PENDING".

Después de enviar la solicitud de análisis, el análisis de tu contenido comienza de forma inmediata.

Para verificar el estado del trabajo de análisis de inspección, haz lo siguiente:

  1. Para ir al Explorador de API en la página de referencia del método dlpJobs.get, haz clic en el siguiente botón:

    Abrir Explorador de API

  2. En el cuadro de texto name, escribe el nombre del trabajo de la respuesta JSON a la solicitud de análisis con el siguiente formato:
    projects/PROJECT_ID/dlpJobs/JOB_ID
    El ID del trabajo tiene el formato i-1234567890123456789.
  3. Para enviar la solicitud, haz clic en Ejecutar.

Si la clave "state" del objeto JSON de respuesta indica que el trabajo se encuentra "DONE", significa que el trabajo de análisis finalizó.

Para ver el resto de la respuesta JSON, desplázate hacia abajo en la página. En "result" > "infoTypeStats", cada tipo de información enumerado debe tener un valor "count" correspondiente. De lo contrario, asegúrate de haber ingresado el JSON de forma adecuada y de que la ruta de acceso o la ubicación de tus datos sea correcta.

Una vez que se finalice el trabajo de análisis, podrás avanzar a la siguiente sección de esta guía para ver los resultados del análisis en Security Command Center.

Visualiza los resultados del análisis de Cloud DLP en Security Command Center

Debido a que le indicaste a Cloud DLP que envíe los resultados del trabajo de análisis de inspección a Security Command Center, ahora puedes ver un resumen del análisis en el panel de Security Command Center:

  1. Ve a la página de Security Command Center en Cloud Console.

    Ir a la página Security Command Center

  2. Selecciona la organización para la que habilitaste Security Command Center antes.

En la siguiente captura de pantalla del panel principal de Security Command Center, se muestran las dos tarjetas en las que aparecen los datos de Cloud DLP: Findings Summary (Resumen de resultados) y Cloud DLP Data Discovery (Descubrimiento de datos de Cloud DLP).

Ten en cuenta que el Infotipo LOCATION no está en la lista. Eso ocurre porque no hubo coincidencias de Cloud DLP en el infoType de LOCATION. Los resultados de Cloud DLP se suman y se muestran junto con otras cifras en Findings Summary (Resumen de resultados). Los resultados también se enumeran por tipo de información en Cloud DLP Data Discovery (Descubrimiento de datos de Cloud DLP).

Resumen de resultados

Si se envían resultados a Cloud DLP, se mostrará una fila con el Cloud DLP Data Discovery (Descubrimiento de datos de Cloud DLP) de origen. Si esa fila no se muestra en Findings Summary (Resumen de resultados), significa que Cloud DLP no envió ningún resultado a Security Command Center.

Cloud DLP Data Discovery

Cualquier infoTypes que coincida de forma exitosa con los datos analizados se incluirá en la lista de la columna Finding (Resultado). El número en la columna Count (Recuento) se corresponde con la cantidad de análisis que encontraron datos que coincidan con ese infoType. Si un trabajo analiza varias fuentes, puede que el recuento incluya cada fuente analizada.

Para ver los resultados individuales de una categoría específica, haz clic en una fila, por ejemplo, EMAIL_ADDRESS. En la pestaña Findings (Resultados), se muestra una lista de cada análisis en el que se encontró al menos un valor EMAIL_ADDRESS, como se muestra en la siguiente captura de pantalla:

Una lista de resultados de EMAIL_ADDRESS con columnas para resourceName, eventTime, firstDiscovered y parent.

Si deseas mostrar los detalles de un resultado específico, haz clic en una de las filas de EMAIL_ADDRESS para ver la página de detalles, como se muestra en la siguiente captura de pantalla:

Detalles de resultados con una lista de atributos asociados y un recuento de propiedades de origen.

Realiza una limpieza

Para evitar que se generen costos en tu cuenta de Google Cloud por los recursos que se usaron en este tema, sigue estos pasos:

Borra el proyecto

La manera más fácil de eliminar la facturación es borrar el proyecto que creaste con las instrucciones que se proporcionan en este tema.

  1. En Cloud Console, ve a la página Administrar recursos.

    Ir a Administrar recursos

  2. En la lista de proyectos, elige el proyecto que quieres borrar y haz clic en Borrar.
  3. En el diálogo, escribe el ID del proyecto y, luego, haz clic en Cerrar para borrar el proyecto.

Si borras tu proyecto mediante este método, también se borran el trabajo de Cloud DLP y el bucket de Cloud Storage que creaste. No es necesario seguir las instrucciones en las siguientes secciones.

Borra el trabajo de Cloud DLP

Si analizas tus propios datos, solo necesitas borrar el trabajo de análisis de inspección que acabas de crear:

  1. Para ir al Explorador de API en la página de referencia del método dlpJobs.delete, haz clic en el siguiente botón:

    Abrir Explorador de API

  2. En el cuadro name, escribe el nombre del trabajo de la respuesta JSON a la solicitud de análisis, el cual tiene el siguiente formato:
    projects/PROJECT_ID/dlpJobs/JOB_ID
    El ID del trabajo tiene el formato i-1234567890123456789.

Si creaste trabajos de análisis adicionales o si deseas asegurarte de haber borrado el trabajo de forma adecuada, puedes enumerar todos los trabajos existentes:

  1. Para ir al Explorador de API en la página de referencia del método dlpJobs.list, haz clic en el siguiente botón:

    Abrir Explorador de API

  2. En el cuadro parent, escribe el identificador del proyecto en el siguiente formato:
    projects/PROJECT_ID
  3. Haz clic en Ejecutar.

Si no se enumeran trabajos en la respuesta, significa que borraste todos los trabajos. Si se enumeran trabajos en la respuesta, repite el procedimiento de eliminación anterior para esos trabajos.

Borra el bucket de Cloud Storage

Si creaste un bucket de Cloud Storage nuevo para almacenar datos de muestra, bórralo:

  1. Abre el navegador de Cloud Storage.

    Abrir Cloud Storage

  2. En el navegador de Cloud Storage, selecciona la casilla de verificación junto al nombre del depósito que creaste y haz clic en Borrar.

¿Qué sigue?