Esta página foi traduzida pela API Cloud Translation.
Switch to English

Como enviar resultados de verificação do Cloud DLP para o Security Command Center

Neste guia, você verá como usar o Cloud Data Loss Prevention (DLP) para verificar recursos específicos do Google Cloud e enviar dados para o Security Command Center.

O Security Command Center permite coletar dados sobre, identificar e agir sobre ameaças de segurança antes que elas possam causar danos ou perdas aos negócios. Com o Security Command Center, é possível executar várias ações relacionadas à segurança em um único painel centralizado.

O Cloud DLP se integra nativamente ao Security Command Center. Quando você usa uma ação do Cloud DLP para verificar dados confidenciais nos repositórios de armazenamento do Google Cloud, ela pode enviar os resultados diretamente ao painel do Security Command Center para que eles sejam exibidos junto com outras métricas de segurança.

O vídeo a seguir mostra como configurar o Cloud DLP para enviar resultados de verificação para o Security Command Center. As etapas de configuração também são descritas em mais detalhes posteriormente neste guia.

Ao concluir as etapas deste guia, você será capaz de:

  • ativar o Security Command Center e o Cloud DLP;
  • configurar o Cloud DLP para verificar um repositório de armazenamento do Google Cloud: seja um bucket do Cloud Storage, uma tabela do BigQuery ou um tipo do Datastore;
  • configurar uma verificação do Cloud DLP para enviar os resultados da verificação ao Security Command Center.

Para mais informações sobre o Security Command Center, consulte a documentação do Security Command Center.

Custos

Siga as instruções neste tópico para usar componentes faturáveis do Google Cloud, incluindo:

  • Cloud DLP
  • Cloud Storage
  • BigQuery
  • Datastore

Use a calculadora de preços para gerar uma estimativa de custo com base no uso previsto.

Novos usuários do Google Cloud podem estar qualificados para uma avaliação gratuita.

Antes de começar

Antes de enviar os resultados da verificação do Cloud DLP ao Security Command Center, você precisa fazer o seguinte:

  • Etapa 1: definir repositórios de armazenamento do Google Cloud
  • Etapa 2: definir papéis de gerenciamento de identidade e acesso (IAM, na sigla em inglês)
  • Etapa 3: ativar o Security Command Center
  • Etapa 4: ativar o Cloud DLP
  • Etapa 5: ativar o Cloud DLP como uma fonte de segurança para o Security Command Center.

As etapas para configurar esses componentes estão descritas nas seções abaixo.

Etapa 1: definir repositórios de armazenamento do Google Cloud

Escolha se você quer verificar seu próprio repositório de armazenamento do Google Cloud ou algum outro exemplo. Esse tópico fornece instruções para ambos os cenários.

Verificar seus próprios dados

Se quiser verificar um bucket do Cloud Storage, uma tabela do BigQuery ou um tipo do Datastore que você já tem, primeiro abra o projeto onde está o repositório. Nas etapas subsequentes, você ativará o Security Command Center e o Cloud DLP para este projeto e a organização dele.

Depois de abrir o projeto desejado, prossiga para a Etapa 2 para definir alguns papéis do IAM.

Verificar os dados de amostra

Se você quiser verificar um conjunto de dados fictício ou de teste, primeiro verifique se tem uma conta de faturamento configurada e, em seguida, crie um novo projeto. Para concluir essa etapa, você precisa ter o papel de Criador de projetos do IAM. Saiba mais sobre papéis do IAM.

  1. Configure uma conta de faturamento, caso ainda não tenha uma.

    Saiba como ativar o faturamento

  2. Acesse a página Novo projeto no Console do Cloud.

    Página "Novo projeto"

  3. Na lista suspensa Conta de faturamento, selecione a conta de faturamento em que o projeto será cobrado.
  4. Na lista suspensa Organização, selecione a organização em que você quer criar o projeto.
  5. Na lista suspensa Local, selecione a organização ou a pasta em que você quer criar o projeto.

Em seguida, faça o download dos dados de amostra e armazene-os:

  1. Acesse o repositório de tutoriais do Cloud Functions no GitHub.
  2. Clique em Clonar ou fazer o download e, em seguida, clique em Fazer o download do ZIP.
  3. Descompacte o arquivo zip que você baixou.
  4. Acesse a página Navegador do Storage no Console do Cloud.

    Acesse o Cloud Storage

  5. Clique em Create bucket.
  6. Na página Criar um bucket, atribua um nome exclusivo ao bucket e clique em Criar.
  7. Na página Detalhes do bucket, clique em Fazer upload da pasta.

  8. Acesse a pasta dlp-cloud-functions-tutorials-master que você descompactou anteriormente, abra-a e selecione a pasta sample_data. Clique em Fazer upload para fazer upload do conteúdo da pasta no Cloud Storage.

Anote o nome que você atribuiu ao bucket do Cloud Storage para uso posterior. Quando o upload do arquivo for concluído, você estará pronto para continuar.

Etapa 2: definir papéis do IAM

Para usar o Cloud DLP para enviar os resultados da verificação para o Security Command Center, você precisa dos papéis de Administrador da Central de segurança e de Editor de jobs do DLP do IAM. Nesta seção, você aprenderá como adicionar os papéis. Para concluir esta seção, é preciso ter o papel de Administrador da organização do IAM.

  1. Acesse a página IAM e administrador no Console do Cloud.

    Acesse a página "IAM e administrador"

  2. Em Membro, clique em Editar ao lado do seu nome de usuário.
  3. No painel Editar permissões, clique em Adicionar outro papel.
  4. Na lista suspensa Selecionar um papel, selecione Security Command Center > Administrador da Central de segurança.
  5. Em seguida, na mesma lista suspensa, selecione Cloud DLP > Editor de jobs do DLP e clique em Salvar.

Agora você tem os papéis "Editor de jobs do DLP" e "Administrador da Central de segurança" da sua organização. Eles possibilitarão que você conclua as tarefas descritas no restante deste tópico.

Etapa 3: ativar o Security Command Center

  1. Acesse a página Security Command Center no Console do Cloud.

    Acessar a página Security Command Center

  2. Na lista suspensa Organização, selecione a organização para a qual você quer ativar o Cloud DLP e clique em Selecionar.

  3. Na página Ativar descoberta de recursos exibida, selecione Todos os projetos atuais e futuros e clique em Ativar. Uma mensagem precisa mostrar que o Cloud DLP está iniciando a descoberta de recursos.

Após a conclusão da descoberta de recursos, o Cloud DLP exibirá os recursos compatíveis do Google Cloud. A descoberta de recursos pode levar alguns minutos e talvez seja necessário atualizar a página para exibi-los.

Para mais informações sobre como ativar o Security Command Center, consulte a documentação do Security Command Center.

Etapa 4: ativar o Cloud DLP

Ative o Cloud DLP para o projeto a ser verificado. O projeto precisa estar na mesma organização para a qual você ativou o Security Command Center. Para ativar o Cloud DLP usando o Console do Cloud:

  1. Acesse a página do Console do Cloud para Registrar seu aplicativo no Cloud DLP.

    Acessar a página "Registrar seu aplicativo no Cloud DLP"

  2. Na lista suspensa Criar um projeto, selecione o projeto na Etapa 1 deste guia. O projeto precisa conter o bucket do Cloud Storage, a tabela do BigQuery ou o tipo do Datastore que você quer verificar.
  3. Depois de selecionar o projeto que você quer usar, clique em Continuar.

O Cloud DLP agora está ativado para seu projeto.

Etapa 5: ativar o Cloud DLP como uma fonte de segurança para o Security Command Center

Para ver as descobertas da verificação do Cloud DLP no painel do Security Command Center, ative o Cloud DLP como uma fonte de segurança:

  1. Acesse a página Fontes de segurança do Security Command Center no Console do Cloud.

    Acesse a página "Fontes de segurança"

  2. Selecione a organização para a qual você quer ativar o Cloud DLP como fonte de segurança.
  3. Em Ativado, clique no controle deslizante horizontal para ativar o Cloud DLP Data Discovery.

As descobertas do Cloud DLP são exibidas na página Descobertas, no painel do Security Command Center. Para mais informações sobre como gerenciar fontes de segurança do Security Command Center, consulte a documentação do Security Command Center.

Configurar e executar a verificação de inspeção do Cloud DLP

Nesta seção, você configura e executa um job de verificação do Cloud DLP.

O job de inspeção configurado aqui instrui o Cloud DLP a verificar os dados de amostra armazenados no Cloud Storage, descritos anteriormente na etapa Definir repositórios de armazenamento desta página, ou seus próprios dados armazenados no Cloud Storage, no Datastore ou no BigQuery. A configuração do job especificada é também onde você instrui o Cloud DLP a salvar os resultados da verificação no Security Command Center.

Etapa 1: anotar o identificador de projeto

  1. Acesse o Console do Cloud.

    Acesse Console do Cloud

  2. Clique em Selecionar.
  3. Na lista suspensa Selecionar a partir de, selecione a organização para a qual você ativou o Security Command Center.
  4. Em ID, copie o ID do projeto que contém os dados que você quer verificar. Este é o projeto descrito na etapa Definir repositórios de armazenamento anteriormente nesta página.
  5. Em Nome, clique no projeto para selecioná-lo.

Etapa 2: abrir o API Explorer e configurar o job

  1. Acesse a API Explorer na página de referência do método dlpJobs.create clicando no botão a seguir:

    Abra a API Explorer

  2. Na caixa Pai, digite o seguinte, em que PROJECT_ID é o ID do projeto que você anotou anteriormente na Etapa 1:
    projects/PROJECT_ID

Substitua o conteúdo do campo Corpo da solicitação pelo JSON a seguir para o tipo de dado que você quer usar: dados de amostra em um bucket do Cloud Storage ou seus próprios dados armazenados no Cloud Storage, Datastore ou BigQuery.

Dados de amostra

Se você criou um bucket do Cloud Storage para armazenar dados de amostra, conforme descrito anteriormente na etapa Definir repositórios de armazenamento desta página, copie o JSON a seguir e cole-o no campo Corpo da solicitação. Substitua BUCKET_NAME pelo nome dado ao bucket do Cloud Storage:

{
  "inspectJob":{
    "storageConfig":{
      "cloudStorageOptions":{
        "fileSet":{
          "url":"gs://BUCKET_NAME/**"
        }
      }
    },
    "inspectConfig":{
      "infoTypes":[
        {
          "name":"EMAIL_ADDRESS"
        },
        {
          "name":"PERSON_NAME"
        },
        {
          "name": "LOCATION"
        },
        {
          "name":"PHONE_NUMBER"
        }
      ],
      "includeQuote":true,
      "minLikelihood":"UNLIKELY",
      "limits":{
        "maxFindingsPerRequest":100
      }
    },
    "actions":[
      {
        "publishSummaryToCscc":{

        }
      }
    ]
  }
}

Dados do Cloud Storage

Para verificar o bucket do Cloud Storage, copie o JSON a seguir e cole-o no campo Corpo da solicitação.

Substitua PATH_NAME pelo caminho do local que você quer verificar. Para verificar de maneira recursiva, insira dois asteriscos no final do caminho, por exemplo, gs://path_to_files/**. Para verificar apenas um diretório específico sem se aprofundar, finalize o caminho com um asterisco, por exemplo, gs://path_to_files/*.

{
  "inspectJob":{
    "storageConfig":{
      "cloudStorageOptions":{
        "fileSet":{
          "url":"gs://PATH_NAME"
        }
      }
    },
    "inspectConfig":{
      "infoTypes":[
        {
          "name":"EMAIL_ADDRESS"
        },
        {
          "name":"PERSON_NAME"
        },
        {
          "name": "LOCATION"
        },
        {
          "name":"PHONE_NUMBER"
        }
      ],
      "includeQuote":true,
      "minLikelihood":"UNLIKELY",
      "limits":{
        "maxFindingsPerRequest":100
      }
    },
    "actions":[
      {
        "publishSummaryToCscc":{

        }
      }
    ]
  }
}

Para saber mais sobre as opções de verificação disponíveis, consulte Como inspecionar dados confidenciais em armazenamento e bancos de dados.

Dados do Datastore

Para verificar seus próprios dados mantidos no Datastore, copie o JSON a seguir e cole-o no campo Corpo da solicitação.

Substitua DATASTORE_KIND pelo nome do tipo do Datastore. Também é possível substituir NAMESPACE_ID e PROJECT_ID pelos identificadores de namespace e de projeto, respectivamente, ou remover "partitionID" completamente, se preferir.

{
  "inspectJob":{
    "storageConfig":{
      "datastoreOptions":{
        "kind":{
          "name":"DATASTORE_KIND"
        },
        "partitionId":{
          "namespaceId":"NAMESPACE_ID",
          "projectId":"PROJECT_ID"
        }
      }
    },
    "inspectConfig":{
      "infoTypes":[
        {
          "name":"EMAIL_ADDRESS"
        },
        {
          "name":"PERSON_NAME"
        },
        {
          "name": "LOCATION"
        },
        {
          "name":"PHONE_NUMBER"
        }
      ],
      "includeQuote":true,
      "minLikelihood":"UNLIKELY",
      "limits":{
        "maxFindingsPerRequest":100
      }
    },
    "actions":[
      {
        "publishSummaryToCscc":{

        }
      }
    ]
  }
}

Para saber mais sobre as opções de verificação disponíveis, consulte Como inspecionar dados confidenciais em armazenamento e bancos de dados.

Dados do BigQuery

Para verificar sua própria tabela do BigQuery, copie o JSON a seguir e cole-o no campo Corpo da solicitação.

Substitua PROJECT_ID, BIGQUERY_DATASET_NAME e BIGQUERY_TABLE_NAME pelo ID do projeto e pelos nomes do conjunto de dados e da tabela do BigQuery, respectivamente.

{
  "inspectJob":
  {
    "storageConfig":
    {
      "bigQueryOptions":
      {
        "tableReference":
        {
          "projectId": "PROJECT_ID",
          "datasetId": "BIGQUERY_DATASET_NAME",
          "tableId": "BIGQUERY_TABLE_NAME"
        }
      }
    },
    "inspectConfig":
    {
      "infoTypes":
      [
        {
          "name": "EMAIL_ADDRESS"
        },
        {
          "name": "PERSON_NAME"
        },
        {
          "name": "LOCATION"
        },
        {
          "name": "PHONE_NUMBER"
        }
      ],
      "includeQuote": true,
      "minLikelihood": "UNLIKELY",
      "limits":
      {
        "maxFindingsPerRequest": 100
      }
    },
    "actions":
    [
      {
        "publishSummaryToCscc":
        {
        }
      }
    ]
  }
}

Para saber mais sobre as opções de verificação disponíveis, consulte Como inspecionar dados confidenciais em armazenamento e bancos de dados.

Etapa 3: executar a solicitação para iniciar o job de verificação

Depois de configurar o job seguindo as etapas anteriores, clique em Executar para enviar a solicitação. Se a solicitação for bem-sucedida, uma resposta será exibida abaixo da solicitação com um código de sucesso e um objeto JSON, que indica o status do job do Cloud DLP que você acabou de criar.

Verificar o status da verificação de inspeção do Cloud DLP

A resposta à solicitação de verificação inclui o ID do job de verificação de inspeção como a chave "name" e o estado atual do job de verificação de inspeção como a chave "state". Como você acabou de enviar a solicitação, o estado do job nesse momento é "PENDING".

A verificação do conteúdo começa logo após o envio da solicitação.

Para verificar o status do job de verificação de inspeção:

  1. Acesse a API Explorer na página de referência do método dlpJobs.get clicando no botão a seguir:

    Abra a API Explorer

  2. Na caixa Nome, digite o nome do job da resposta JSON à solicitação de verificação no seguinte formato:
    projects/PROJECT_ID/dlpJobs/JOB_ID
    O ID do job está na forma de i-1234567890123456789.
  3. Para enviar a solicitação, clique em Executar.

Se a chave "state" do objeto JSON de resposta indicar que o job é "DONE", o job de verificação foi concluído.

Para ver o restante do JSON de resposta, role a página para baixo. Em "result" > "infoTypeStats", cada tipo de informação listado precisa ter um "count" correspondente. Caso contrário, verifique se você digitou o JSON com precisão e se o caminho ou o local dos dados está correto.

Após a conclusão do job de verificação, é possível passar para a próxima seção deste guia para ver os resultados da verificação no Security Command Center.

Ver resultados da verificação do Cloud DLP no Security Command Center

Como você instruiu o Cloud DLP a enviar os resultados do job de verificação de inspeção para o Security Command Center, agora é possível ver um resumo da verificação no painel do Security Command Center:

  1. Acesse a página Security Command Center no Console do Cloud.

    Acesse a página Security Command Center

  2. Selecione a organização para a qual você ativou o Security Command Center anteriormente.

A captura de tela a seguir do painel principal do Security Command Center mostra os dois cards em que os dados do Cloud DLP são exibidos: Resumo das descobertas e Descoberta de dados do Cloud DLP.

Observe que o infoType LOCATION não está listado. Isso ocorre porque não havia correspondências no Cloud DLP no infoType LOCATION. Em Resumo das descobertas, as descobertas do Cloud DLP são totalizadas e exibidas ao lado de outros números. Além disso, elas são listadas por tipo de informação em Descoberta de dados do Cloud DLP.

Resumo das descobertas

Se alguma descoberta tiver sido enviada ao Cloud DLP, será exibida uma linha com a Descoberta de dados do Cloud DLP de origem. Se essa linha não aparecer no Resumo das descobertas, o Cloud DLP não enviou nenhuma descoberta para o Security Command Center.

Descobertas de dados do Cloud DLP

Todos os infoTypes que tiveram correspondência com os dados verificados são listados na coluna Descobertas. O número na coluna Contagem corresponde ao número de verificações que encontraram dados correspondentes a esse infoType. Se um job estiver verificando várias origens, a contagem poderá incluir cada origem que foi verificada.

Para ver as descobertas individuais de uma categoria específica, clique em uma linha (por exemplo, EMAIL_ADDRESS). Uma lista de cada verificação em que foi encontrado pelo menos um EMAIL_ADDRESS será exibida na guia Descobertas, conforme mostrado na captura de tela a seguir:

Uma lista de descobertas de EMAIL_ADDRESS com colunas para resourceName,
             eventTime, firstDiscovered e parent.

Para exibir detalhes sobre uma determinada descoberta, clique em uma das linhas EMAIL_ADDRESS para ver a página de detalhes, conforme mostra a captura de tela a seguir:

Os detalhes da descoberta com uma lista de atributos associados e uma contagem das propriedades de origem.

Como limpar

Para evitar cobranças dos recursos usados neste tópico na conta do Google Cloud, siga estas etapas:

Como excluir o projeto

A maneira mais fácil de eliminar o faturamento é excluir o projeto que você criou seguindo as instruções fornecidas neste tópico.

  1. No Console do Cloud, acesse a página Gerenciar recursos:

    Acessar "Gerenciar recursos"

  2. Na lista de projetos, selecione o projeto que você quer excluir e clique em Excluir .
  3. Na caixa de diálogo, digite o ID do projeto e clique em Encerrar para excluí-lo.

Se você excluir seu projeto usando esse método, o job do Cloud DLP e o bucket do Cloud Storage que você criou também serão excluídos. Não é necessário executar as instruções exibidas nas seções a seguir.

Como excluir o job do Cloud DLP

Se você verificou seus próprios dados, basta excluir o job da verificação de inspeção que acabou de criar:

  1. Acesse a API Explorer na página de referência do método dlpJobs.delete clicando no botão a seguir:

    Abra a API Explorer

  2. Na caixa Nome, digite o nome do job no JSON de resposta para a solicitação de verificação, que tem o seguinte formato:
    projects/PROJECT_ID/dlpJobs/JOB_ID
    O ID do job está na forma de i-1234567890123456789.

Se você tiver criado outros jobs de verificação ou quiser ter certeza de que excluiu o job com êxito, poderá listar todos os jobs existentes:

  1. Acesse a API Explorer na página de referência do método dlpJobs.list clicando no botão a seguir:

    Abra a API Explorer

  2. Na caixa Pai, digite o identificador do projeto no seguinte formato:
    projects/PROJECT_ID
  3. Clique em Executar.

Se não houver jobs listados na resposta, significa que você excluiu todos eles. Se os jobs estiverem listados na resposta, repita o procedimento de exclusão acima para esses jobs.

Como excluir o bucket do Cloud Storage

Se você tiver criado um novo bucket do Cloud Storage para armazenar dados de amostra, exclua-o:

  1. Abra o navegador do Cloud Storage.

    Abrir o Cloud Storage

  2. No navegador do Cloud Storage, marque a caixa de seleção ao lado do nome do bucket que você criou e clique em Excluir.

A seguir