Questa pagina è stata tradotta dall'API Cloud Translation.

Attivare il rilevamento dei dati sensibili nel livello Enterprise

Questa pagina descrive come attivare il rilevamento dei dati sensibili utilizzando le impostazioni predefinite se hai un abbonamento al livello Enterprise e attivi Sensitive Data Protection, un prodotto con prezzo separato. Puoi personalizzare le impostazioni in qualsiasi momento dopo aver attivato il rilevamento.

Quando attivi il rilevamento, Sensitive Data Protection genera risultati di Security Command Center che mostrano la sensibilità e i livelli di rischio dei dati nell'intera organizzazione.

Per informazioni su come attivare il rilevamento dei dati sensibili indipendentemente dal livello di servizio di Security Command Center, consulta le seguenti pagine della documentazione di Sensitive Data Protection:

Come funziona

Il servizio di rilevamento Sensitive Data Protection ti aiuta a proteggere i dati in tutta la tua organizzazione identificando dove si trovano i dati sensibili e ad alto rischio. In Protezione dei dati sensibili, il servizio genera profili di dati, che forniscono metriche e approfondimenti sui tuoi dati a vari livelli di dettaglio. In Security Command Center, il servizio svolge le seguenti operazioni:

Genera in Security Command Center risultati di osservazione che mostrano i livelli di sensibilità e rischio dei dati calcolati. Puoi utilizzare questi risultati per informare la tua risposta quando riscontri minacce e vulnerabilità relative alle tue risorse di dati. Per un elenco dei tipi di risultati generati, consulta Risultati dell'osservazione del servizio di rilevamento.

Questi risultati possono essere utilizzati per la designazione automatica delle risorse di alto valore in base alla sensibilità dei dati. Per ulteriori informazioni, consulta Utilizzare gli approfondimenti sul rilevamento per identificare le risorse di alto valore in questa pagina.
Genera risultati relativi alle vulnerabilità in Security Command Center quando Sensitive Data Protection rileva la presenza di dati altamente sensibili non protetti. Per un elenco dei tipi di risultati generati, consulta Risultati relativi alle vulnerabilità del servizio di rilevamento di Sensitive Data Protection.

Per attivare il rilevamento dei dati sensibili per la tua organizzazione, crea una configurazione di scansione del rilevamento per ogni risorsa supportata che vuoi analizzare.

Prezzi

Il rilevamento dei dati sensibili viene addebitato separatamente da Security Command Center, indipendentemente dal livello di servizio. Se non acquisti un abbonamento per il rilevamento, i costi ti verranno addebitati in base al consumo (byte scansionati). Per ulteriori informazioni, consulta Prezzi per il rilevamento nella documentazione di Sensitive Data Protection.

Prima di iniziare

Completa queste attività prima di completare le restanti attività in questa pagina.

Attiva il livello Security Command Center Enterprise

Completa i passaggi 1 e 2 della guida alla configurazione per attivare il livello Security Command Center Enterprise. Per ulteriori informazioni, consulta Attivare il livello Security Command Center Enterprise.

Attivare Sensitive Data Protection come servizio integrato

Se Sensitive Data Protection non è già attivato come servizio integrato, attivalo. Per ulteriori informazioni, vedi Aggiungere un servizio integrato di Google Cloud.

Configurare le autorizzazioni

Per ottenere le autorizzazioni necessarie per configurare il rilevamento dei dati sensibili, chiedi all'amministratore di concederti i seguenti ruoli IAM nell'organizzazione:

Finalità	Ruolo predefinito	Autorizzazioni pertinenti
Crea una configurazione di scansione del rilevamento e visualizza i profili di dati	Amministratore DLP (`roles/dlp.admin`)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Crea un progetto da utilizzare come container dell'agente di servizio¹	Autore progetto (`roles/resourcemanager.projectCreator`)	resourcemanager.organizations.get resourcemanager.projects.create
Concedi l'accesso alla rete di ricerca²	Uno dei seguenti: Amministratore organizzazione (`roles/resourcemanager.organizationAdmin`) Amministratore sicurezza (`roles/iam.securityAdmin`)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ Se non disponi del ruolo Progetto Creator (roles/resourcemanager.projectCreator), puoi comunque creare una configurazione della scansione, ma il contenitore agente di servizio che utilizzi deve essere un progetto esistente.

² Se non disponi del ruolo Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin) o Amministratore sicurezza (roles/iam.securityAdmin), puoi comunque creare una configurazione di scansione. Dopo aver creato la configurazione della ricerca, un utente della tua organizzazione che dispone di uno di questi ruoli deve concedere l'accesso in modalità di rilevamento all'agente di servizio.

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Attivare il rilevamento con le impostazioni predefinite

Per attivare il rilevamento, devi creare una configurazione di rilevamento per ogni origine dati che vuoi analizzare. Questa procedura ti consente di creare automaticamente queste configurazioni di visibilità utilizzando le impostazioni predefinite. Puoi personalizzare le impostazioni in qualsiasi momento dopo aver eseguito questa procedura.

Se vuoi personalizzare le impostazioni fin dall'inizio, consulta invece le seguenti pagine:

Per attivare il rilevamento con le impostazioni predefinite:

Nella console Google Cloud, vai alla pagina Abilita il rilevamento di Sensitive Data Protection.

Vai ad Abilita rilevamento
Verifica di visualizzare l'organizzazione in cui hai attivato Security Command Center.
Nel campo Container dell'agente di servizio, imposta il progetto da utilizzare come container dell'agente di servizio. All'interno di questo progetto, il sistema crea un agente di servizio e gli concede automaticamente le autorizzazioni di rilevamento richieste.

Se in precedenza hai utilizzato il servizio di rilevamento per la tua organizzazione, potresti già avere un progetto di contenitore dell'agente di servizio che puoi riutilizzare.
- Per creare automaticamente un progetto da utilizzare come contenitore dell'agente di servizio, esamina l'ID progetto suggerito e modificalo in base alle tue esigenze. Quindi, fai clic su Crea. L'assegnazione delle autorizzazioni all'agente di servizio del nuovo progetto potrebbe richiedere alcuni minuti.
- Per selezionare un progetto esistente, fai clic sul campo Container dell'agente di servizio e seleziona il progetto.
Per rivedere le impostazioni predefinite, fai clic sull'icona di espansione .
Nella sezione Attiva la scoperta, fai clic su Attiva per ogni tipo di scoperta che vuoi attivare. L'attivazione di un tipo di rilevamento comporta quanto segue:
- BigQuery: crea una configurazione di rilevamento per il profiling delle tabelle BigQuery nell'intera organizzazione. Sensitive Data Protection inizia a creare il profilo dei tuoi dati BigQuery e invia i profili a Security Command Center.
- Cloud SQL: crea una configurazione di rilevamento per il profiling delle tabelle Cloud SQL nell'organizzazione. Sensitive Data Protection inizia a creare connessioni predefinite per ciascuna delle tue istanze Cloud SQL. Questa procedura può richiedere alcune ore. Quando le connessioni predefinite sono pronte, devi concedere a Sensitive Data Protection l'accesso alle tue istanze Cloud SQL aggiornando ogni connessione con le credenziali utente del database appropriate.
- Vulnerabilità di secret/credenziali: crea una configurazione di rilevamento per rilevare e segnalare i secret non criptati nelle variabili di ambiente Cloud Run. Sensitive Data Protection inizia a eseguire la scansione delle variabili di ambiente.
- Cloud Storage: crea una configurazione di rilevamento per il profiling dei bucket Cloud Storage dell'organizzazione. Sensitive Data Protection inizia a creare il profilo dei tuoi dati di Cloud Storage e invia i profili a Security Command Center.
- Set di dati Vertex AI: crea una configurazione di rilevamento per il profiling dei set di dati Vertex AI nell'organizzazione. Sensitive Data Protection inizia a creare il profilo dei set di dati Vertex AI e invia i profili a Security Command Center.
- Amazon S3: crea una configurazione di rilevamento per creare il profilo dei dati di Amazon S3 nell'intera organizzazione, in un singolo account S3 o in un singolo bucket.
  
  Nota: questa funzionalità richiede innanzitutto di creare un connettore AWS con autorizzazioni per la protezione dei dati sensibili.
Per visualizzare le configurazioni di rilevamento appena create, fai clic su Vai alla configurazione del rilevamento.

Se hai attivato il rilevamento Cloud SQL, la configurazione del rilevamento viene creata in modalità in pausa con errori che indicano l'assenza di credenziali. Consulta Gestire le connessioni per l'utilizzo con la scoperta per concedere i ruoli IAM richiesti all'agente di servizio e per fornire le credenziali utente del database per ogni istanza Cloud SQL.
Chiudi il riquadro.

Dal momento in cui Sensitive Data Protection genera i profili dei dati, possono essere necessarie fino a sei ore prima che i risultati associati vengano visualizzati in Security Command Center.

Dal momento in cui attivi il rilevamento dei secret in Sensitive Data Protection, possono essere necessarie fino a 12 ore per completare la scansione iniziale delle variabili di ambiente e per visualizzare eventuali risultati Secrets in environment variables in Security Command Center. Successivamente, Sensitive Data Protection analizza le variabili di ambiente ogni 24 ore. In pratica, le ricerche possono essere eseguite più di frequente.

Per visualizzare i risultati generati da Sensitive Data Protection, consulta Esaminare i risultati di Sensitive Data Protection nella console Google Cloud.

Utilizzare gli approfondimenti sulla scoperta per identificare le risorse di alto valore

Puoi fare in modo che Security Command Center designi automaticamente una risorsa che contiene dati con sensibilità elevata o media come una risorsa di alto valore attivando l'opzione di insight sulla scoperta di Sensitive Data Protection quando crei una configurazione del valore della risorsa per la funzionalità di simulazione del percorso di attacco.

Per le risorse di alto valore, Security Command Center fornisce punteggi di esposizione agli attacchi e visualizzazioni dei percorsi di attacco, che puoi utilizzare per dare la priorità alla sicurezza delle tue risorse contenenti dati sensibili.

Le simulazioni dei percorsi di attacco possono impostare automaticamente i valori di priorità in base alle classificazioni della sensibilità dei dati della scoperta di Sensitive Data Protection solo per i seguenti tipi di risorse di dati:

bigquery.googleapis.com/Dataset
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket

Personalizzare le configurazioni di scansione

Dopo aver creato le configurazioni di scansione, puoi personalizzarle. Ad esempio, puoi eseguire le seguenti operazioni:

Regola le frequenze di scansione.
Specifica i filtri per gli asset di dati di cui non vuoi ricreare il profilo.
Modifica il modello di ispezione, che definisce i tipi di informazioni rilevati da Sensitive Data Protection.
Pubblicare i profili di dati generati in altri servizi Google Cloud.
Modifica il container dell'agente di servizio.

Per personalizzare una configurazione di scansione:

Apri la configurazione della scansione per modificarla.
Aggiorna le impostazioni in base alle esigenze. Per ulteriori informazioni sulle opzioni disponibili nella pagina Modifica configurazione scansione, consulta le seguenti pagine:

Passaggi successivi

Visualizzare i risultati di Sensitive Data Protection