O Cloud Data Loss Prevention (Cloud DLP) agora faz parte da Proteção de dados sensíveis. O nome da API continua o mesmo: API Cloud Data Loss Prevention (API DLP). Para saber mais sobre os serviços que compõem a Proteção de dados sensíveis, consulte Visão geral da Proteção de dados sensíveis.

Esta página foi traduzida pela API Cloud Translation.

Perfil dos dados do Amazon S3

Esta página descreve como configurar a descoberta da Proteção de dados sensíveis para o Amazon S3.

Para mais informações sobre o serviço de descoberta, consulte Perfis de dados.

Esse recurso está disponível apenas para clientes que ativaram o Security Command Center no nível Enterprise.

Antes de começar

No Security Command Center, crie um conector para a Amazon Web Services (AWS). Não limpe a caixa de seleção Atribuir permissões para o serviço de descoberta de Proteção de Dados Sensíveis. A Proteção de dados sensíveis precisa dessas permissões para criar um perfil dos seus dados do Amazon S3.

Se você já tiver um conector sem a opção Atribuir permissões para a descoberta de Proteção de Dados Sensíveis selecionada, consulte Atribuir permissões de descoberta de dados sensíveis a um conector da AWS.
Confirme se você tem as permissões do IAM necessárias para configurar perfis de dados no nível da organização.

Se você não tiver o papel de administrador da organização (roles/resourcemanager.organizationAdmin) ou de administrador de segurança (roles/iam.securityAdmin), ainda poderá criar uma configuração de verificação. No entanto, depois de criar a configuração de verificação, alguém com uma dessas funções precisa conceder acesso de criação de perfil de dados ao agente de serviço.
Confirme se você tem um modelo de inspeção na região global ou na região em que planeja armazenar a configuração de verificação de descoberta e todos os perfis de dados gerados.

Esta tarefa permite criar automaticamente um modelo de inspeção apenas na região global. Se as políticas organizacionais impedirem a criação de um modelo de inspeção na região global, antes de realizar essa tarefa, crie um modelo de inspeção na região em que você planeja armazenar a configuração de verificação de descoberta.
Para enviar notificações do Pub/Sub a um tópico quando determinados eventos ocorrem, como quando a Proteção de dados sensíveis cria um novo bucket, crie um tópico do Pub/Sub antes de realizar essa tarefa.

Para gerar perfis de dados, você precisa de um contêiner de agente de serviço e um agente de serviço dentro dele. Essa tarefa permite criar esses recursos automaticamente.

Criar uma configuração de verificação

Acesse a página Criar configuração de verificação.

Acessar "Criar configuração de verificação"
Acesse sua organização. Na barra de ferramentas, clique no seletor de projetos e selecione sua organização.

As seções a seguir fornecem mais informações sobre as etapas na página Criar configuração de verificação. No final de cada seção, clique em Continuar.

Selecione um tipo de descoberta

Selecione Amazon S3.

Selecionar escopo

Escolha uma destas opções:

Para verificar todos os dados do S3 a que o conector da AWS tem acesso, selecione Verificar todas as contas da AWS disponíveis pelo conector.
Para verificar os dados do S3 em uma única conta da AWS, selecione Scan selected account. Em seguida, insira o ID da conta da AWS.
Para verificar um único bucket do S3, selecione Verificar um bucket. Insira o ID da conta da AWS que contém o bucket e o nome dele.

Gerenciar programações

Se a frequência de criação de perfil padrão atender às suas necessidades, pule esta seção da página Criar configuração de verificação.

Configure esta seção pelas seguintes razões:

Para fazer ajustes detalhados na frequência de criação de perfis de todos os seus dados ou de determinados subconjuntos.
Para especificar os buckets que você não quer criar perfis.
Para especificar os buckets que você não quer que sejam criados mais de uma vez.

Para fazer ajustes detalhados na frequência de criação de perfil, siga estas etapas:

Clique em Adicionar programação.

Observação: se você selecionou um único bucket como escopo dessa configuração, não será possível adicionar uma programação. Só é possível editar a programação padrão. Além disso, não é possível especificar filtros. Só é possível editar a frequência e as condições da criação de perfis.
Na seção Filtros, defina um ou mais filtros que especifiquem quais buckets estão no escopo da programação.

Especifique pelo menos uma das seguintes opções:
- Um ID da conta ou uma expressão regular que especifica um ou mais IDs da conta
- Um nome de bucket ou uma expressão regular que especifica um ou mais buckets
As expressões regulares precisam seguir a sintaxe RE2.

Por exemplo, se você quiser que todos os buckets de uma conta sejam incluídos no filtro, insira o ID da conta no campo ID da conta.

Para adicionar mais filtros, clique em Adicionar filtro e repita esta etapa.
Clique em Frequência.
Na seção Frequência, especifique se você quer criar um perfil dos buckets selecionados e, em caso afirmativo, com que frequência:
- Se você não quiser que os buckets sejam criados, desative a opção Criar perfil desses dados.
- Se você quiser que os buckets sejam criados pelo menos uma vez, deixe a opção Criar perfil desses dados ativada.
  
  Especifique se você quer refazer o perfil dos seus dados e quais eventos devem acionar uma operação de redefinição. Para mais informações, consulte Frequência de geração de perfil de dados.
  1. Em Em uma programação, especifique a frequência com que os buckets vão ser redimensionados. Os buckets são redimensionados, mesmo que tenham passado por mudanças.
  2. Em Quando o modelo de inspeção muda, especifique se você quer que seus dados sejam reformulados quando o modelo de inspeção associado for atualizado e, se sim, com que frequência.
    Observação:especifique os modelos de inspeção a serem usados na etapa Selecionar modelo de inspeção nesta página.
    
    Uma mudança no modelo de inspeção é detectada quando ocorre uma das seguintes situações:
    - O nome de um modelo de inspeção muda na configuração da verificação.
    - O updateTime de um modelo de inspeção muda.
Opcional: clique em Condições.

Na seção Condições, especifique as condições que os buckets definidos nos filtros precisam atender antes que a Proteção de dados sensíveis crie o perfil deles.

Se necessário, defina o seguinte:
- Condições mínimas: ative essa opção para atrasar a criação de perfil de um bucket até que ele atinja uma determinada idade. Em seguida, insira a duração mínima.
  
  Observação: se você selecionou um único bucket como escopo dessa configuração, não será possível definir essa condição.
- Condições da classe de armazenamento de objetos: por padrão, a Proteção de dados sensíveis verifica todos os objetos em um bucket. Se você quiser verificar apenas objetos com atributos específicos, selecione esses atributos.
Exemplos de condições

Suponha que você tenha a seguinte configuração:
- Condições mínimas
  - Duração mínima: 24 horas
- Condições da classe de armazenamento de objetos
  - Verificar os objetos com a classe de armazenamento de objetos do S3 Standard
  - Verificar os objetos com a classe de armazenamento de recuperação instantânea do S3 Glacier
Nesse caso, a Proteção de Dados Sensíveis considera apenas os buckets com pelo menos 24 horas. Nesses buckets, a Proteção de dados sensíveis cria perfis apenas dos objetos que estão na classe de armazenamento Amazon S3 Standard ou Amazon S3 Glacier Instant Retrieval.
Clique em Concluído.
Se você quiser adicionar mais programações, clique em Adicionar programação e repita as etapas anteriores.
Para especificar a precedência entre as programações, reordene-as usando as setas para cima e para baixo .

A ordem das programações especifica como os conflitos entre elas são resolvidos. Se um bucket corresponder aos filtros de duas programações diferentes, a programação mais alta na lista de programações vai determinar a frequência de criação de perfil para esse bucket.

Observação: se o modo de precificação da descoberta for modo de assinatura, a taxa em que a Proteção de Dados Sensíveis cria o perfil dos seus dados é afetada pela capacidade comprada. Para determinar sua capacidade de criação de perfil diária, consulte Como monitorar a utilização. Se você tiver uma capacidade subprovisionada, as frequências de criação de perfis definidas nas programações podem não ser seguidas. Se houver um atraso de buckets para criar o perfil, a ordem da programação não vai determinar a ordem em que a Proteção de Dados Sensíveis cria o perfil dos buckets no atraso. Em vez disso, todos os buckets no escopo recebem um slot atribuído aleatoriamente na fila.

O último horário na lista é sempre o identificado como Programação padrão. Essa programação padrão abrange os buckets no escopo selecionado que não correspondem a nenhuma das programações criadas. Essa programação padrão segue a frequência padrão de criação de perfis do sistema.
Se você quiser ajustar a programação padrão, clique em Editar programação e ajuste as configurações conforme necessário.

Selecionar um modelo de inspeção

Dependendo de como você quer fornecer uma configuração de inspeção, escolha uma das seguintes opções. Independentemente da opção escolhida, a Proteção de dados sensíveis verifica os dados na região em que eles estão armazenados. Ou seja, seus dados não saem da região de origem.

Opção 1: criar um modelo de inspeção

Escolha essa opção se quiser criar um novo modelo de inspeção na região global.

Clique em Criar novo modelo de inspeção.
Opcional: para modificar a seleção padrão de infoTypes, clique em Gerenciar infoTypes.

Para mais informações sobre como gerenciar infoTypes integrados e personalizados, consulte Gerenciar infoTypes pelo console do Google Cloud.

É preciso selecionar pelo menos um infoType para continuar.
Opcional: configure o modelo de inspeção ainda mais adicionando conjuntos de regras e definindo um limite de confiança. Para mais informações, consulte Configurar detecção.

Quando a Proteção de dados sensíveis cria a configuração de verificação, ela armazena esse novo modelo de inspeção na região global.

Opção 2: usar um modelo de inspeção existente

Escolha essa opção se você tiver modelos de inspeção que quer usar.

Clique em Selecionar modelo de inspeção existente.
Insira o nome completo do recurso do modelo de inspeção que você quer usar. O campo Região é preenchido automaticamente com o nome da região em que o modelo de inspeção está armazenado.
O modelo de inspeção inserido precisa estar na mesma região em que você planeja armazenar essa configuração de verificação de descoberta e todos os perfis de dados gerados.

Para respeitar a residência de dados, a Proteção de dados sensíveis não usa um modelo de inspeção fora da região em que ele está armazenado.

Para encontrar o nome completo do recurso de um modelo de inspeção, siga estas etapas:
1. Acesse a lista de modelos de inspeção. Essa página é aberta em uma guia separada.
  
  Acessar modelos de inspeção
2. Alterne para o projeto que contém o modelo de inspeção que você quer usar.
3. Na guia Modelos, clique no ID do modelo que você quer usar.
4. Na página exibida, copie o nome completo do recurso do modelo. O nome completo do recurso segue este formato:
```
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
```
5. Na página Criar configuração de verificação, no campo Nome do modelo, cole o nome completo do recurso do modelo.

Adicionar ações

Nas próximas seções, você especifica as ações que quer que a Proteção de dados sensíveis realize depois de gerar os perfis de dados.

Para saber como outros serviços do Google Cloud podem cobrar por ações de configuração, consulte Preços para exportar perfis de dados.

Publicar no Google Security Operations

As métricas coletadas com base nos perfis de dados podem adicionar contexto às suas operações de segurança. O contexto adicionado pode ajudar você a determinar os problemas de segurança mais importantes a serem resolvidos.

Por exemplo, se você estiver investigando um agente de serviço específico, é possível determinar quais recursos o agente de serviço acessou e se algum desses recursos tinha dados de alta sensibilidade.

Para enviar seus perfis de dados ao componente Google Security Operations do Security Command Center Enterprise, ative a opção Publicar no Chronicle.

Publicar no Security Command Center

As descobertas dos perfis de dados fornecem contexto ao fazer a triagem e desenvolver planos de resposta para suas descobertas de vulnerabilidade e ameaças no Security Command Center.

Para enviar os resultados dos perfis de dados para o Security Command Center, verifique se a opção Publicar no Security Command Center está ativada.

Para mais informações, consulte Publicar perfis de dados no Security Command Center.

Salvar cópias do perfil de dados no BigQuery

Ativar a opção Salvar cópias do perfil de dados no BigQuery permite manter uma cópia salva ou o histórico de todos os perfis gerados. Isso pode ser útil para criar relatórios de auditoria e visualizar perfis de dados. Também é possível carregar essas informações em outros sistemas.

Além disso, essa opção permite ver todos os perfis de dados em uma única visualização, independentemente da região dos dados. Se você desativar essa opção, ainda poderá acessar os perfis de dados no console do Google Cloud. No console do Google Cloud, você seleciona uma região por vez e vê apenas os perfis de dados dela.

Para exportar cópias dos perfis de dados para uma tabela do BigQuery, siga estas etapas:

Ative a opção Salvar cópias do perfil de dados no BigQuery.
Insira os detalhes da tabela do BigQuery em que você quer salvar os perfis de dados:
- Em ID do projeto, insira o ID de um projeto para o qual você quer exportar os perfis de dados.
- Em ID do conjunto de dados, insira o nome de um conjunto de dados no projeto para onde você quer exportar os perfis de dados.
- Em ID da tabela, insira um nome para a tabela do BigQuery para onde os perfis de dados serão exportados. Se você não tiver criado essa tabela, a Proteção de dados sensíveis vai criar automaticamente usando o nome fornecido.

A Proteção de Dados Sensíveis começa a exportar perfis a partir do momento em que você ativa essa opção. Os perfis gerados antes da ativação da exportação não são salvos no BigQuery.

Publicar no Pub/Sub

Ativar a opção Publicar no Pub/Sub permite que você realize ações programáticas com base nos resultados do perfil. Você pode usar as notificações do Pub/Sub para desenvolver um fluxo de trabalho para detectar e corrigir as descobertas com risco ou sensibilidade de dados significativos.

Para enviar notificações a um tópico do Pub/Sub, siga estas etapas:

Ative a opção Publicar no Pub/Sub.

Uma lista de opções vai aparecer. Cada opção descreve um evento que faz com que a Proteção de dados sensíveis envie uma notificação para o Pub/Sub.
Selecione os eventos que vão acionar uma notificação do Pub/Sub.

Se você selecionar Enviar uma notificação do Pub/Sub sempre que um perfil for atualizado, a Proteção de dados sensíveis vai enviar uma notificação quando houver uma mudança no nível de sensibilidade, no nível de risco de dados, nos infoTypes detectados, no acesso público e em outras métricas importantes no perfil.
Para cada evento selecionado, siga estas etapas:
1. Insira o nome do tópico. O nome precisa estar no seguinte formato:
```
projects/PROJECT_ID/topics/TOPIC_ID
```
  Substitua:
  - PROJECT_ID: o ID do projeto associado ao tópico do Pub/Sub.
  - TOPIC_ID: o ID do tópico do Pub/Sub.
2. Especifique se você quer incluir o perfil completo do bucket na notificação ou apenas o nome completo do recurso do bucket que foi criado.
3. Defina os níveis mínimos de risco e sensibilidade dos dados que precisam ser atendidos para que a Proteção de Dados Sensíveis envie uma notificação.
4. Especifique se apenas uma ou ambas as condições de risco e sensibilidade dos dados precisam ser atendidas. Por exemplo, se você escolher AND, o risco de dados e as condições de sensibilidade precisam ser atendidos antes que a Proteção de Dados Sensíveis envie uma notificação.

Observação : o agente de serviço precisa ter acesso de publicação no tópico do Pub/Sub. Um exemplo de função que tem acesso de publicação é a de Publicador do Pub/Sub (roles/pubsub.publisher). Se você ainda não tiver um agente de serviço, a Proteção de dados sensíveis permite criar um mais tarde na página Criar configuração de verificação. Se houver problemas de configuração ou permissão com o tópico do Pub/Sub, a Proteção de dados sensíveis vai tentar enviar a notificação do Pub/Sub por até duas semanas. Após duas semanas, a notificação é descartada.

Gerenciar o contêiner e o faturamento do agente de serviço

Nesta seção, você especifica o projeto a ser usado como um contêiner de agente de serviço. Você pode fazer com que a Proteção de dados sensíveis crie automaticamente um novo projeto ou escolher um projeto existente.

Independentemente de você estar usando um agente de serviço recém-criado ou reutilizando um já existente, verifique se ele tem acesso de leitura aos dados a serem caracterizados.

Criar um projeto automaticamente

Se você não tiver as permissões necessárias para criar um projeto na organização, selecione um projeto existente ou obtenha as permissões necessárias. Para informações sobre as permissões necessárias, consulte Papéis necessários para trabalhar com perfis de dados no nível da organização ou da pasta.

Para criar automaticamente um projeto para usar como contêiner do agente de serviço, siga estas etapas:

No campo Container do agente de serviço, revise o ID do projeto sugerido e edite conforme necessário.
Clique em Criar.
Opcional: atualize o nome do projeto padrão.
Selecione a conta a ser cobrada para todas as operações faturáveis relacionadas a este novo projeto, incluindo operações não relacionadas à descoberta.

Observação: se você já tiver uma assinatura de descoberta no nível da organização, essa conta de faturamento ainda será necessária para criar o projeto. No entanto, para todas as operações de descoberta, você recebe a cobrança pelo projeto associado à sua assinatura.
Clique em Criar.

A Proteção de Dados Sensíveis cria o novo projeto. O agente de serviço desse projeto será usado para autenticação na API de proteção de dados sensíveis e em outras APIs.

Selecionar um projeto existente

Para selecionar um projeto como contêiner do agente de serviço, clique no campo Contêiner do agente de serviço e selecione o projeto.

Definir o local para armazenar a configuração

Clique na lista Local do recurso e selecione a região em que você quer armazenar essa configuração de verificação. Todas as configurações de verificação que você criar mais tarde também serão armazenadas nesse local.

O local em que você decide armazenar a configuração da verificação não afeta os dados a serem verificados. Seus dados são verificados na mesma região em que estão armazenados. Para mais informações, consulte Considerações sobre a residência de dados.

Analisar e criar a configuração

Se você não quiser que a criação de perfil seja iniciada automaticamente após criar a configuração da verificação, selecione Criar verificação no modo pausado.
Essa opção é útil nos seguintes casos:
- O administrador do Google Cloud ainda precisa conceder acesso de criação de perfil de dados ao agente de serviço.
- Você quer criar várias configurações de verificação e quer que algumas configurações modifiquem outras.
- Você optou por salvar perfis de dados no BigQuery e quer garantir que o agente de serviço tenha acesso de gravação à tabela de saída.
- Você configurou as notificações do Pub/Sub e quer conceder acesso de publicação ao agente de serviço.
Revise suas configurações e clique em Criar.
A Proteção de Dados Sensíveis cria a configuração de verificação e a adiciona à lista de configurações de verificação de descoberta.

Para conferir ou gerenciar suas configurações de verificação, consulte Gerenciar configurações de verificação.

A seguir

Se você não tiver o papel de administrador da organização (roles/resourcemanager.organizationAdmin) ou de administrador de segurança (roles/iam.securityAdmin), alguém com um desses papéis precisa conceder acesso ao perfil de dados ao seu agente de serviço.
Saiba como gerenciar perfis de dados.
Saiba como gerenciar configurações de verificação.
Saiba como receber e analisar mensagens do Pub/Sub publicadas pelo criador de perfil de dados.
Saiba como resolver problemas com perfis de dados.