Esta secção descreve como especificar as ações que quer que a proteção de dados confidenciais tome após a criação de perfis de um recurso. Estas ações são úteis se quiser enviar estatísticas recolhidas a partir de perfis de dados para outros serviçosGoogle Cloud .
Para ativar as ações de descoberta, crie ou edite uma configuração de análise de descoberta. As secções seguintes descrevem as diferentes ações que pode ativar na secção Adicionar ações da configuração da análise.Nem todas as ações nesta página estão disponíveis para cada tipo de descoberta. Por exemplo, não pode anexar etiquetas a recursos se estiver a configurar a deteção para recursos de outro fornecedor de nuvem. Para mais informações, consulte as ações suportadas nesta página.
Para mais informações sobre a deteção de dados confidenciais, consulte os perfis de dados.
As operações de inspeção e análise de risco têm um conjunto diferente de ações. Para mais informações, consulte o artigo Ative ações de inspeção ou análise de riscos.
Publique no Google Security Operations
As métricas recolhidas a partir de perfis de dados podem adicionar contexto às suas conclusões do Google Security Operations. O contexto adicionado pode ajudar a determinar os problemas de segurança mais importantes a resolver.
Por exemplo, se estiver a investigar um agente de serviço específico, o Google Security Operations pode determinar a que recursos o agente de serviço acedeu e se algum desses recursos tem dados de alta sensibilidade.
Para enviar os seus perfis de dados para a instância do Google Security Operations, ative a opção Publicar no Google Security Operations.
Se não tiver uma instância do Google Security Operations ativada para a sua organização, através do produto autónomo ou do Security Command Center Enterprise, a ativação desta opção não tem qualquer efeito.
Publicação no Security Command Center
As conclusões dos perfis de dados fornecem contexto quando tria e desenvolve planos de resposta para as conclusões de vulnerabilidades e ameaças no Security Command Center.
Antes de poder usar esta ação, o Security Command Center tem de ser ativado ao nível da organização. A ativação do Security Command Center ao nível da organização permite o fluxo de resultados de serviços integrados, como o Sensitive Data Protection. A proteção de dados confidenciais funciona com o Security Command Center em todos os níveis de serviço.Se o Security Command Center não estiver ativado ao nível da organização, as conclusões da Proteção de dados confidenciais não são apresentadas no Security Command Center. Para mais informações, consulte o artigo Verifique o nível de ativação do Security Command Center.
Para enviar os resultados dos seus perfis de dados para o Security Command Center, certifique-se de que a opção Publicar no Security Command Center está ativada.
Para mais informações, consulte o artigo Publique perfis de dados no Security Command Center.
Guarde cópias dos perfis de dados no BigQuery
A proteção de dados confidenciais guarda uma cópia de cada perfil de dados gerado numa tabela do BigQuery. Se não fornecer os detalhes da sua tabela preferencial, a proteção de dados confidenciais cria um conjunto de dados e uma tabela no contentor do agente do serviço.
Por predefinição, o conjunto de dados chama-se sensitive_data_protection_discovery e a tabela chama-se discovery_profiles.
Esta ação permite-lhe manter um histórico de todos os perfis gerados. Este histórico pode ser útil para criar relatórios de auditoria e visualizar perfis de dados. Também pode carregar estas informações noutros sistemas.
Além disso, esta opção permite-lhe ver todos os seus perfis de dados numa única vista, independentemente da região em que os seus dados residem. Embora também possa ver os perfis de dados através da Google Cloud consola, a consola apresenta os perfis apenas numa região de cada vez.
Quando a proteção de dados confidenciais não consegue criar um perfil de um recurso, tenta novamente periodicamente. Para minimizar o ruído nos dados exportados, a proteção de dados confidenciais exporta apenas os perfis gerados com êxito para o BigQuery.
A proteção de dados confidenciais começa a exportar perfis a partir do momento em que ativa esta opção. Os perfis gerados antes de ativar a exportação não são guardados no BigQuery.
Para ver exemplos de consultas que pode usar ao analisar perfis de dados, consulte o artigo Analise perfis de dados.
Guarde os resultados da deteção de amostras no BigQuery
A proteção de dados confidenciais pode adicionar resultados de amostra a uma tabela do BigQuery à sua escolha. Os resultados de amostra representam um subconjunto de todos os resultados e podem não representar todos os infoTypes que foram descobertos. Normalmente, o sistema gera cerca de 10 resultados de amostra por recurso, mas este número pode variar para cada execução de deteção.
Cada descoberta inclui a string real (também denominada citação) que foi detetada e a respetiva localização exata.
Esta ação é útil se quiser avaliar se a sua configuração de inspeção está a fazer corresponder corretamente o tipo de informações que quer sinalizar como confidenciais. Com os perfis de dados exportados e os resultados de amostra exportados, pode executar consultas para obter mais informações acerca dos itens específicos que foram denunciados, os infoTypes que corresponderam, as respetivas localizações exatas, os respetivos níveis de sensibilidade calculados e outros detalhes.
Exemplo de consulta: mostra exemplos de conclusões relacionados com perfis de dados da loja de ficheiros
Este exemplo requer que as opções Guardar cópias do perfil de dados no BigQuery e Guardar resultados da deteção de amostras no BigQuery estejam ativadas.
A consulta seguinte usa uma operação INNER JOIN na tabela de perfis de dados exportados e na tabela de resultados de amostra exportados. Na tabela
resultante, cada registo mostra a citação da descoberta, o infoType que correspondeu, o recurso que
contém a descoberta e o nível de sensibilidade calculado do recurso.
SELECT findings_table.quote, findings_table.infotype.name, findings_table.location.container_name, profiles_table.file_store_profile.file_store_path as bucket_name, profiles_table.file_store_profile.sensitivity_score as bucket_sensitivity_score FROM `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table INNER JOIN `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table ON findings_table.data_profile_resource_name=profiles_table.file_store_profile.name
Consulta de exemplo: mostra exemplos de conclusões relacionados com perfis de dados de tabelas
Este exemplo requer que as opções Guardar cópias do perfil de dados no BigQuery e Guardar resultados da deteção de amostras no BigQuery estejam ativadas.
A consulta seguinte usa uma operação INNER JOIN na tabela de perfis de dados exportados e na tabela de resultados de amostra exportados. Na tabela
resultante, cada registo mostra a citação da descoberta, o infoType que correspondeu, o recurso que
contém a descoberta e o nível de sensibilidade calculado do recurso.
SELECT findings_table.quote, findings_table.infotype.name, findings_table.location.container_name, findings_table.location.data_profile_finding_record_location.field.name AS field_name, profiles_table.table_profile.dataset_project_id AS project_id, profiles_table.table_profile.dataset_id AS dataset_id, profiles_table.table_profile.table_id AS table_id, profiles_table.table_profile.sensitivity_score AS table_sensitivity_score FROM `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table INNER JOIN `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table ON findings_table.data_profile_resource_name=profiles_table.table_profile.name
Para guardar resultados de exemplo numa tabela do BigQuery, siga estes passos:
Ative a opção Guardar resultados da descoberta de amostras no BigQuery.
Introduza os detalhes da tabela do BigQuery onde quer guardar as conclusões de amostra.
A tabela que especificar para esta ação tem de ser diferente da tabela usada para a ação Guardar cópias do perfil de dados no BigQuery.
Para o ID do projeto, introduza o ID de um projeto existente para o qual quer exportar as conclusões.
Para ID do conjunto de dados, introduza o nome de um conjunto de dados existente no projeto.
Para ID da tabela, introduza o nome da tabela do BigQuery onde quer guardar as conclusões. Se esta tabela não existir, a proteção de dados confidenciais cria-a automaticamente para si com o nome que indicar.
Para obter informações sobre o conteúdo de cada descoberta guardada na tabela do BigQuery, consulte DataProfileFinding.
Anexe etiquetas a recursos
A ativação da opção Anexar etiquetas a recursos indica ao Sensitive Data Protection que etiquete automaticamente os seus dados de acordo com o respetivo nível de sensibilidade calculado. Esta secção requer que conclua primeiro as tarefas em Controlar o acesso à IAM aos recursos com base na sensibilidade dos dados.
Para etiquetar automaticamente um recurso de acordo com o respetivo nível de sensibilidade calculado, siga estes passos:
- Ative a opção Etiquetar recursos.
Para cada nível de sensibilidade (elevado, moderado, baixo e desconhecido), introduza o caminho do valor da etiqueta que criou para o nível de sensibilidade indicado.
Se ignorar um nível de sensibilidade, não é anexada nenhuma etiqueta para esse nível.
Para diminuir automaticamente o nível de risco de dados de um recurso quando a etiqueta de nível de sensibilidade estiver presente, selecione Quando uma etiqueta é aplicada a um recurso, diminua o risco de dados do respetivo perfil para BAIXO. Esta opção ajuda a medir a melhoria na sua postura de segurança e privacidade dos dados.
Selecione uma ou ambas as seguintes opções:
- Etiquete um recurso quando este for perfilado pela primeira vez.
Etiquete um recurso quando o respetivo perfil for atualizado. Selecione esta opção se quiser que a proteção de dados confidenciais substitua o valor da etiqueta do nível de sensibilidade nas execuções de deteção subsequentes. Consequentemente, o acesso de um principal a um recurso é alterado automaticamente à medida que o nível de sensibilidade dos dados calculado para esse recurso aumenta ou diminui.
Não selecione esta opção se planear atualizar manualmente os valores das etiquetas de nível de sensibilidade que o serviço de deteção anexou aos seus recursos. Se selecionar esta opção, a Proteção de dados confidenciais pode substituir as suas atualizações manuais.
Publicar no Pub/Sub
A ativação da opção Publicar no Pub/Sub permite-lhe tomar medidas programáticas com base nos resultados da criação de perfis. Pode usar notificações do Pub/Sub para desenvolver um fluxo de trabalho para detetar e corrigir resultados com um risco ou uma sensibilidade de dados significativos.
Para enviar notificações para um tópico do Pub/Sub, siga estes passos:
Ative a opção Publicar no Pub/Sub.
É apresentada uma lista de opções. Cada opção descreve um evento que faz com que a proteção de dados confidenciais envie uma notificação para o Pub/Sub.
Selecione os eventos que devem acionar uma notificação do Pub/Sub.
Se selecionar Enviar uma notificação do Pub/Sub sempre que um perfil for atualizado, a Proteção de dados confidenciais envia uma notificação quando existe uma alteração no nível de sensibilidade, no nível de risco de dados, nos infoTypes detetados, no acesso público e noutras métricas importantes no perfil.
Para cada evento que selecionar, siga estes passos:
Introduza o nome do tópico. O nome tem de estar no seguinte formato:
projects/PROJECT_ID/topics/TOPIC_IDSubstitua o seguinte:
- PROJECT_ID: o ID do projeto associado ao tópico do Pub/Sub.
- TOPIC_ID: o ID do tópico do Pub/Sub.
Especifique se quer incluir o perfil de recurso completo na notificação ou apenas o nome do recurso completo do recurso que foi perfilado.
Defina os níveis de risco e sensibilidade dos dados mínimos que têm de ser cumpridos para que a proteção de dados confidenciais envie uma notificação.
Especifique se apenas uma ou ambas as condições de risco e sensibilidade dos dados têm de ser cumpridas. Por exemplo, se escolher
AND, as condições de risco de dados e de sensibilidade têm de ser cumpridas antes que a Proteção de dados confidenciais envie uma notificação.
Envie para o catálogo de dados como etiquetas
Esta funcionalidade está descontinuada.
Esta ação permite-lhe criar etiquetas do catálogo de dados no catálogo universal do Dataplex com base em estatísticas de perfis de dados. Esta ação só é aplicada a perfis novos e atualizados. Os perfis existentes que não são atualizados não são enviados para o catálogo universal do Dataplex.
O Data Catalog é um serviço de gestão de metadados escalável e totalmente gerido. Quando ativa esta ação, as tabelas que cria perfis são automaticamente etiquetadas no catálogo de dados de acordo com as estatísticas recolhidas dos perfis de dados. Em seguida, pode usar o catálogo universal do Dataplex para pesquisar tabelas com valores de etiquetas específicos na sua organização e projetos.
Para enviar os perfis de dados para o Dataplex Universal Catalog como etiquetas do Data Catalog, certifique-se de que a opção Enviar para o Dataplex como etiquetas está ativada.
Para mais informações, consulte o artigo Etiquete tabelas no catálogo de dados com base em estatísticas de perfis de dados.
Envie para o catálogo universal do Dataplex como aspetos
Esta ação permite adicionar aspetos do catálogo universal do Dataplex a recursos com perfis com base em estatísticas de perfis de dados. Esta ação só é aplicada a perfis novos e atualizados. Os perfis existentes que não são atualizados não são enviados para o catálogo universal do Dataplex.
Quando ativa esta ação, a proteção de dados confidenciais anexa o aspeto Sensitive Data Protection profile à entrada do catálogo universal do Dataplex para cada recurso novo ou atualizado que perfila. Os aspetos gerados contêm estatísticas recolhidas
a partir dos perfis de dados. Em seguida, pode pesquisar na sua organização e projetos entradas com valores de aspeto Sensitive Data Protection profile específicos.
Para enviar os perfis de dados para o catálogo universal do Dataplex, certifique-se de que a opção Enviar para o catálogo do Dataplex como aspetos está ativada.
Para mais informações, consulte o artigo Adicione aspetos do catálogo universal do Dataplex com base em estatísticas dos perfis de dados.
Ações suportadas
A tabela seguinte mostra que ações são suportadas para cada tipo de descoberta.
| Publique no Google Security Operations | Publicação no Security Command Center | Guarde cópias dos perfis de dados no BigQuery | Guarde os resultados da deteção de amostras no BigQuery | Anexe etiquetas a recursos | Publicar no Pub/Sub | Enviar para o catálogo universal do Dataplex como etiquetas do catálogo de dados (descontinuado) | Envie para o catálogo universal do Dataplex como aspetos | |
|---|---|---|---|---|---|---|---|---|
| Amazon S3 | ✓ | ✓ | ✓ | ✓ | ✓ | |||
| Armazenamento de blobs do Azure | ✓ | ✓ | ✓ | ✓ | ✓ | |||
| BigQuery | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Cloud SQL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Cloud Storage | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| Vertex AI | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
O que se segue?
- Saiba como usar dados de contexto de perfis de dados no Google Security Operations.
- Saiba mais sobre as conclusões que a proteção de dados confidenciais pode gerar no Security Command Center.
- Saiba como analisar perfis de dados no BigQuery e no Looker Studio.
- Saiba como controlar o acesso do IAM aos recursos com base na sensibilidade dos dados.
- Saiba como receber e analisar mensagens do Pub/Sub sobre perfis de dados.
- Saiba como adicionar aspetos do catálogo universal do Dataplex com base em estatísticas dos perfis de dados.