En esta sección se describe cómo especificar las acciones que quieres que realice Protección de Datos Sensibles después de crear un perfil de un recurso. Estas acciones son útiles si quieres enviar estadísticas obtenidas a partir de perfiles de datos a otros servicios deGoogle Cloud .
Para habilitar las acciones de descubrimiento, crea o edita una configuración de análisis de descubrimiento. En las siguientes secciones se describen las diferentes acciones que puedes habilitar en la sección Añadir acciones de la configuración del análisis.No todas las acciones de esta página están disponibles para todos los tipos de descubrimiento. Por ejemplo, no puedes asociar etiquetas a recursos si estás configurando la detección de recursos de otro proveedor de nube. Para obtener más información, consulta la sección Acciones admitidas de esta página.
Para obtener más información sobre el descubrimiento de datos sensibles, consulta Perfiles de datos.
Las operaciones de inspección y análisis de riesgos tienen un conjunto de acciones diferente. Para obtener más información, consulta Habilitar acciones de inspección o análisis de riesgos.
Publicar en Google Security Operations
Las métricas recogidas de los perfiles de datos pueden añadir contexto a tus resultados de Google Security Operations. El contexto adicional puede ayudarte a determinar los problemas de seguridad más importantes que debes solucionar.
Por ejemplo, si estás investigando un agente de servicio concreto, Google Security Operations puede determinar a qué recursos ha accedido el agente de servicio y si alguno de esos recursos contiene datos de alta sensibilidad.
Para enviar tus perfiles de datos a tu instancia de Google Security Operations, activa Publicar en Google Security Operations.
Si no tienes habilitada una instancia de Google Security Operations en tu organización (ya sea a través del producto independiente o de Security Command Center Enterprise), activar esta opción no tendrá ningún efecto.
Publicar en Security Command Center
Los resultados de los perfiles de datos proporcionan contexto cuando clasificas y desarrollas planes de respuesta para tus resultados de vulnerabilidades y amenazas en Security Command Center.
Para poder usar esta acción, Security Command Center debe activarse a nivel de organización. Si activas Security Command Center a nivel de organización, se habilitará el flujo de resultados de servicios integrados, como Protección de Datos Sensibles. Protección de Datos Sensibles es compatible con Security Command Center en todos los niveles de servicio.Si Security Command Center no está activado a nivel de organización, los resultados de Protección de Datos Sensibles no aparecerán en Security Command Center. Para obtener más información, consulta Comprobar el nivel de activación de Security Command Center.
Para enviar los resultados de tus perfiles de datos a Security Command Center, asegúrate de que la opción Publicar en Security Command Center esté activada.
Para obtener más información, consulta el artículo Publicar perfiles de datos en Security Command Center.
Guardar copias de perfiles de datos en BigQuery
Protección de Datos Sensibles guarda una copia de cada perfil de datos generado en una tabla de BigQuery. Si no proporcionas los detalles de la tabla que prefieres, Protección de Datos Sensibles crea un conjunto de datos y una tabla en el contenedor del agente de servicio.
De forma predeterminada, el conjunto de datos se llama sensitive_data_protection_discovery y la tabla, discovery_profiles.
De esta forma, podrás mantener un historial de todos los perfiles que hayas generado. Este historial puede ser útil para crear informes de auditoría y visualizar perfiles de datos. También puedes cargar esta información en otros sistemas.
Además, esta opción te permite ver todos tus perfiles de datos en una sola vista, independientemente de la región en la que se encuentren. Aunque también puedes ver los perfiles de datos en laGoogle Cloud consola, esta solo muestra los perfiles de una región a la vez.
Si Protección de Datos Sensibles no puede crear un perfil de un recurso, lo vuelve a intentar periódicamente. Para minimizar el ruido en los datos exportados, Protección de Datos Sensibles solo exporta a BigQuery los perfiles que se hayan generado correctamente.
Protección de Datos Sensibles empieza a exportar perfiles desde el momento en que activas esta opción. Los perfiles que se hayan generado antes de activar la exportación no se guardarán en BigQuery.
Para ver consultas de ejemplo que puedes usar al analizar perfiles de datos, consulta Analizar perfiles de datos.
Guardar resultados de descubrimiento de muestras en BigQuery
Protección de Datos Sensibles puede añadir resultados de muestra a una tabla de BigQuery que elijas. Los resultados de muestra representan un subconjunto de todos los resultados y es posible que no representen todos los infoTypes que se han descubierto. Normalmente, el sistema genera unas 10 detecciones de muestra por recurso, pero este número puede variar en cada ejecución de descubrimiento.
Cada resultado incluye la cadena real (también llamada cita) que se ha detectado y su ubicación exacta.
Esta acción es útil si quieres evaluar si tu configuración de inspección coincide correctamente con el tipo de información que quieres marcar como sensible. Con los perfiles de datos exportados y los resultados de muestra exportados, puede ejecutar consultas para obtener más información sobre los elementos específicos que se han marcado, los infoTypes que coinciden, sus ubicaciones exactas, sus niveles de sensibilidad calculados y otros detalles.
Consulta de ejemplo: muestra resultados de muestra relacionados con perfiles de datos de almacenamiento de archivos
Para este ejemplo, deben estar habilitadas las opciones Guardar copias de perfiles de datos en BigQuery y Guardar resultados de descubrimiento de muestras en BigQuery.
La siguiente consulta usa una operación INNER JOIN en la tabla de perfiles de datos exportados y en la tabla de resultados de muestras exportados. En la tabla resultante, cada registro muestra la cita del hallazgo, el infoType que ha coincidido, el recurso que contiene el hallazgo y el nivel de sensibilidad calculado del recurso.
SELECT findings_table.quote, findings_table.infotype.name, findings_table.location.container_name, profiles_table.file_store_profile.file_store_path as bucket_name, profiles_table.file_store_profile.sensitivity_score as bucket_sensitivity_score FROM `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table INNER JOIN `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table ON findings_table.data_profile_resource_name=profiles_table.file_store_profile.name
Consulta de ejemplo: muestra hallazgos de ejemplo relacionados con perfiles de datos de tabla
Para este ejemplo, deben estar habilitadas las opciones Guardar copias de perfiles de datos en BigQuery y Guardar resultados de descubrimiento de muestras en BigQuery.
La siguiente consulta usa una operación INNER JOIN en la tabla de perfiles de datos exportados y en la tabla de resultados de muestras exportados. En la tabla resultante, cada registro muestra la cita del hallazgo, el infoType que ha coincidido, el recurso que contiene el hallazgo y el nivel de sensibilidad calculado del recurso.
SELECT findings_table.quote, findings_table.infotype.name, findings_table.location.container_name, findings_table.location.data_profile_finding_record_location.field.name AS field_name, profiles_table.table_profile.dataset_project_id AS project_id, profiles_table.table_profile.dataset_id AS dataset_id, profiles_table.table_profile.table_id AS table_id, profiles_table.table_profile.sensitivity_score AS table_sensitivity_score FROM `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table INNER JOIN `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table ON findings_table.data_profile_resource_name=profiles_table.table_profile.name
Para guardar resultados de ejemplo en una tabla de BigQuery, sigue estos pasos:
Activa Guardar resultados de descubrimiento de muestras en BigQuery.
Introduce los detalles de la tabla de BigQuery en la que quieras guardar los resultados de muestra.
La tabla que especifiques para esta acción debe ser diferente de la tabla que se use para la acción Guardar copias de perfiles de datos en BigQuery.
En ID del proyecto, introduce el ID de un proyecto en el que quieras exportar los resultados.
En ID del conjunto de datos, introduce el nombre de un conjunto de datos del proyecto.
En ID de tabla, introduce el nombre de la tabla de BigQuery en la que quieras guardar los resultados. Si esta tabla no existe, Protección de Datos Sensibles la crea automáticamente con el nombre que proporciones.
Para obtener información sobre el contenido de cada resultado que se guarda en la tabla de BigQuery, consulta DataProfileFinding.
Adjuntar etiquetas a recursos
Si activas la opción Asignar etiquetas a los recursos, Protección de Datos Sensibles etiquetará automáticamente tus datos según el nivel de sensibilidad calculado. En esta sección, primero debes completar las tareas de Controlar el acceso de gestión de identidades y accesos a los recursos en función de la confidencialidad de los datos.
Para etiquetar automáticamente un recurso según su nivel de sensibilidad calculado, sigue estos pasos:
- Activa la opción Etiquetar recursos.
En cada nivel de sensibilidad (alto, moderado, bajo y desconocido), introduzca la ruta del valor de la etiqueta que haya creado para ese nivel.
Si omite un nivel de sensibilidad, no se adjuntará ninguna etiqueta.
Para reducir automáticamente el nivel de riesgo de datos de un recurso cuando se incluya la etiqueta de nivel de sensibilidad, selecciona Cuando se aplique una etiqueta a un recurso, reduce el riesgo de datos de su perfil a BAJO. Esta opción te ayuda a medir la mejora de la seguridad y la privacidad de tus datos.
Selecciona una o ambas de las siguientes opciones:
- Etiqueta un recurso cuando se cree un perfil de él por primera vez.
Etiqueta un recurso cuando se actualice su perfil. Seleccione esta opción si quiere que Protección de Datos Sensibles sobrescriba el valor de la etiqueta de nivel de sensibilidad en las ejecuciones de descubrimiento posteriores. Por lo tanto, el acceso de un principal a un recurso cambia automáticamente a medida que aumenta o disminuye el nivel de sensibilidad de los datos calculado para ese recurso.
No selecciones esta opción si tienes previsto actualizar manualmente los valores de las etiquetas de nivel de sensibilidad que el servicio de detección ha asociado a tus recursos. Si selecciona esta opción, Protección de Datos Sensibles puede sobrescribir sus actualizaciones manuales.
Publicar en Pub/Sub
Si activas Publicar en Pub/Sub, podrás realizar acciones mediante programación en función de los resultados de la creación de perfiles. Puedes usar las notificaciones de Pub/Sub para desarrollar un flujo de trabajo que te permita detectar y corregir las vulnerabilidades con un riesgo o una sensibilidad de datos significativos.
Para enviar notificaciones a un tema de Pub/Sub, sigue estos pasos:
Activa Publicar en Pub/Sub.
Aparecerá una lista de opciones. Cada opción describe un evento que provoca que Protección de Datos Sensibles envíe una notificación a Pub/Sub.
Selecciona los eventos que deben activar una notificación de Pub/Sub.
Si selecciona Enviar una notificación de Pub/Sub cada vez que se actualice un perfil, Protección de Datos Sensibles enviará una notificación cuando haya un cambio en el nivel de sensibilidad, el nivel de riesgo de los datos, los infoTypes detectados, el acceso público y otras métricas importantes del perfil.
Sigue estos pasos con cada evento que selecciones:
Escribe el nombre del tema. El nombre debe tener el siguiente formato:
projects/PROJECT_ID/topics/TOPIC_IDHaz los cambios siguientes:
- PROJECT_ID: el ID del proyecto asociado al tema de Pub/Sub.
- TOPIC_ID: el ID del tema de Pub/Sub.
Especifica si quieres incluir el perfil de recurso completo en la notificación o solo el nombre completo del recurso del que se ha creado el perfil.
Define los niveles mínimos de riesgo de datos y de sensibilidad que se deben cumplir para que Protección de Datos Sensibles envíe una notificación.
Especifica si se debe cumplir solo una o ambas condiciones de riesgo y sensibilidad de los datos. Por ejemplo, si eliges
AND, se deben cumplir tanto las condiciones de riesgo de los datos como las de sensibilidad para que Protección de Datos Sensibles envíe una notificación.
Enviar a Data Catalog en formato de etiqueta
Esta función está obsoleta.
Esta acción te permite crear etiquetas de Data Catalog en Dataplex Universal Catalog a partir de las estadísticas de los perfiles de datos. Esta acción solo se aplica a los perfiles nuevos y actualizados. Los perfiles que no se actualicen no se enviarán a Dataplex Universal Catalog.
Data Catalog es un servicio de gestión de metadatos escalable y totalmente gestionado. Cuando habilitas esta acción, las tablas que perfilas se etiquetan automáticamente en Data Catalog según las estadísticas obtenidas de los perfiles de datos. Después, puedes usar Dataplex Universal Catalog para buscar en tu organización y en tus proyectos tablas con valores de etiqueta específicos.
Para enviar los perfiles de datos a Dataplex Universal Catalog como etiquetas de Data Catalog, asegúrate de que la opción Enviar a Dataplex en formato de etiqueta esté activada.
Para obtener más información, consulta Etiquetar tablas en Data Catalog en función de las estadísticas de los perfiles de datos.
Enviar a Dataplex Universal Catalog como aspectos
Esta acción te permite añadir aspectos de Dataplex Universal Catalog a los recursos perfilados en función de las estadísticas de los perfiles de datos. Esta acción solo se aplica a los perfiles nuevos y actualizados. Los perfiles que no se actualicen no se enviarán a Dataplex Universal Catalog.
Cuando habilitas esta acción, Protección de Datos Sensibles adjunta el aspecto Sensitive Data Protection profile a la entrada de Universal Catalog de Dataplex de cada recurso nuevo o actualizado que perfilas. Los aspectos generados contienen estadísticas obtenidas
de los perfiles de datos. Después, puedes buscar en tu organización y en tus proyectos entradas con valores de Sensitive Data Protection profile específicos.
Para enviar los perfiles de datos a Dataplex Universal Catalog, asegúrate de que la opción Enviar al catálogo de Dataplex como aspectos esté activada.
Para obtener más información, consulta Añadir aspectos de Dataplex Universal Catalog basados en estadísticas de perfiles de datos.
Acciones admitidas
En la siguiente tabla se muestran las acciones admitidas para cada tipo de descubrimiento.
| Publicar en Google Security Operations | Publicar en Security Command Center | Guardar copias de perfiles de datos en BigQuery | Guardar resultados de descubrimiento de muestras en BigQuery | Adjuntar etiquetas a recursos | Publicar en Pub/Sub | Enviar a Dataplex Universal Catalog como etiquetas de Data Catalog (Obsoleto) | Enviar a Dataplex Universal Catalog como aspectos | |
|---|---|---|---|---|---|---|---|---|
| Amazon S3 | ✓ | ✓ | ✓ | ✓ | ✓ | |||
| Azure Blob Storage | ✓ | ✓ | ✓ | ✓ | ✓ | |||
| BigQuery | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Cloud SQL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Cloud Storage | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| Vertex AI | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
Siguientes pasos
- Consulta cómo usar los datos de contexto de los perfiles de datos en Google Security Operations.
- Consulta información sobre los resultados que puede generar Protección de Datos Sensibles en Security Command Center.
- Consulta cómo analizar perfiles de datos en BigQuery y Looker Studio.
- Consulta cómo controlar el acceso de gestión de identidades y accesos a los recursos en función de la confidencialidad de los datos.
- Consulta cómo recibir y analizar mensajes de Pub/Sub sobre perfiles de datos.
- Consulta cómo añadir aspectos de Dataplex Universal Catalog basados en las estadísticas de los perfiles de datos.