O Cloud Data Loss Prevention (Cloud DLP) faz agora parte da Proteção de dados confidenciais. O nome da API permanece o mesmo: Cloud Data Loss Prevention API (API DLP). Para informações sobre os serviços que compõem a proteção de dados confidenciais, consulte o artigo Vista geral da proteção de dados confidenciais.

Esta página foi traduzida pela API Cloud Translation.

Crie perfis de dados do Amazon S3

Esta página descreve como configurar a deteção da proteção de dados confidenciais para o Amazon S3.

Para mais informações sobre o serviço de deteção, consulte o artigo Perfis de dados.

Esta funcionalidade só está disponível para clientes que tenham ativado o Security Command Center ao nível da Enterprise.

Antes de começar

No Security Command Center, crie um conector para o Amazon Web Services (AWS). Não desmarque a caixa de verificação Conceder autorizações para a deteção da proteção de dados confidenciais. A proteção de dados confidenciais precisa dessas autorizações para criar perfis dos seus dados do Amazon S3.

Se já tiver um conector que não tenha a opção Conceder autorizações para a deteção de dados confidenciais selecionada, consulte o artigo Conceda autorizações de deteção de dados confidenciais a um conector da AWS existente.
Confirme que tem as autorizações de IAM necessárias para configurar perfis de dados ao nível da organização.

Se não tiver a função de administrador da organização (roles/resourcemanager.organizationAdmin) ou administrador de segurança (roles/iam.securityAdmin), pode continuar a criar uma configuração de análise. No entanto, depois de criar a configuração da análise, alguém com um desses papéis tem de conceder acesso à criação de perfis de dados ao seu agente de serviço.
Confirme que tem um modelo de inspeção na região global ou na região onde planeia armazenar a configuração da análise de deteção e todos os perfis de dados gerados.

Esta tarefa permite-lhe criar automaticamente um modelo de inspeção apenas na região global. Se as políticas organizacionais impedirem a criação de um modelo de inspeção na região global, antes de realizar esta tarefa, tem de criar um modelo de inspeção na região onde planeia armazenar a configuração da análise de deteção.
Para enviar notificações do Pub/Sub para um tópico quando ocorrem determinados eventos, como quando a Proteção de dados confidenciais cria um perfil de um novo contentor, crie um tópico do Pub/Sub antes de realizar esta tarefa.

Para gerar perfis de dados, precisa de um contentor de agente de serviço e um agente de serviço no respetivo interior. Esta tarefa permite-lhe criá-los automaticamente.

Crie uma configuração de análise

Aceda à página Criar configuração de análise.

Aceda a Criar configuração de análise
Aceda à sua organização. Na barra de ferramentas, clique no seletor de projetos e selecione a sua organização.

As secções seguintes fornecem mais informações sobre os passos na página Criar configuração de análise. No final de cada secção, clique em Continuar.

Selecione um tipo de descoberta

Selecione Amazon S3.

Selecione o âmbito

Efetue um dos seguintes passos:

Para analisar todos os dados do S3 aos quais o conector da AWS tem acesso, selecione Analisar todas as contas da AWS disponíveis através do conector.
Para analisar os dados do S3 numa única conta da AWS, selecione Analisar conta selecionada. Introduza o ID da conta da AWS.
Para analisar um único contentor do S3, selecione Analisar um contentor. Introduza o ID da conta da AWS que contém o contentor e introduza o nome do contentor.

Gerir horários

Se a frequência de criação de perfis predefinida for adequada às suas necessidades, pode ignorar esta secção da página Criar configuração de análise.

Configure esta secção pelos seguintes motivos:

Para fazer ajustes detalhados à frequência de criação de perfis de todos os seus dados ou de determinados subconjuntos dos seus dados.
Para especificar os contentores que não quer criar perfis.
Para especificar os grupos que não quer que sejam perfilados mais do que uma vez.

Para fazer ajustes detalhados à frequência da criação de perfis, siga estes passos:

Clique em Adicionar programação.

Nota: se selecionou um único contentor como o âmbito desta configuração, não pode adicionar um agendamento. Só pode editar o horário geral. Além disso, não pode especificar filtros. Só pode editar a frequência e as condições da criação de perfis.
Na secção Filtros, defina um ou mais filtros que especifiquem que contentores estão no âmbito da programação. Um grupo é considerado no âmbito da programação se corresponder a, pelo menos, um dos filtros definidos.

Para configurar um filtro, especifique, pelo menos, um dos seguintes elementos:
- Um ID da conta ou uma expressão regular que especifica um ou mais IDs da conta
- Um nome de contentor ou uma expressão regular que especifica um ou mais contentores
As expressões regulares têm de seguir a sintaxe RE2.

Por exemplo, se quiser que todos os depósitos de uma conta sejam incluídos no filtro, introduza o ID da conta no campo ID da conta.

Para corresponder a um filtro, um grupo tem de cumprir todas as expressões regulares especificadas nesse filtro.

Para adicionar mais filtros, clique em Adicionar filtro e repita este passo.
Clique em Frequência.
Na secção Frequência, especifique se quer criar perfis dos grupos que selecionou e, em caso afirmativo, com que frequência:
- Se nunca quiser que os contentores sejam perfilados, desative a opção Perfilam estes dados.
- Se quiser que os contentores sejam perfilados, pelo menos, uma vez, mantenha a opção Perfilhar estes dados ativada.
  
  Especifique se quer voltar a criar perfis dos seus dados e que eventos devem acionar uma operação de recriação de perfis. Para mais informações, consulte o artigo Frequência de geração do perfil de dados.
  1. Para Num agendamento, especifique a frequência com que quer que os perfis dos grupos sejam redefinidos. Os grupos são redefinidos, independentemente de terem sofrido alterações.
  2. Para Quando inspecionar alterações ao modelo, especifique se quer que os dados sejam redefinidos quando o modelo de inspeção associado for atualizado e, se for o caso, com que frequência.
    Nota: especifica os modelos de inspeção a usar no passo Selecionar modelo de inspeção nesta página.
    
    É detetada uma alteração ao modelo de inspeção quando ocorre uma das seguintes situações:
    - O nome de um modelo de inspeção é alterado na configuração da análise.
    - O updateTime de um modelo de inspeção é alterado.
Opcional: clique em Condições.

Na secção Condições, especifique as condições que os recipientes, definidos nos seus filtros, têm de cumprir antes de serem processados pelos perfis de proteção de dados confidenciais.

Se necessário, defina o seguinte:
- Condições mínimas: se quiser atrasar a criação de perfis de um grupo até atingir uma determinada idade, ative esta opção. Em seguida, introduza a duração mínima.
  
  Nota: se selecionou um único contentor como o âmbito desta configuração, não pode definir esta condição.
- Condições da classe de armazenamento de objetos: por predefinição, a proteção de dados confidenciais analisa todos os objetos num contentor. Se quiser analisar apenas objetos com atributos específicos, selecione esses atributos.
Exemplos de condições

Suponhamos que tem a seguinte configuração:
- Condições mínimas
  - Duração mínima: 24 horas
- Condições da classe de armazenamento de objetos
  - Analise objetos com a classe de armazenamento de objetos S3 Standard
  - Analise objetos com a classe de armazenamento S3 Glacier Instant Retrieval
Neste caso, a proteção de dados confidenciais considera apenas os contentores com, pelo menos, 24 horas. Nestes contentores, a proteção de dados confidenciais cria perfis apenas dos objetos que estão na classe de armazenamento Amazon S3 Standard ou Amazon S3 Glacier Instant Retrieval.
Clique em Concluído.
Opcional: para adicionar mais programações, clique em Adicionar programação e repita os passos anteriores.
Para especificar a precedência entre horários, reordene-os com as setas para cima e para baixo.

A ordem dos horários especifica como os conflitos entre horários são resolvidos. Se um grupo corresponder aos filtros de dois horários diferentes, o horário mais acima na lista de horários determina a frequência de criação de perfis para esse grupo.

Nota: se o modo de preços de deteção for o modo de subscrição, a taxa à qual a proteção de dados confidenciais perfila os seus dados é afetada pela quantidade de capacidade que comprou. Para determinar a sua capacidade de criação de perfis diária, consulte o artigo Monitorizar a utilização. Se tiver capacidade insuficiente, as frequências de criação de perfis que definir nas suas programações podem não ser seguidas. Se existir um atraso de dados a serem analisados, a ordem da programação não determina a ordem pela qual a proteção de dados confidenciais analisa os dados no atraso. Em vez disso, todos os recursos de dados no âmbito recebem um espaço atribuído aleatoriamente na fila.
Opcional: edite ou desative a Programação geral.

O último horário na lista é o horário geral. Esta programação abrange os contentores no âmbito selecionado que não correspondem a nenhuma das programações que criou. A programação geral segue a frequência de criação de perfis predefinida do sistema.
- Para ajustar a programação geral, clique em Editar programação e, de seguida, ajuste as definições conforme necessário.
- Para impedir que a proteção de dados confidenciais crie perfis de recursos cobertos pela programação geral, desative a opção Criar perfis dos recursos que não correspondem a nenhuma programação personalizada.

Selecione um modelo de inspeção

Dependendo da forma como quer fornecer uma configuração de inspeção, escolha uma das seguintes opções. Independentemente da opção escolhida, a Proteção de dados confidenciais analisa os seus dados na região onde esses dados estão armazenados. Ou seja, os seus dados não saem da respetiva região de origem.

Opção 1: crie um modelo de inspeção

Escolha esta opção se quiser criar um novo modelo de inspeção na região global.

Clique em Criar novo modelo de inspeção.
Opcional: para modificar a seleção predefinida de infoTypes, clique em Gerir infoTypes.

Para mais informações sobre como gerir infoTypes incorporados e personalizados, consulte o artigo Faça a gestão de infoTypes através da Google Cloud consola.

Tem de ter, pelo menos, um infoType selecionado para continuar.
Opcional: configure ainda mais o modelo de inspeção adicionando conjuntos de regras e definindo um limite de confiança. Para mais informações, consulte o artigo Configure a deteção.

Quando a proteção de dados confidenciais cria a configuração da análise, armazena este novo modelo de inspeção na região global.

Opção 2: use um modelo de inspeção existente

Escolha esta opção se tiver modelos de inspeção existentes que queira usar.

Clique em Selecionar modelo de inspeção existente.
Introduza o nome completo do recurso do modelo de inspeção que quer usar. O campo Região é preenchido automaticamente com o nome da região onde o modelo de inspeção está armazenado.
O modelo de inspeção que introduzir tem de estar na mesma região onde planeia armazenar esta configuração de análise de deteção e todos os perfis de dados gerados.

Para respeitar a residência de dados, a Proteção de dados confidenciais não usa um modelo de inspeção fora da região onde esse modelo está armazenado.

Para encontrar o nome completo do recurso de um modelo de inspeção, siga estes passos:
1. Aceda à lista de modelos de inspeção. Esta página é aberta num separador separado.
  
  Aceda aos modelos de inspeção
2. Mude para o projeto que contém o modelo de inspeção que quer usar.
3. No separador Modelos, clique no ID do modelo que quer usar.
4. Na página aberta, copie o nome completo do recurso do modelo. O nome completo do recurso segue este formato:
```
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
```
5. Na página Criar configuração de análise, no campo Nome do modelo, cole o nome completo do recurso do modelo.

Adicione ações

Esta secção descreve como especificar as ações que quer que a Proteção de dados confidenciais execute após a criação de perfis de um contentor. Estas ações são úteis se quiser enviar estatísticas recolhidas a partir de perfis de dados para outros serviçosGoogle Cloud .

Publique no Google Security Operations

As métricas recolhidas a partir de perfis de dados podem adicionar contexto às suas conclusões do Google Security Operations. O contexto adicionado pode ajudar a determinar os problemas de segurança mais importantes a resolver.

Por exemplo, se estiver a investigar um agente de serviço específico, o Google Security Operations pode determinar a que recursos o agente de serviço acedeu e se algum desses recursos tem dados de alta sensibilidade.

Para enviar os seus perfis de dados para a instância do Google Security Operations, ative a opção Publicar no Google Security Operations.

Se não tiver uma instância do Google Security Operations ativada para a sua organização, através do produto autónomo ou do Security Command Center Enterprise, a ativação desta opção não tem qualquer efeito.

Publicação no Security Command Center

As conclusões dos perfis de dados fornecem contexto quando tria e desenvolve planos de resposta para as conclusões de vulnerabilidades e ameaças no Security Command Center.

Para enviar os resultados dos seus perfis de dados para o Security Command Center, certifique-se de que a opção Publicar no Security Command Center está ativada.

Para mais informações, consulte o artigo Publique perfis de dados no Security Command Center.

Guarde cópias dos perfis de dados no BigQuery

A proteção de dados confidenciais guarda uma cópia de cada perfil de dados gerado numa tabela do BigQuery. Se não fornecer os detalhes da sua tabela preferencial, a proteção de dados confidenciais cria um conjunto de dados e uma tabela no contentor do agente do serviço. Por predefinição, o conjunto de dados chama-se sensitive_data_protection_discovery e a tabela chama-se discovery_profiles.

Esta ação permite-lhe manter um histórico de todos os perfis gerados. Este histórico pode ser útil para criar relatórios de auditoria e visualizar perfis de dados. Também pode carregar estas informações noutros sistemas.

Além disso, esta opção permite-lhe ver todos os seus perfis de dados numa única vista, independentemente da região em que os seus dados residem. Embora também possa ver os perfis de dados através da Google Cloud consola, a consola apresenta os perfis apenas numa região de cada vez.

Quando a proteção de dados confidenciais não consegue criar um perfil de um contentor, tenta novamente periodicamente. Para minimizar o ruído nos dados exportados, a proteção de dados confidenciais exporta apenas os perfis gerados com êxito para o BigQuery.

A proteção de dados confidenciais começa a exportar perfis a partir do momento em que ativa esta opção. Os perfis gerados antes de ativar a exportação não são guardados no BigQuery.

Para ver exemplos de consultas que pode usar ao analisar perfis de dados, consulte o artigo Analise perfis de dados.

Guarde os resultados da deteção de amostras no BigQuery

A proteção de dados confidenciais pode adicionar resultados de amostra a uma tabela do BigQuery à sua escolha. Os resultados de amostra representam um subconjunto de todos os resultados e podem não representar todos os infoTypes que foram descobertos. Normalmente, o sistema gera cerca de 10 resultados de amostra por contentor, mas este número pode variar para cada execução de deteção.

Cada descoberta inclui a string real (também denominada citação) que foi detetada e a respetiva localização exata.

Esta ação é útil se quiser avaliar se a sua configuração de inspeção está a fazer corresponder corretamente o tipo de informações que quer sinalizar como confidenciais. Com os perfis de dados exportados e os resultados de amostra exportados, pode executar consultas para obter mais informações acerca dos itens específicos que foram denunciados, os infoTypes que corresponderam, as respetivas localizações exatas, os respetivos níveis de sensibilidade calculados e outros detalhes.

Este exemplo requer que as opções Guardar cópias do perfil de dados no BigQuery e Guardar resultados da deteção de amostras no BigQuery estejam ativadas.

A consulta seguinte usa uma operação INNER JOIN na tabela de perfis de dados exportados e na tabela de resultados de amostra exportados. Na tabela resultante, cada registo mostra a citação da descoberta, o infoType que correspondeu, o recurso que contém a descoberta e o nível de sensibilidade calculado do recurso.

SELECT
 findings_table.quote,
 findings_table.infotype.name,
 findings_table.location.container_name,
 profiles_table.file_store_profile.file_store_path as bucket_name,
 profiles_table.file_store_profile.sensitivity_score as bucket_sensitivity_score
FROM
 `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table
INNER JOIN
 `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table
ON
 findings_table.data_profile_resource_name=profiles_table.file_store_profile.name

Para guardar resultados de exemplo numa tabela do BigQuery, siga estes passos:

Ative a opção Guardar resultados da descoberta de amostras no BigQuery.
Introduza os detalhes da tabela do BigQuery onde quer guardar as conclusões de amostra.

A tabela que especificar para esta ação tem de ser diferente da tabela usada para a ação Guardar cópias do perfil de dados no BigQuery.
- Para o ID do projeto, introduza o ID de um projeto existente para o qual quer exportar as conclusões.
- Para ID do conjunto de dados, introduza o nome de um conjunto de dados existente no projeto.
- Para ID da tabela, introduza o nome da tabela do BigQuery onde quer guardar as conclusões. Se esta tabela não existir, a proteção de dados confidenciais cria-a automaticamente para si com o nome que indicar.

Para obter informações sobre o conteúdo de cada descoberta guardada na tabela do BigQuery, consulte DataProfileFinding.

Publicar no Pub/Sub

A ativação da opção Publicar no Pub/Sub permite-lhe tomar medidas programáticas com base nos resultados da criação de perfis. Pode usar notificações do Pub/Sub para desenvolver um fluxo de trabalho para detetar e corrigir resultados com um risco ou uma sensibilidade de dados significativos.

Para enviar notificações para um tópico do Pub/Sub, siga estes passos:

Ative a opção Publicar no Pub/Sub.

É apresentada uma lista de opções. Cada opção descreve um evento que faz com que a proteção de dados confidenciais envie uma notificação para o Pub/Sub.
Selecione os eventos que devem acionar uma notificação do Pub/Sub.

Se selecionar Enviar uma notificação do Pub/Sub sempre que um perfil for atualizado, a Proteção de dados confidenciais envia uma notificação quando existe uma alteração no nível de sensibilidade, no nível de risco de dados, nos infoTypes detetados, no acesso público e noutras métricas importantes no perfil.
Para cada evento que selecionar, siga estes passos:
1. Introduza o nome do tópico. O nome tem de estar no seguinte formato:
```
projects/PROJECT_ID/topics/TOPIC_ID
```
  Substitua o seguinte:
  - PROJECT_ID: o ID do projeto associado ao tópico do Pub/Sub.
  - TOPIC_ID: o ID do tópico do Pub/Sub.
2. Especifique se quer incluir o perfil do contentor completo na notificação ou apenas o nome do recurso completo do contentor que foi analisado.
3. Defina os níveis de risco e sensibilidade dos dados mínimos que têm de ser cumpridos para que a proteção de dados confidenciais envie uma notificação.
4. Especifique se apenas uma ou ambas as condições de risco e sensibilidade dos dados têm de ser cumpridas. Por exemplo, se escolher AND, as condições de risco de dados e de sensibilidade têm de ser cumpridas antes que a Proteção de dados confidenciais envie uma notificação.

Nota: o seu agente de serviço tem de ter acesso de publicação no tópico do Pub/Sub. Um exemplo de uma função que tem acesso de publicação é a função de publicador do Pub/Sub (roles/pubsub.publisher). Se ainda não tiver um agente de serviço, a proteção de dados confidenciais permite-lhe criar um mais tarde na página Criar configuração de análise. Se existirem problemas de configuração ou autorização com o tópico do Pub/Sub, a Proteção de dados confidenciais tenta reenviar a notificação do Pub/Sub durante um período máximo de duas semanas. Após duas semanas, a notificação é rejeitada.

Faça a gestão do contentor do agente de serviço e da faturação

Nesta secção, especifica o projeto a usar como um contentor do agente de serviço. Pode fazer com que a Proteção de dados confidenciais crie automaticamente um novo projeto ou escolher um projeto existente.

Independentemente de estar a usar um agente de serviço recém-criado ou a reutilizar um existente, certifique-se de que tem acesso de leitura aos dados a serem perfilados.

Crie um projeto automaticamente

Se não tiver as autorizações necessárias para criar um projeto na organização, tem de selecionar um projeto existente ou obter as autorizações necessárias. Para obter informações sobre as autorizações necessárias, consulte o artigo Funções necessárias para trabalhar com perfis de dados ao nível da organização ou da pasta.

Para criar automaticamente um projeto para usar como contentor do agente de serviço, siga estes passos:

No campo Recipiente do agente de serviço, reveja o ID do projeto sugerido e edite-o conforme necessário.
Clique em Criar.
Opcional: atualize o nome do projeto predefinido.
Selecione a conta a faturar por todas as operações faturáveis relacionadas com este novo projeto, incluindo operações que não estão relacionadas com a deteção.

Nota: se já tiver uma subscrição do Google Workspace Discovery ao nível da organização, continua a precisar desta conta de faturação para criar o projeto. No entanto, todas as operações de descoberta são faturadas através do projeto associado à sua subscrição.
Clique em Criar.

A Proteção de dados confidenciais cria o novo projeto. O agente de serviço neste projeto vai ser usado para autenticar no serviço de proteção de dados sensíveis e noutras APIs.

Selecione um projeto existente

Para selecionar um projeto existente como contentor do agente de serviço, clique no campo Contentor do agente de serviço e selecione o projeto.

Defina a localização para armazenar a configuração

Clique na lista Localização do recurso e selecione a região onde quer armazenar esta configuração de análise. Todas as configurações de análise que criar posteriormente também são armazenadas nesta localização.

O local onde optar por armazenar a configuração da análise não afeta os dados a serem analisados. Os seus dados são analisados na mesma região onde são armazenados. Para mais informações, consulte as Considerações sobre a residência de dados.

Reveja e crie a configuração

Se quiser certificar-se de que a criação de perfis não é iniciada automaticamente depois de criar a configuração de análise, selecione Criar análise no modo pausado.
Esta opção é útil nos seguintes casos:
- O seu Google Cloud administrador continua a ter de conceder acesso à análise de perfis de dados ao agente de serviço.
- Quiser criar várias configurações de análise e quiser que algumas configurações substituam outras.
- Optou por guardar perfis de dados no BigQuery e quer certificar-se de que o agente de serviço tem acesso de escrita à tabela do BigQuery onde as cópias dos perfis de dados vão ser guardadas.
- Optou por guardar as conclusões de deteção de amostras no BigQuery e quer certificar-se de que o agente de serviço tem acesso de escrita à tabela do BigQuery onde as conclusões de amostras vão ser guardadas.
- Configurou notificações do Pub/Sub e quer conceder acesso de publicação ao agente do serviço.
Reveja as definições e clique em Criar.
A proteção de dados confidenciais cria a configuração de análise e adiciona-a à lista de configurações de análise de deteção.

Para ver ou gerir as configurações de análise, consulte o artigo Gerir configurações de análise.

O que se segue?

Se não tiver a função de administrador da organização (roles/resourcemanager.organizationAdmin) ou administrador de segurança (roles/iam.securityAdmin), alguém com uma dessas funções tem de conceder acesso à criação de perfis de dados ao seu agente de serviço.
Saiba como gerir perfis de dados.
Saiba como gerir as configurações de análise.
Saiba como receber e analisar mensagens do Pub/Sub publicadas pelo criador de perfis de dados.
Saiba como resolver problemas com perfis de dados.
Consulte os limites da criação de perfis de dados.
Examine os clusters de ficheiros que a deteção de dados confidenciais pode analisar.