Esta página oferece uma visão geral de alto nível das ações que você precisa realizar se quer que os perfis de dados gerem descobertas no Security Command Center. Esta página também fornece exemplos de consultas que podem ser usadas para encontrar as descobertas geradas.
Se você for cliente do Security Command Center Enterprise, consulte Ativar a descoberta de dados confidenciais no nível Enterprise na documentação do Security Command Center.
Sobre os perfis de dados
É possível configurar a Proteção de dados sensíveis para gerar automaticamente perfis sobre dados em uma organização, pasta ou projeto. Os perfis de dados contêm métricas e metadados sobre os dados e ajudam a determinar onde os dados sensíveis e de alto risco residem. A Proteção de dados sensíveis informa essas métricas em vários níveis de detalhes. Para saber mais sobre os tipos de dados que podem ser usados para criar perfis, consulte Recursos compatíveis.
Benefícios de publicar perfis de dados no Security Command Center
Esse recurso oferece os seguintes benefícios no Security Command Center:
É possível usar as descobertas da Proteção de dados sensíveis para identificar e remediar vulnerabilidades nos seus recursos que podem expor dados sensíveis ao público ou a agentes maliciosos.
Você pode usar essas descobertas para adicionar contexto ao processo de triagem e priorizar ameaças que visam recursos com dados sensíveis.
É possível configurar o Security Command Center para priorizar automaticamente os recursos do recurso de simulação de caminho de ataque de acordo com a sensibilidade dos dados que eles contêm. Para mais informações, consulte Definir valores de prioridade de recursos automaticamente com base na confidencialidade dos dados.
Descobertas geradas pelo Security Command Center
Quando você configura o serviço de descoberta para publicar perfis de dados no Security Command Center, cada perfil de dados da tabela ou da loja de arquivos gera as seguintes descobertas do Security Command Center.
Descobertas de vulnerabilidades do serviço de descoberta
O serviço de descoberta da Proteção de Dados Sensíveis ajuda a determinar se você está armazenando dados altamente sensíveis que não estão protegidos.
| Categoria | Resumo |
|---|---|
|
Nome da categoria na API:
|
Descrição da descoberta: o recurso especificado tem dados de alta sensibilidade que podem ser acessados por qualquer pessoa na Internet. Recursos compatíveis:
Remediação: Para dados do Google Cloud, remova Para dados do Amazon S3, configure as configurações de bloqueio de acesso público ou atualize a ACL do objeto para negar o acesso de leitura público. Padrões de compliance: não mapeados |
|
Nome da categoria na API:
|
Descrição da descoberta: há segredos, como senhas, tokens de autenticação e credenciais do Google Cloud, nas variáveis de ambiente. Para ativar esse detector, consulte Informar segredos em variáveis de ambiente para o Security Command Center na documentação da proteção de dados sensíveis. Recursos compatíveis: Remediação: Para variáveis de ambiente do Cloud Run functions, remova o secret da variável de ambiente e armazene-o no Secret Manager. Para variáveis de ambiente de revisão do serviço do Cloud Run, remova todo o tráfego da revisão e exclua-a. Padrões de compliance:
|
|
Nome da categoria na API:
|
Descrição da descoberta: há segredos, como senhas, tokens de autenticação e credenciais de nuvem, no recurso especificado. Recursos compatíveis:
Remediação:
Padrões de compliance: não mapeados |
Descobertas de observação do serviço de descoberta
Data sensitivity- Uma indicação do nível de confidencialidade dos dados em um recurso de dados específico. Os dados são confidenciais quando contêm PII ou outros elementos que podem exigir mais controle ou gerenciamento. A gravidade da descoberta é o nível de confidencialidade calculado pela proteção de dados confidenciais ao gerar o perfil de dados.
Data risk- Risco associado aos dados no estado atual. Ao calcular o risco de dados, a proteção de dados sensíveis considera o nível de confidencialidade dos dados no recurso de dados e a presença de controles de acesso para proteger esses dados. A gravidade da descoberta é o nível de risco de dados que a Proteção de dados sensíveis calculou ao gerar o perfil de dados.
Como encontrar a latência de geração
Quando a proteção de dados sensíveis gera os perfis de dados, pode levar até seis horas para que as descobertas associadas apareçam no Security Command Center.
Enviar perfis de dados para o Security Command Center
Confira a seguir um fluxo de trabalho de alto nível para publicar perfis de dados no Security Command Center.
Confira o nível de ativação do Security Command Center para sua organização. Para enviar perfis de dados ao Security Command Center, é necessário ativar o Security Command Center no nível da organização em qualquer nível de serviço.
Se o Security Command Center estiver ativado apenas no nível do projeto, as descobertas da Proteção de dados sensíveis não vão aparecer no Security Command Center.
Se o Security Command Center não estiver ativado para sua organização, você precisa ativá-lo. Para mais informações, consulte uma das opções a seguir, dependendo do seu nível de serviço do Security Command Center:
Confirme se a Proteção de dados sensíveis está ativada como um serviço integrado. Para mais informações, consulte Adicionar um serviço integrado do Google Cloud.
Ative a descoberta criando uma configuração de verificação de descoberta para cada origem de dados que você quer verificar. Na configuração da verificação, mantenha a opção Publicar no Security Command Center ativada.
Se você tiver uma configuração de verificação de descoberta que não publica perfis de dados no Security Command Center, consulte Ativar a publicação no Security Command Center em uma configuração existente nesta página.
Ativar a descoberta com as configurações padrão
Para ativar a descoberta, crie uma configuração de descoberta para cada fonte de dados que você quer verificar. Esse procedimento permite criar essas configurações de detecção automaticamente usando as configurações padrão. Você pode personalizar as configurações a qualquer momento depois de realizar esse procedimento.
Se você quiser personalizar as configurações desde o início, consulte as páginas a seguir:
- Criar perfis de dados do BigQuery em uma organização ou pasta
- Criar perfis de dados do Cloud SQL em uma organização ou pasta
- Criar perfis de dados do Cloud Storage em uma organização ou pasta
- Perfil dos dados da Vertex AI em uma organização ou pasta (pré-lançamento)
- Descoberta de dados sensíveis para o Amazon S3
- Denunciar segredos em variáveis de ambiente ao Security Command Center
Para ativar a descoberta com as configurações padrão, siga estas etapas:
No console do Google Cloud, acesse a página Ativar a descoberta da Proteção de dados sensíveis.
Verifique se você está visualizando a organização em que ativou o Security Command Center.
No campo Contêiner de agente de serviço, defina o projeto a ser usado como um contêiner de agente de serviço. Nesse projeto, o sistema cria um agente de serviço e concede automaticamente as permissões de descoberta necessárias a ele.
Se você já usou o serviço de descoberta para sua organização, talvez já tenha um projeto de contêiner de agente de serviço que pode ser reutilizado.
- Para criar automaticamente um projeto a ser usado como contêiner do agente de serviço, analise o ID do projeto sugerido e edite conforme necessário. Em seguida, clique em Criar. Pode levar alguns minutos para que as permissões sejam concedidas ao agente de serviço do novo projeto.
- Para selecionar um projeto, clique no campo Contêiner do agente de serviço e selecione o projeto.
Para revisar as configurações padrão, clique no ícone de expansão .
Na seção Ativar descoberta, clique em Ativar para cada tipo de descoberta que você quer ativar. Ativar um tipo de descoberta faz o seguinte:
- BigQuery: cria uma configuração de descoberta para gerar perfis de tabelas do BigQuery em toda a organização. A Proteção de dados sensíveis começa a criar o perfil dos seus dados do BigQuery e envia os perfis para o Security Command Center.
- Cloud SQL: cria uma configuração de descoberta para criar perfis de tabelas do Cloud SQL em toda a organização. A Proteção de dados sensíveis começa a criar conexões padrão para cada uma das suas instâncias do Cloud SQL. Esse processo pode levar algumas horas. Quando as conexões padrão estiverem prontas, você precisará conceder acesso à Proteção de Dados Sensíveis às suas instâncias do Cloud SQL atualizando cada conexão com as credenciais adequadas do usuário do banco de dados.
- Vulnerabilidades de secrets/credenciais: cria uma configuração de descoberta para detectar e informar secrets não criptografados em variáveis de ambiente do Cloud Run. A Proteção de Dados Sensíveis começa a verificar suas variáveis de ambiente.
- Cloud Storage: cria uma configuração de descoberta para criar perfis de buckets do Cloud Storage em toda a organização. A Proteção de dados sensíveis começa a criar o perfil dos seus dados do Cloud Storage e envia os perfis para o Security Command Center.
- Conjuntos de dados da Vertex AI: cria uma configuração de descoberta para criar perfis de conjuntos de dados da Vertex AI em toda a organização. A Proteção de dados sensíveis começa a criar perfis dos seus conjuntos de dados da Vertex AI e envia os perfis para o Security Command Center.
Amazon S3: cria uma configuração de descoberta para criar perfis de dados do Amazon S3 em toda a organização, em uma única conta do S3 ou em um bucket.
Para conferir as configurações de descoberta recém-criadas, clique em Acessar a configuração de descoberta.
Se você ativou a descoberta do Cloud SQL, a configuração de descoberta é criada no modo pausado com erros indicando a ausência de credenciais. Consulte Gerenciar conexões para uso com a detecção para conceder os papéis do IAM necessários ao agente de serviço e fornecer as credenciais do usuário do banco de dados para cada instância do Cloud SQL.
Fechar painel.
Ativar a publicação no Security Command Center em uma configuração
Se você tiver uma configuração de verificação de descoberta que não está definida para publicar os resultados no Security Command Center, siga estas etapas:
Na seção Ações, ative a opção Publicar no Security Command Center.
Clique em Salvar.
Consultar descobertas do Security Command Center relacionadas a perfis de dados
Confira abaixo exemplos de consultas que podem ser usadas para encontrar descobertas relevantes de Data
sensitivity e Data risk no Security Command Center. É possível inserir essas consultas no campo Editor de consultas. Para mais informações sobre o
editor de consultas, consulte Editar uma consulta de descobertas no painel do
Security Command Center.
Listar todas as descobertas de Data sensitivity e Data risk em uma tabela específica do BigQuery
Essa consulta é útil, por exemplo, se o Security Command Center detectar um evento em que
uma tabela do BigQuery foi salva em um projeto diferente. Nesse caso,
uma descoberta Exfiltration: BigQuery Data
Exfiltration
é gerada e contém o nome de exibição completo da tabela que
foi exfiltrado. É possível pesquisar qualquer descoberta Data sensitivity e Data risk
relacionada à tabela. Confira os níveis de sensibilidade e risco de dados
calculados para a tabela e planeje sua resposta de acordo.
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"
Substitua:
- PROJECT_ID: o ID do projeto que contém a tabela do BigQuery
- DATASET_ID: o ID do conjunto de dados da tabela
- TABLE_ID: o ID da tabela
Listar todas as descobertas de Data sensitivity e Data risk para uma instância específica do Cloud SQL
Essa consulta é útil, por exemplo, se o Security Command Center detectar um evento em que
os dados da instância do Cloud SQL em tempo real foram exportados para um bucket do Cloud Storage
fora da organização. Nesse caso, uma descoberta Exfiltration: Cloud SQL Data
Exfiltration
é gerada e contém o nome completo do recurso da instância
que foi exfiltrado. Você pode pesquisar qualquer Data sensitivity e Data risk
relacionados à instância. Confira os níveis de sensibilidade e risco de dados
calculados para a instância e planeje sua resposta de acordo.
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"
Substitua:
- INSTANCE_NAME: parte do nome da instância do Cloud SQL
Listar todas as descobertas de Data risk e Data sensitivity com um nível de gravidade de High
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"
A seguir
- Saiba como definir valores de prioridade de recursos automaticamente com base na sensibilidade dos dados no Security Command Center.
- Saiba como informar a presença de segredos em variáveis de ambiente para o Security Command Center.