Questa pagina fornisce una panoramica generale delle azioni che devi intraprendere se vuoi che i profili di dati generino risultati in Security Command Center. Questa pagina fornisce inoltre query di esempio che puoi utilizzare per trovare i risultati generati.
Se sei un cliente di Security Command Center Enterprise, consulta Abilitare il rilevamento dei dati sensibili nel livello Enterprise nella documentazione di Security Command Center.
Informazioni sui profili di dati
Puoi configurare Sensitive Data Protection in modo che generi automaticamente profili dei dati in un'organizzazione, una cartella o un progetto. I profili di dati contengono metriche e metadati sui tuoi dati e ti aiutano a determinare dove si trovano i dati sensibili e ad alto rischio. Sensitive Data Protection genera report su queste metriche a vari livelli di dettaglio. Per informazioni sui tipi di dati che puoi profilare, consulta Risorse supportate.
Vantaggi della pubblicazione dei profili di dati in Security Command Center
Questa funzionalità offre i seguenti vantaggi in Security Command Center:
Puoi utilizzare i risultati della Protezione dei dati sensibili per identificare e correggere le vulnerabilità nelle tue risorse che possono esporre dati sensibili al pubblico o a malintenzionati.
Puoi utilizzare questi risultati per aggiungere contesto al processo di triage e dare la priorità alle minacce che hanno come target risorse contenenti dati sensibili.
Puoi configurare Security Command Center in modo da dare automaticamente la priorità alle risorse per la funzionalità di simulazione del percorso di attacco in base alla sensibilità dei dati contenuti nelle risorse. Per ulteriori informazioni, vedi Impostare automaticamente i valori di priorità delle risorse in base alla sensibilità dei dati.
Risultati di Security Command Center generati
Quando configuri il servizio di rilevamento per pubblicare i profili di dati in Security Command Center, ogni profilo di dati della tabella o del repository di file genera i seguenti risultati di Security Command Center.
Risultati relativi alle vulnerabilità del servizio di discovery
Il servizio di rilevamento Sensitive Data Protection ti aiuta a determinare se stai archiviando dati altamente sensibili non protetti.
Categoria | Riepilogo |
---|---|
Nome della categoria nell'API:
|
Descrizione del rilevamento: la risorsa specificata contiene dati con sensibilità elevata a cui chiunque può accedere su internet. Asset supportati:
Correzione: Per i dati di Google Cloud, rimuovi Per i dati di Amazon S3, configura le impostazioni di blocco dell'accesso pubblico o aggiorna l'ACL dell'oggetto per negare l'accesso in lettura pubblico. Standard di conformità: non mappato |
Nome della categoria nell'API:
|
Descrizione del problema: nelle variabili di ambiente sono presenti secret, come passwords, token di autenticazione e credenziali Google Cloud. Per attivare questo rilevatore, consulta Segnalare i secret nelle variabili di ambiente a Security Command Center nella documentazione di Sensitive Data Protection. Asset supportati: Correzione: Per le variabili di ambiente delle funzioni Cloud Run, rimuovi il secret dalla variabile di ambiente e memorizzalo in Secret Manager. Per le variabili di ambiente della revisione del servizio Cloud Run, sposta tutto il traffico dalla revisione ed eliminala. Standard di conformità:
|
Nome della categoria nell'API:
|
Descrizione del problema: nella risorsa specificata sono presenti secret, come password, token di autenticazione e credenziali cloud. Asset supportati:
Correzione:
Standard di conformità: non mappato |
Risultati dell'osservazione del servizio di discovery
Data sensitivity
- Un'indicazione del livello di sensibilità dei dati in una determinata risorsa di dati. I dati sono sensibili se contengono PII o altri elementi che potrebbero richiedere un controllo o una gestione aggiuntivi. La gravità del rilevamento corrisponde al livello di sensibilità calcolato da Sensitive Data Protection durante la generazione del profilo dei dati.
Data risk
- Il rischio associato ai dati nel loro stato attuale. Durante il calcolo del rischio per i dati, la funzionalità Protezione dei dati sensibili prende in considerazione il livello di sensibilità dei dati nell'asset dati e la presenza di controlli di accesso per proteggerli. La gravità del risultato è il livello di rischio dei dati calcolato da Sensitive Data Protection durante la generazione del profilo dati.
Trovare la latenza di generazione
Dal momento in cui Sensitive Data Protection genera i profili dei dati, possono essere necessarie fino a sei ore prima che i risultati associati vengano visualizzati in Security Command Center.
Inviare i profili di dati a Security Command Center
Di seguito è riportato un flusso di lavoro di alto livello per la pubblicazione dei profili di dati in Security Command Center.
Controlla il livello di attivazione di Security Command Center per la tua organizzazione. Per inviare i profili di dati a Security Command Center, devi attivare Security Command Center a livello di organizzazione, in qualsiasi livello di servizio.
Se Security Command Center è attivato solo a livello di progetto, i risultati di Sensitive Data Protection non verranno visualizzati in Security Command Center.
Se Security Command Center non è attivato per la tua organizzazione, devi attivarlo. Per ulteriori informazioni, consulta una delle seguenti risorse, a seconda del livello di servizio di Security Command Center:
Verifica che Sensitive Data Protection sia attivato come servizio integrato. Per ulteriori informazioni, vedi Aggiungere un servizio integrato di Google Cloud.
Attiva il rilevamento creando una configurazione di scansione del rilevamento per ogni origine dati che vuoi scansionare. Nella configurazione della scansione, assicurati di mantenere attiva l'opzione Pubblica su Security Command Center.
Se hai già una configurazione di scansione di rilevamento che non pubblica i profili di dati in Security Command Center, consulta Abilitare la pubblicazione in Security Command Center in una configurazione esistente in questa pagina.
Attivare il rilevamento con le impostazioni predefinite
Per attivare il rilevamento, devi creare una configurazione di rilevamento per ogni origine dati che vuoi analizzare. Questa procedura ti consente di creare automaticamente queste configurazioni di visibilità utilizzando le impostazioni predefinite. Puoi personalizzare le impostazioni in qualsiasi momento dopo aver eseguito questa procedura.
Se vuoi personalizzare le impostazioni fin dall'inizio, consulta invece le seguenti pagine:
- Creare un profilo dei dati di BigQuery in un'organizzazione o una cartella
- Eseguire il profilo dei dati Cloud SQL in un'organizzazione o una cartella
- Eseguire il profilo dei dati di Cloud Storage in un'organizzazione o una cartella
- Eseguire il profilo dei dati di Vertex AI in un'organizzazione o una cartella (anteprima)
- Rilevamento dei dati sensibili per Amazon S3
- Segnalare i secret nelle variabili di ambiente a Security Command Center
Per attivare il rilevamento con le impostazioni predefinite:
Nella console Google Cloud, vai alla pagina Abilita il rilevamento di Sensitive Data Protection.
Verifica di visualizzare l'organizzazione in cui hai attivato Security Command Center.
Nel campo Container dell'agente di servizio, imposta il progetto da utilizzare come container dell'agente di servizio. All'interno di questo progetto, il sistema crea un agente di servizio e gli concede automaticamente le autorizzazioni di rilevamento richieste.
Se in precedenza hai utilizzato il servizio di rilevamento per la tua organizzazione, potresti già avere un progetto di contenitore dell'agente di servizio che puoi riutilizzare.
- Per creare automaticamente un progetto da utilizzare come contenitore dell'agente di servizio, esamina l'ID progetto suggerito e modificalo in base alle tue esigenze. Quindi, fai clic su Crea. L'assegnazione delle autorizzazioni all'agente di servizio del nuovo progetto potrebbe richiedere alcuni minuti.
- Per selezionare un progetto esistente, fai clic sul campo Container dell'agente di servizio e seleziona il progetto.
Per rivedere le impostazioni predefinite, fai clic sull'icona di espansione
.Nella sezione Attiva la scoperta, fai clic su Attiva per ogni tipo di scoperta che vuoi attivare. L'attivazione di un tipo di rilevamento comporta quanto segue:
- BigQuery: crea una configurazione di rilevamento per il profiling delle tabelle BigQuery nell'intera organizzazione. Sensitive Data Protection inizia a creare il profilo dei tuoi dati BigQuery e invia i profili a Security Command Center.
- Cloud SQL: crea una configurazione di rilevamento per il profiling delle tabelle Cloud SQL nell'organizzazione. Sensitive Data Protection inizia a creare connessioni predefinite per ciascuna delle tue istanze Cloud SQL. Questa procedura può richiedere alcune ore. Quando le connessioni predefinite sono pronte, devi concedere a Sensitive Data Protection l'accesso alle tue istanze Cloud SQL aggiornando ogni connessione con le credenziali utente del database appropriate.
- Vulnerabilità di secret/credenziali: crea una configurazione di rilevamento per rilevare e segnalare i secret non criptati nelle variabili di ambiente Cloud Run. Sensitive Data Protection inizia a eseguire la scansione delle variabili di ambiente.
- Cloud Storage: crea una configurazione di rilevamento per il profiling dei bucket Cloud Storage dell'organizzazione. Sensitive Data Protection inizia a creare il profilo dei tuoi dati di Cloud Storage e invia i profili a Security Command Center.
- Set di dati Vertex AI: crea una configurazione di rilevamento per il profiling dei set di dati Vertex AI nell'organizzazione. Sensitive Data Protection inizia a creare il profilo dei set di dati Vertex AI e invia i profili a Security Command Center.
Amazon S3: crea una configurazione di rilevamento per creare il profilo dei dati di Amazon S3 nell'intera organizzazione, in un singolo account S3 o in un singolo bucket.
Per visualizzare le configurazioni di rilevamento appena create, fai clic su Vai alla configurazione del rilevamento.
Se hai attivato il rilevamento Cloud SQL, la configurazione del rilevamento viene creata in modalità in pausa con errori che indicano l'assenza di credenziali. Consulta Gestire le connessioni per l'utilizzo con la scoperta per concedere i ruoli IAM richiesti all'agente di servizio e per fornire le credenziali utente del database per ogni istanza Cloud SQL.
Chiudi il riquadro.
Attivare la pubblicazione in Security Command Center in una configurazione esistente
Se hai già una configurazione di scansione di rilevamento che non è impostata per pubblicare i risultati di rilevamento in Security Command Center, segui questi passaggi:
Nella sezione Azioni, abilita Pubblica su Security Command Center.
Fai clic su Salva.
Esegui query sui risultati di Security Command Center relativi ai profili di dati
Di seguito sono riportate alcune query di esempio che puoi utilizzare per trovare risultati Data
sensitivity
e Data risk
pertinenti in Security Command Center. Puoi inserire queste query nel campo Editor di query. Per ulteriori informazioni sull'editor di query, vedi Modificare una query sui risultati nella dashboard di Security Command Center.
Elenca tutti i risultati Data sensitivity
e Data risk
per una determinata tabella BigQuery
Questa query è utile, ad esempio, se Security Command Center rileva un evento in cui una tabella BigQuery è stata salvata in un altro progetto. In questo caso viene generato un Exfiltration: BigQuery Data
Exfiltration
risultato che contiene il nome visualizzato completo della tabella che è stata esfiltrata. Puoi cercare eventuali risultati Data sensitivity
e Data risk
correlati alla tabella. Visualizza i livelli di sensibilità e rischio per i dati calcolati per la tabella e pianifica la tua risposta di conseguenza.
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"
Sostituisci quanto segue:
- PROJECT_ID: l'ID del progetto che contiene la tabella BigQuery
- DATASET_ID: l'ID set di dati della tabella
- TABLE_ID: l'ID della tabella
Elenca tutti i risultati Data sensitivity
e Data risk
per una determinata istanza Cloud SQL
Questa query è utile, ad esempio, se Security Command Center rileva un evento in cui i dati delle istanze Cloud SQL in tempo reale sono stati esportati in un bucket Cloud Storage esterno all'organizzazione. In questo caso, viene generato un Exfiltration: Cloud SQL Data
Exfiltration
risultato che contiene il nome completo della risorsa dell'istanza
che è stata esfiltrata. Puoi cercare eventuali risultati Data sensitivity
e Data risk
correlati all'istanza. Visualizza i livelli di sensibilità e rischio per i dati calcolati per l'istanza e pianifica la tua risposta di conseguenza.
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"
Sostituisci quanto segue:
- INSTANCE_NAME: una parte del nome dell'istanza Cloud SQL
Elenca tutti i risultati Data risk
e Data sensitivity
con un livello di gravità High
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"
Passaggi successivi
- Scopri come impostare automaticamente i valori di priorità delle risorse in base alla sensibilità dei dati in Security Command Center.
- Scopri come segnalare la presenza di secret nelle variabili di ambiente a Security Command Center.