Publicar perfis de dados no Security Command Center

Esta página fornece uma visão geral de alto nível das ações que você precisa realizar se quiser que os perfis de dados gerem descobertas no Security Command Center. Nesta página, também são fornecidas consultas de exemplo que podem ser usadas para encontrar as descobertas geradas.

É possível configurar a proteção de dados sensíveis para gerar automaticamente perfis sobre dados em uma organização, pasta ou projeto. Os perfis de dados contêm métricas e metadados sobre seus dados e ajudam a determinar onde estão os dados confidenciais e de alto risco. A proteção de dados sensíveis informa essas métricas em vários níveis de detalhamento. Para mais informações sobre os tipos de dados que podem ser criados em perfis, consulte Recursos compatíveis.

O Security Command Center é o serviço centralizado de geração de relatórios de vulnerabilidade e ameaças do Google Cloud. O Security Command Center ajuda a fortalecer sua postura de segurança ao identificar configurações incorretas, vulnerabilidades, observações e ameaças. Ele também fornece recomendações para investigar e corrigir as descobertas.

Os perfis de dados podem gerar descobertas de observação no Security Command Center que mostram a confidencialidade calculada e os níveis de risco dos dados. Use essas descobertas para informar sua resposta quando encontrar ameaças e vulnerabilidades relacionadas aos seus dados.

Descobertas do Security Command Center geradas

Quando você configura o serviço de descoberta para publicar perfis de dados no Security Command Center, cada perfil de dados de tabela gera as seguintes descobertas do Security Command Center:

Data sensitivity
Uma indicação do nível de confidencialidade dos dados em uma tabela específica. Os dados são confidenciais quando contêm PII ou outros elementos que podem exigir mais controle ou gerenciamento. A gravidade da descoberta é o nível de confidencialidade calculado pela proteção de dados confidenciais ao gerar o perfil de dados.
Data risk
Risco associado aos dados no estado atual. Ao calcular o risco de dados, a proteção de dados confidenciais considera o nível de confidencialidade dos dados na tabela e a presença de controles de acesso para protegê-los. A gravidade da descoberta é o nível de risco de dados que a Proteção de dados confidenciais calculou ao gerar o perfil de dados.

Como encontrar a latência de geração

Quando a proteção de dados confidenciais gera os perfis de dados, pode levar até seis horas para que as descobertas de Data sensitivity e Data risk associadas apareçam no Security Command Center.

Enviar perfis de dados para o Security Command Center

Confira a seguir um fluxo de trabalho detalhado para publicar perfis de dados no Security Command Center.

  1. Verifique o nível de ativação do Security Command Center para sua organização. Para enviar perfis de dados ao Security Command Center, ative o Security Command Center no nível da organização, no nível Standard ou Premium.

    Se o Security Command Center for ativado apenas no nível do projeto, as descobertas da proteção de dados sensíveis não serão exibidas no Security Command Center.

  2. Ative-o se o Security Command Center não estiver ativado para sua organização. Para mais informações, consulte Ativar o Security Command Center para uma organização.

  3. Adicione a Proteção de dados sensíveis como um serviço integrado. Para mais informações, consulte Adicionar um serviço integrado do Google Cloud.

  4. Ao configurar a criação de perfil de dados para uma organização ou pasta ou projeto, ative a opção Publicar no Security Command Center. Também é possível editar as configurações da verificação de descoberta existentes para ativar essa opção.

    Para começar a criar ou editar uma configuração de verificação, acesse a página Descoberta no console do Google Cloud.

    Acessar "Descoberta"

Consultar descobertas do Security Command Center relacionadas a perfis de dados

Veja a seguir exemplos de consultas que podem ser usadas para encontrar descobertas relevantes de Data sensitivity e Data risk no Security Command Center. É possível inserir essas consultas no campo Editor de consultas. Para mais informações sobre o editor de consultas, acesse Editar uma consulta de descobertas no painel do Security Command Center.

Listar todas as descobertas de Data sensitivity e Data risk de uma tabela do BigQuery específica

Essa consulta é útil, por exemplo, quando o Security Command Center detecta um evento em que uma tabela do BigQuery foi salva em um projeto diferente. Nesse caso, uma descoberta Exfiltration: BigQuery Data Exfiltration é gerada e contém o nome de exibição completo da tabela que foi exfiltrada. É possível pesquisar qualquer descoberta de Data sensitivity e Data risk relacionada à tabela. Visualize os níveis calculados de sensibilidade e de risco de dados para a tabela e planeje sua resposta de acordo.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"

Substitua:

  • PROJECT_ID: o ID do projeto que contém a tabela do BigQuery.
  • DATASET_ID: o ID do conjunto de dados da tabela.
  • TABLE_ID: o ID da tabela

Listar todas as descobertas de Data risk e Data sensitivity com um nível de gravidade High

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"