En esta página, se proporciona una descripción general de alto nivel de las acciones que debes realizar si deseas que los perfiles de datos generen resultados en Security Command Center. En esta página, también se proporcionan consultas de ejemplo que puedes usar para encontrar los resultados generados.
Si eres cliente de Security Command Center Enterprise, consulta Habilita el descubrimiento de datos sensibles en el nivel Enterprise en la documentación de Security Command Center.
Acerca de los perfiles de datos
Puedes configurar la protección de datos sensibles para que genere automáticamente perfiles sobre los datos en una organización, una carpeta o un proyecto. Los perfiles de datos contienen métricas y metadatos sobre tus datos, y te ayudan a determinar dónde residen los datos sensibles y de alto riesgo. La Protección de datos sensibles informa estas métricas en varios niveles de detalle. Para obtener información sobre los tipos de datos que puedes analizar, consulta Recursos compatibles.
Beneficios de publicar perfiles de datos en Security Command Center
Esta función ofrece los siguientes beneficios en Security Command Center:
Puedes usar los resultados de la Protección de datos sensibles para identificar y corregir vulnerabilidades y configuraciones incorrectas en tus recursos que pueden exponer datos sensibles al público o a entidades maliciosas.
Puedes usar estos hallazgos para agregar contexto al proceso de clasificación y priorizar las amenazas que se dirigen a los recursos que contienen datos sensibles.
Puedes configurar Security Command Center para que priorice automáticamente los recursos para la función de simulación de rutas de ataque según la sensibilidad de los datos que contienen los recursos. Para obtener más información, consulta Cómo establecer valores de prioridad de recursos automáticamente según la sensibilidad de los datos.
Hallazgos generados de Security Command Center
Cuando configuras el servicio de descubrimiento para que publique perfiles de datos en Security Command Center, cada perfil de datos de tabla o perfil de datos de almacén de archivos genera los siguientes resultados de Security Command Center.
Resultados de vulnerabilidades del servicio de detección
El servicio de descubrimiento de Sensitive Data Protection te ayuda a determinar si almacenas datos altamente sensibles que no están protegidos.
Categoría | Resumen |
---|---|
|
Descripción del hallazgo: El recurso especificado tiene datos de alta sensibilidad a los que puede acceder cualquier persona en Internet. Recursos admitidos:
Corrección: Para los datos de Google Cloud , quita En el caso de los datos de Amazon S3, configura el bloqueo del acceso público o actualiza la LCA del objeto para denegar el acceso de lectura público. Para obtener más información, consulta Configura el bloqueo del acceso público para tus buckets de S3 y Configura LCA en la documentación de AWS. En el caso de los datos de Azure Blob Storage, quita el acceso público al contenedor y a los blobs. Para obtener más información, consulta Información general: Corrección del acceso de lectura anónimo para los datos de blob en la documentación de Azure. Estándares de cumplimiento: No se asignaron |
|
Descripción del hallazgo: Hay secretos, como contraseñas, tokens de autenticación y credenciales de Google Cloud , en las variables de entorno. Para habilitar este detector, consulta Cómo informar secretos en variables de entorno a Security Command Center en la documentación de Protección de datos sensibles. Recursos admitidos: Corrección: En el caso de las variables de entorno de Cloud Run Functions, quita el secreto de la variable de entorno y, en su lugar, almacénalo en Secret Manager. En el caso de las variables de entorno de revisión del servicio de Cloud Run, quita todo el tráfico de la revisión y, luego, bórrala. Estándares de cumplimiento:
|
|
Descripción del hallazgo: Hay secretos (como contraseñas, tokens de autenticación y credenciales de Cloud) en el recurso especificado. Recursos admitidos:
Corrección:
Estándares de cumplimiento: No se asignaron |
Resultados de errores de configuración del servicio de descubrimiento
El servicio de descubrimiento de Sensitive Data Protection te ayuda a determinar si tienes configuraciones incorrectas que podrían exponer datos sensibles.
Categoría | Resumen |
---|---|
|
Descripción del hallazgo: El recurso especificado tiene datos de alta o moderada sensibilidad y no usa una clave de encriptación administrada por el cliente (CMEK). Recursos admitidos:
Corrección:
Estándares de cumplimiento: No se asignaron |
Resultados de la observación del servicio de descubrimiento
Data sensitivity
- Es un indicador del nivel de sensibilidad de los datos en un recurso de datos en particular. Los datos son sensibles si contienen PII o algún otro elemento que podría requerir control o administración adicionales. La gravedad del hallazgo es el nivel de sensibilidad que calculó Sensitive Data Protection cuando generó el perfil de datos.
Data risk
- Es el riesgo asociado con los datos en su estado actual. Cuando calcula el riesgo de los datos, la Protección de datos sensibles considera el nivel de sensibilidad de los datos en el activo de datos y la presencia de controles de acceso para proteger esos datos. La gravedad del hallazgo es el nivel de riesgo de datos que calculó Sensitive Data Protection cuando generó el perfil de datos.
Latencia de la búsqueda de generación
Según el tamaño de tu organización, los resultados de la protección de datos sensibles pueden comenzar a aparecer en Security Command Center unos minutos después de que habilites el descubrimiento de datos sensibles. En el caso de las organizaciones más grandes o aquellas con configuraciones específicas que afectan la generación de hallazgos, pueden transcurrir hasta 12 horas antes de que aparezcan los hallazgos iniciales en Security Command Center.
Luego, la Protección de datos sensibles genera resultados en Security Command Center unos minutos después de que el servicio de descubrimiento analiza tus recursos.
Envía perfiles de datos a Security Command Center
A continuación, se muestra un flujo de trabajo de alto nivel para publicar perfiles de datos en Security Command Center.
Verifica el nivel de activación de Security Command Center para tu organización. Para enviar perfiles de datos a Security Command Center, debes tener activado este producto a nivel de la organización, en cualquier nivel de servicio.
Si Security Command Center se activa solo a nivel del proyecto, los resultados de Protección de datos sensibles no aparecerán en Security Command Center.
Si Security Command Center no está activado para tu organización, debes activarlo. Para obtener más información, consulta uno de los siguientes recursos, según tu nivel de servicio de Security Command Center:
Confirma que Sensitive Data Protection esté habilitado como un servicio integrado. Para obtener más información, consulta Cómo agregar un Google Cloud servicio integrado.
Para habilitar el descubrimiento, crea una configuración de análisis de descubrimiento para cada fuente de datos que desees analizar. En la configuración del análisis, asegúrate de mantener habilitada la opción Publicar en Security Command Center.
Si tienes una configuración de análisis de descubrimiento existente que no publica perfiles de datos en Security Command Center, consulta Habilita la publicación en Security Command Center en una configuración existente en esta página.
Habilita el descubrimiento con la configuración predeterminada
Para habilitar el descubrimiento, debes crear una configuración de descubrimiento para cada fuente de datos que desees analizar. Este procedimiento te permite crear esas configuraciones de descubrimiento automáticamente con la configuración predeterminada. Puedes personalizar la configuración en cualquier momento después de realizar este procedimiento.
Si quieres personalizar la configuración desde el principio, consulta las siguientes páginas:
- Genera perfiles de datos de BigQuery en una organización o carpeta
- Genera perfiles de datos de Cloud SQL en una organización o carpeta
- Genera perfiles de datos de Cloud Storage en una organización o carpeta
- Genera perfiles de datos de Vertex AI en una organización o carpeta
- Descubrimiento de datos sensibles para Amazon S3
- Informa secretos en variables de entorno a Security Command Center
Para habilitar el descubrimiento con la configuración predeterminada, sigue estos pasos:
En la consola de Google Cloud , ve a la página Habilitar el descubrimiento de Sensitive Data Protection.
Verifica que estás viendo la organización en la que activaste Security Command Center.
En el campo Contenedor del agente de servicio, configura el proyecto para que se use como un contenedor del agente de servicio. Dentro de este proyecto, el sistema crea un agente de servicio y le otorga automáticamente los permisos de descubrimiento necesarios.
Si antes usabas el servicio de detección para tu organización, es posible que ya tengas un proyecto de contenedor del agente de servicio que puedas reutilizar.
- Para crear automáticamente un proyecto que se usará como contenedor del agente de servicio, revisa el ID del proyecto sugerido y edítalo según sea necesario. Luego, haz clic en Crear. Es posible que los permisos tarden algunos minutos en otorgarse al agente de servicio del proyecto nuevo.
- Para seleccionar un proyecto existente, haz clic en el campo Contenedor de agente de servicio y selecciona el proyecto.
Para revisar la configuración predeterminada, haz clic en el ícono de expansión
.En la sección Habilitar el descubrimiento, haz clic en Habilitar para cada tipo de descubrimiento que quieras habilitar. Habilitar un tipo de descubrimiento hace lo siguiente:
- BigQuery: Crea una configuración de detección para generar perfiles de las tablas de BigQuery en toda la organización. La Protección de datos sensibles comienza a generar perfiles de tus datos de BigQuery y los envía a Security Command Center.
- Cloud SQL: Crea una configuración de detección para generar perfiles de las tablas de Cloud SQL en toda la organización. Sensitive Data Protection comienza a crear conexiones predeterminadas para cada una de tus instancias de Cloud SQL. Este proceso puede tardar algunas horas. Cuando las conexiones predeterminadas estén listas, debes actualizar cada conexión con las credenciales de usuario de base de datos adecuadas para otorgar acceso a Sensitive Data Protection a tus instancias de Cloud SQL.
- Vulnerabilidades de secretos o credenciales: Crea una configuración de descubrimiento para detectar y registrar secretos sin encriptar en las variables de entorno de Cloud Run. Sensitive Data Protection comienza a analizar tus variables de entorno.
- Cloud Storage: Crea una configuración de descubrimiento para generar perfiles de los buckets de Cloud Storage en toda la organización. La protección de datos sensibles comienza a generar perfiles de tus datos de Cloud Storage y los envía a Security Command Center.
- Conjuntos de datos de Vertex AI: Crea una configuración de descubrimiento para generar perfiles de los conjuntos de datos de Vertex AI en toda la organización. La Protección de datos sensibles comienza a generar perfiles de tus conjuntos de datos de Vertex AI y los envía a Security Command Center.
Amazon S3: Crea una configuración de detección para generar perfiles de todos los datos de Amazon S3 a los que tiene acceso tu conector de AWS.
Azure Blob Storage: Crea una configuración de detección para generar perfiles de todos los datos de Azure Blob Storage a los que tiene acceso tu conector de Azure.
Para ver las configuraciones de detección creadas recientemente, haz clic en Ir a la configuración de detección.
Si habilitaste el descubrimiento de Cloud SQL, la configuración de descubrimiento se crea en modo pausado con errores que indican la ausencia de credenciales. Consulta Administra las conexiones para usarlas con el descubrimiento para otorgar los roles de IAM requeridos a tu agente de servicio y proporcionar credenciales de usuario de la base de datos para cada instancia de Cloud SQL.
Cerrar el panel
Habilita la publicación en Security Command Center en una configuración existente
Si tienes una configuración de análisis de descubrimiento existente que no está configurada para publicar los resultados del descubrimiento en Security Command Center, sigue estos pasos:
En la sección Acciones, habilita Publicar en Security Command Center.
Haz clic en Guardar.
Consulta los hallazgos de Security Command Center relacionados con los perfiles de datos
A continuación, se muestran ejemplos de consultas que puedes usar para encontrar hallazgos relevantes de Data
sensitivity
y Data risk
en Security Command Center. Puedes ingresar estas consultas en el campo Editor de consultas. Para obtener más información sobre el editor de consultas, consulta Cómo editar una consulta de resultados en el panel de Security Command Center.
Enumera todos los hallazgos de Data sensitivity
y Data risk
para una tabla de BigQuery en particular
Esta consulta es útil, por ejemplo, si Security Command Center detecta un evento en el que se guardó una tabla de BigQuery en un proyecto diferente. En este caso, se genera un hallazgo de Exfiltration: BigQuery Data
Exfiltration
, que contiene el nombre visible completo de la tabla que se filtró. Puedes buscar cualquier hallazgo de Data sensitivity
y Data risk
relacionado con la tabla. Consulta los niveles de sensibilidad y riesgo de datos calculados para la tabla y planifica tu respuesta en consecuencia.
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"
Reemplaza lo siguiente:
- PROJECT_ID: Es el ID del proyecto que contiene la tabla de BigQuery.
- DATASET_ID: El ID del conjunto de datos de la tabla
- TABLE_ID: ID de la tabla
Enumera todos los hallazgos de Data sensitivity
y Data risk
para una instancia de Cloud SQL en particular
Esta consulta es útil, por ejemplo, si Security Command Center detecta un evento en el que se exportaron datos de instancias de Cloud SQL activas a un bucket de Cloud Storage fuera de la organización. En este caso, se genera un hallazgo de Exfiltration: Cloud SQL Data
Exfiltration
, que contiene el nombre completo del recurso de la instancia que se filtró. Puedes buscar cualquier hallazgo de Data sensitivity
y Data risk
relacionado con la instancia. Consulta los niveles de sensibilidad y riesgo de datos calculados para la instancia y planifica tu respuesta en consecuencia.
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"
Reemplaza lo siguiente:
- INSTANCE_NAME: Es una parte del nombre de la instancia de Cloud SQL.
Enumera todos los hallazgos de Data risk
y Data sensitivity
con un nivel de gravedad de High
.
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"
¿Qué sigue?
- Obtén más información para establecer valores prioritarios de recursos automáticamente según la sensibilidad de los datos en Security Command Center.
- Obtén información para informar la presencia de Secrets en variables de entorno a Security Command Center.