Publier des profils de données dans Security Command Center

Cette page fournit un aperçu général des actions que vous devez effectuer si vous souhaitez que les profils de données génèrent des résultats dans Security Command Center. Cette page fournit également des exemples de requêtes que vous pouvez utiliser pour trouver les résultats générés.

Si vous êtes un client Security Command Center Enterprise, consultez plutôt Activer la découverte des données sensibles dans le niveau Enterprise dans la documentation Security Command Center.

À propos des profils de données

Vous pouvez configurer la protection des données sensibles pour qu'elle génère automatiquement des profils sur les données d'une organisation, d'un dossier ou d'un projet. Les profils de données contiennent des métriques et des métadonnées relatives à vos données, et vous permettent de déterminer l'emplacement des données sensibles et à haut risque. La protection des données sensibles signale ces métriques à différents niveaux de détail. Pour en savoir plus sur les types de données que vous pouvez profiler, consultez Ressources compatibles.

Avantages de la publication de profils de données dans Security Command Center

Cette fonctionnalité offre les avantages suivants dans Security Command Center :

Résultats générés par Security Command Center

Lorsque vous configurez le service de découverte pour publier des profils de données dans Security Command Center, chaque profil de données de table ou de fichier génère les résultats Security Command Center suivants.

Résultats de failles du service de découverte

Le service de découverte Sensitive Data Protection vous aide à déterminer si vous stockez des données très sensibles qui ne sont pas protégées.

Catégorie Résumé

Nom de la catégorie dans l'API :

PUBLIC_SENSITIVE_DATA

Description du résultat : la ressource spécifiée contient des données à sensibilité élevée accessibles par tous les internautes.

Composants acceptés :

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3
  • Conteneur Azure Blob Storage

Remédiation :

Pour les données Google Cloud , supprimez allUsers etallAuthenticatedUsers de la stratégie IAM de l'asset de données.

Pour les données Amazon S3, configurez les paramètres de blocage de l'accès public ou mettez à jour la LCA de l'objet pour refuser l'accès public en lecture. Pour en savoir plus, consultez les pages Configurer les paramètres de blocage de l'accès public pour vos buckets S3 et Configurer les ACL dans la documentation AWS.

Pour les données Azure Blob Storage, supprimez l'accès public au conteneur et aux blobs. Pour en savoir plus, consultez Présentation : corriger l'accès en lecture anonyme aux données blob dans la documentation Azure.

Normes de conformité : non mappées

Nom de la catégorie dans l'API :

SECRETS_IN_ENVIRONMENT_VARIABLES

Description du résultat : des secrets (tels que des mots de passe, des jetons d'authentification et des identifiants Google Cloud ) sont présents dans les variables d'environnement.

Pour activer ce détecteur, consultez Signaler les secrets dans les variables d'environnement à Security Command Center dans la documentation Sensitive Data Protection.

Composants acceptés :

Remédiation :

Pour les variables d'environnement des fonctions Cloud Run, supprimez le secret de la variable d'environnement et stockez-le plutôt dans Secret Manager.

Pour les variables d'environnement de révision du service Cloud Run, supprimez tout le trafic de la révision, puis supprimez la révision.

Normes de conformité :

  • CIS GCP Foundation 1.3 : 1.18
  • CIS GCP Foundation 2.0 : 1.18

Nom de la catégorie dans l'API :

SECRETS_IN_STORAGE

Description du résultat : la ressource spécifiée contient secrets, tels que des mots de passe, des jetons d'authentification et des identifiants Cloud.

Composants acceptés :

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3
  • Conteneur Azure Blob Storage

Remédiation :

  1. Pour les données Google Cloud , utilisez Sensitive Data Protection pour exécuter une analyse approfondie de la ressource spécifiée afin d'identifier toutes les ressources concernées. Pour les données Cloud SQL, exportez-les vers un fichier CSV ou AVRO dans un bucket Cloud Storage, puis exécutez une analyse approfondie du bucket.

    Pour les données provenant d'autres fournisseurs de services cloud, inspectez manuellement le bucket ou le conteneur spécifié.

  2. Supprimez les secrets détectés.
  3. Envisagez de réinitialiser les identifiants.
  4. Pour les données Google Cloud , envisagez plutôt de stocker les secrets détectés dans Secret Manager.

Normes de conformité : non mappées

Résultats de configuration incorrecte du service de découverte

Le service de découverte Sensitive Data Protection vous aide à déterminer si vous avez des erreurs de configuration qui pourraient exposer des données sensibles.

Catégorie Résumé

Nom de la catégorie dans l'API :

SENSITIVE_DATA_CMEK_DISABLED

Description du résultat : la ressource spécifiée contient des données à sensibilité élevée ou modérée et n'utilise pas de clé de chiffrement gérée par le client (CMEK).

Composants acceptés :

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3
  • Conteneur Azure Blob Storage

Remédiation :

Normes de conformité : non mappées

Résultats d'observation du service de découverte

Data sensitivity
Indication du niveau de sensibilité des données d'un élément de données spécifique. Les données sont dites sensibles si elles contiennent des informations permettant d'identifier personnellement les utilisateurs ou d'autres éléments qui peuvent nécessiter un contrôle ou une gestion supplémentaire. La gravité du résultat correspond au niveau de sensibilité calculé par Sensitive Data Protection lors de la génération du profil de données.
Data risk
Risque associé aux données dans leur état actuel. Lors du calcul du risque lié aux données, la protection des données sensibles tient compte du niveau de sensibilité des données de l'élément de données et de la présence de contrôles d'accès pour protéger ces données. La gravité du résultat correspond au niveau de risque des données calculé par Sensitive Data Protection lors de la génération du profil de données.

Latence de génération des résultats

Selon la taille de votre organisation, les résultats de Sensitive Data Protection peuvent commencer à s'afficher dans Security Command Center quelques minutes après l'activation de la découverte des données sensibles. Pour les grandes entreprises ou celles qui ont des configurations spécifiques affectant la génération de résultats, il peut s'écouler jusqu'à 12 heures avant que les premiers résultats n'apparaissent dans Security Command Center.

Ensuite, Sensitive Data Protection génère des résultats dans Security Command Center quelques minutes après que le service de découverte a analysé vos ressources.

Envoyer des profils de données à Security Command Center

Voici un workflow général pour publier des profils de données dans Security Command Center.

  1. Vérifiez le niveau d'activation de Security Command Center pour votre organisation. Pour envoyer des profils de données à Security Command Center, vous devez avoir activé Security Command Center au niveau de l'organisation, quel que soit le niveau de service.

    Si Security Command Center n'est activé qu'au niveau du projet, les résultats de Sensitive Data Protection n'apparaissent pas dans Security Command Center.

  2. Si Security Command Center n'est pas activé pour votre organisation, vous devez l'activer. Pour en savoir plus, consultez l'une des pages suivantes, en fonction de votre niveau de service Security Command Center :

  3. Vérifiez que Sensitive Data Protection est activé en tant que service intégré. Pour en savoir plus, consultez Ajouter un service intégré. Google Cloud

  4. Activez la découverte en créant une configuration d'analyse de découverte pour chaque source de données que vous souhaitez analyser. Dans la configuration de votre analyse, assurez-vous de laisser l'option Publier dans Security Command Center activée.

    Si vous disposez d'une configuration d'analyse de découverte existante qui ne publie pas de profils de données dans Security Command Center, consultez Activer la publication dans Security Command Center dans une configuration existante sur cette page.

Activer la découverte avec les paramètres par défaut

Pour activer la découverte, vous devez créer une configuration de découverte pour chaque source de données que vous souhaitez analyser. Cette procédure vous permet de créer automatiquement ces configurations de découverte à l'aide des paramètres par défaut. Vous pourrez personnaliser les paramètres à tout moment après avoir effectué cette procédure.

Si vous souhaitez personnaliser les paramètres dès le départ, consultez plutôt les pages suivantes :

Pour activer la découverte avec les paramètres par défaut, procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Activer la découverte de Sensitive Data Protection.

    Accéder à "Activer la détection"

  2. Vérifiez que vous consultez l'organisation pour laquelle vous avez activé Security Command Center.

  3. Dans le champ Conteneur d'agent de service, définissez le projet à utiliser comme conteneur d'agent de service. Dans ce projet, le système crée un agent de service et lui accorde automatiquement les autorisations de découverte requises.

    Si vous avez déjà utilisé le service de découverte pour votre organisation, vous disposez peut-être déjà d'un projet de conteneur d'agent de service que vous pouvez réutiliser.

    • Pour créer automatiquement un projet à utiliser comme conteneur d'agent de service, examinez l'ID de projet suggéré et modifiez-le si nécessaire. Ensuite, cliquez sur Créer. L'octroi des autorisations à l'agent de service du nouveau projet peut prendre quelques minutes.
    • Pour sélectionner un projet existant, cliquez sur le champ Conteneur de l'agent de service, puis sélectionnez le projet.

  4. Pour consulter les paramètres par défaut, cliquez sur l'icône de développement .

  5. Dans la section Activer la découverte, cliquez sur Activer pour chaque type de découverte que vous souhaitez activer. L'activation d'un type de découverte a les effets suivants :

    • BigQuery : crée une configuration de découverte pour profiler les tables BigQuery dans l'ensemble de l'organisation. La protection des données sensibles commence à profiler vos données BigQuery et envoie les profils à Security Command Center.
    • Cloud SQL : crée une configuration de découverte pour profiler les tables Cloud SQL dans l'ensemble de l'organisation. Sensitive Data Protection commence à créer des connexions par défaut pour chacune de vos instances Cloud SQL. Ce processus peut prendre quelques heures. Une fois les connexions par défaut prêtes, vous devez accorder à Sensitive Data Protection l'accès à vos instances Cloud SQL en mettant à jour chaque connexion avec les identifiants appropriés de l'utilisateur de la base de données.
    • Failles liées aux secrets et aux identifiants : crée une configuration de découverte pour détecter et signaler les secrets non chiffrés dans les variables d'environnement Cloud Run. La protection des données sensibles commence à analyser vos variables d'environnement.
    • Cloud Storage : crée une configuration de découverte pour profiler les buckets Cloud Storage dans l'ensemble de l'organisation. Le service de protection des données sensibles commence à profiler vos données Cloud Storage et envoie les profils à Security Command Center.
    • Ensembles de données Vertex AI : crée une configuration de découverte pour profiler les ensembles de données Vertex AI dans l'ensemble de l'organisation. La protection des données sensibles commence à profiler vos ensembles de données Vertex AI et envoie les profils à Security Command Center.

    • Amazon S3 : crée une configuration de découverte pour profiler toutes les données Amazon S3 auxquelles votre connecteur AWS a accès.

    • Azure Blob Storage : crée une configuration de découverte pour profiler toutes les données Azure Blob Storage auxquelles votre connecteur Azure a accès.

  6. Pour afficher les configurations de découverte que vous venez de créer, cliquez sur Accéder à la configuration de découverte.

    Si vous avez activé la découverte Cloud SQL, la configuration de la découverte est créée en mode suspendu avec des erreurs indiquant l'absence d'identifiants. Consultez Gérer les connexions à utiliser avec la découverte pour attribuer les rôles IAM requis à votre agent de service et fournir les identifiants utilisateur de la base de données pour chaque instance Cloud SQL.

  7. Fermez le volet.

Activer la publication dans Security Command Center dans une configuration existante

Si vous disposez d'une configuration d'analyse de découverte existante qui n'est pas définie pour publier les résultats de découverte dans Security Command Center, procédez comme suit :

  1. Ouvrez la configuration d'analyse pour la modifier.

  2. Dans la section Actions, activez Publier dans Security Command Center.

  3. Cliquez sur Enregistrer.

Interroger les résultats Security Command Center liés aux profils de données

Vous trouverez ci-dessous des exemples de requêtes que vous pouvez utiliser pour trouver les résultats Data sensitivity et Data risk pertinents dans Security Command Center. Vous pouvez saisir ces requêtes dans le champ Éditeur de requête. Pour en savoir plus sur l'éditeur de requêtes, consultez Modifier une requête de résultats dans le tableau de bord Security Command Center.

Lister tous les résultats Data sensitivity et Data risk pour une table BigQuery spécifique

Cette requête est utile, par exemple, si Security Command Center détecte un événement dans lequel une table BigQuery a été enregistrée dans un autre projet. Dans ce cas, un résultat Exfiltration: BigQuery Data Exfiltration est généré. Il contient le nom complet à afficher de la table qui a été exfiltrée. Vous pouvez rechercher les résultats Data sensitivity et Data risk liés au tableau. Consultez les niveaux de sensibilité et de risque liés aux données calculés pour la table, puis planifiez votre réponse en conséquence.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"

Remplacez les éléments suivants :

  • PROJECT_ID : ID du projet contenant la table BigQuery
  • DATASET_ID : ID de l'ensemble de données de la table
  • TABLE_ID : ID de la table

Lister tous les résultats Data sensitivity et Data risk pour une instance Cloud SQL spécifique

Cette requête est utile, par exemple, si Security Command Center détecte un événement au cours duquel des données d'instance Cloud SQL en direct ont été exportées vers un bucket Cloud Storage en dehors de l'organisation. Dans ce cas, un résultat Exfiltration: Cloud SQL Data Exfiltration est généré. Il contient le nom complet de la ressource de l'instance qui a été exfiltrée. Vous pouvez rechercher tous les résultats Data sensitivity et Data risk associés à l'instance. Affichez les niveaux de sensibilité et de risque liés aux données calculés pour l'instance, puis planifiez votre réponse en conséquence.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"

Remplacez les éléments suivants :

  • INSTANCE_NAME : partie du nom de l'instance Cloud SQL

Lister tous les résultats Data risk et Data sensitivity avec un niveau de gravité High

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"

Étapes suivantes