Questa pagina fornisce una panoramica generale delle azioni che devi intraprendere se vuoi che i profili di dati generino risultati in Security Command Center. Questa pagina fornisce anche query di esempio che puoi utilizzare per trovare i risultati generati.
Se sei un cliente di Security Command Center Enterprise, consulta Attivare il rilevamento di dati sensibili nel livello Enterprise nella documentazione di Security Command Center.
Informazioni sui profili di dati
Puoi configurare Sensitive Data Protection in modo che generi automaticamente profili sui dati in un'organizzazione, una cartella o un progetto. I profili di dati contengono metriche e metadati sui tuoi dati e ti aiutano a determinare dove si trovano i dati sensibili e ad alto rischio. Sensitive Data Protection riporta queste metriche a vari livelli di dettaglio. Per informazioni sui tipi di dati che puoi profilare, vedi Risorse supportate.
Vantaggi della pubblicazione dei profili di dati in Security Command Center
Questa funzionalità offre i seguenti vantaggi in Security Command Center:
Puoi utilizzare i risultati di Sensitive Data Protection per identificare e correggere vulnerabilità e configurazioni errate nelle tue risorse che possono esporre dati sensibili al pubblico o a malintenzionati.
Puoi utilizzare questi risultati per aggiungere contesto al processo di triage e dare la priorità alle minacce che prendono di mira le risorse contenenti dati sensibili.
Puoi configurare Security Command Center in modo da dare automaticamente la priorità alle risorse per la funzionalità di simulazione del percorso di attacco in base alla sensibilità dei dati contenuti nelle risorse. Per saperne di più, consulta Impostare automaticamente i valori di priorità delle risorse in base alla sensibilità dei dati.
Risultati di Security Command Center generati
Quando configuri il servizio di rilevamento per pubblicare i profili di dati in Security Command Center, ogni profilo di dati della tabella o dell'archivio file genera i seguenti risultati di Security Command Center.
Risultati di vulnerabilità del servizio di rilevamento
Il servizio di rilevamento Sensitive Data Protection ti aiuta a determinare se stai archiviando dati altamente sensibili non protetti.
| Categoria | Riepilogo |
|---|---|
|
Descrizione del problema: la risorsa specificata contiene dati con sensibilità elevata a cui chiunque su internet può accedere. Asset supportati:
Correzione: Per i dati Google Cloud , rimuovi Per i dati Amazon S3, configura le impostazioni di blocco dell'accesso pubblico o aggiorna l'ACL dell'oggetto per negare l'accesso in lettura pubblico. Per saperne di più, consulta Configurazione delle impostazioni di accesso pubblico con blocco per i bucket S3 e Configurazione delle ACL nella documentazione di AWS. Per i dati di Azure Blob Storage, rimuovi l'accesso pubblico al container e ai blob. Per maggiori informazioni, consulta Panoramica: correzione dell'accesso in lettura anonimo per i dati blob nella documentazione di Azure. Standard di conformità: non mappati |
|
Descrizione del problema: sono presenti secret, ad esempio password, token di autenticazione e Google Cloud credenziali, nelle variabili di ambiente. Per attivare questo rilevatore, consulta Segnalare i secret nelle variabili di ambiente a Security Command Center nella documentazione di Sensitive Data Protection. Asset supportati: Correzione: Per le variabili di ambiente di Cloud Run Functions, rimuovi il secret dalla variabile di ambiente e memorizzalo in Secret Manager. Per le variabili di ambiente della revisione del servizio Cloud Run, sposta tutto il traffico dalla revisione ed elimina la revisione. Standard di conformità:
|
|
Descrizione del problema: sono presenti secret, ad esempio password, token di autenticazione e credenziali cloud, nella risorsa specificata. Asset supportati:
Correzione:
Standard di conformità: non mappati |
Risultati degli errori di configurazione dal servizio di rilevamento
Il servizio di rilevamento Sensitive Data Protection ti aiuta a determinare se hai configurazioni errate che potrebbero esporre dati sensibili.
| Categoria | Riepilogo |
|---|---|
|
Descrizione del risultato: la risorsa specificata contiene dati ad alta o media sensibilità e non utilizza una chiave di crittografia gestita dal cliente (CMEK). Asset supportati:
Correzione:
Standard di conformità: non mappati |
Risultati dell'osservazione dal servizio di rilevamento
Data sensitivity- Un'indicazione del livello di sensibilità dei dati in una determinata risorsa dati. I dati sono sensibili se contengono PII o altri elementi che potrebbero richiedere un controllo o una gestione aggiuntivi. La gravità del risultato è il livello di sensibilità calcolato da Sensitive Data Protection durante la generazione del profilo dei dati.
Data risk- Il rischio associato ai dati nel loro stato attuale. Quando calcola il rischio dei dati, la protezione dei dati sensibili prende in considerazione il livello di sensibilità dei dati nell'asset di dati e la presenza di controlli di accesso per proteggere questi dati. La gravità del risultato è il livello di rischio dei dati che Sensitive Data Protection ha calcolato durante la generazione del profilo dati.
Trovare la latenza di generazione
A seconda delle dimensioni della tua organizzazione, i risultati di Sensitive Data Protection possono iniziare a essere visualizzati in Security Command Center pochi minuti dopo l'attivazione del rilevamento di dati sensibili. Per le organizzazioni più grandi o con configurazioni specifiche che influiscono sulla generazione dei risultati, possono trascorrere fino a 12 ore prima che i risultati iniziali vengano visualizzati in Security Command Center.
Successivamente, Sensitive Data Protection genera risultati in Security Command Center pochi minuti dopo che il servizio di rilevamento ha eseguito la scansione delle risorse.
Inviare profili di dati a Security Command Center
Di seguito è riportato un flusso di lavoro di alto livello per la pubblicazione dei profili di dati in Security Command Center.
Controlla il livello di attivazione di Security Command Center per la tua organizzazione. Per inviare i profili di dati a Security Command Center, devi aver attivato Security Command Center a livello di organizzazione, in qualsiasi livello di servizio.
Se Security Command Center è attivato solo a livello di progetto, i risultati di Sensitive Data Protection non vengono visualizzati in Security Command Center.
Se Security Command Center non è attivato per la tua organizzazione, devi attivarlo. Per ulteriori informazioni, consulta una delle seguenti pagine, a seconda del livello di servizio Security Command Center:
Verifica che Sensitive Data Protection sia abilitato come servizio integrato. Per maggiori informazioni, vedi Aggiungere un servizio integrato. Google Cloud
Attiva il rilevamento creando una configurazione di scansione del rilevamento per ogni origine dati che vuoi analizzare. Nella configurazione della scansione, assicurati di mantenere attiva l'opzione Pubblica su Security Command Center.
Se hai una configurazione di scansione di rilevamento esistente che non pubblica i profili di dati in Security Command Center, consulta la sezione Attivare la pubblicazione in Security Command Center in una configurazione esistente in questa pagina.
Attivare il rilevamento con le impostazioni predefinite
Per attivare il rilevamento, crea una configurazione di rilevamento per ogni origine dati che vuoi analizzare. Questa procedura ti consente di creare automaticamente queste configurazioni di rilevamento utilizzando le impostazioni predefinite. Puoi personalizzare le impostazioni in qualsiasi momento dopo aver eseguito questa procedura.
Se vuoi personalizzare le impostazioni fin dall'inizio, consulta le seguenti pagine:
- Profilare i dati BigQuery in un'organizzazione o una cartella
- Profilare i dati Cloud SQL in un'organizzazione o una cartella
- Profilare i dati Cloud Storage in un'organizzazione o una cartella
- Profilare i dati di Vertex AI in un'organizzazione o una cartella
- Individuazione dei dati sensibili per Amazon S3
- Segnala i secret nelle variabili di ambiente a Security Command Center
Per attivare la scoperta con le impostazioni predefinite:
Nella console Google Cloud , vai alla pagina Sensitive Data Protection Abilita rilevamento.
Verifica di visualizzare l'organizzazione su cui hai attivato Security Command Center.
Nel campo Container dell'agente di servizio, imposta il progetto da utilizzare come container dell'agente di servizio. All'interno di questo progetto, il sistema crea un service agent e gli concede automaticamente le autorizzazioni di rilevamento richieste.
Se in precedenza hai utilizzato il servizio di rilevamento per la tua organizzazione, potresti già disporre di un progetto contenitore dell'agente di servizio che puoi riutilizzare.
- Per creare automaticamente un progetto da utilizzare come container dell'agente di servizio, esamina l'ID progetto suggerito e modificalo se necessario. Quindi, fai clic su Crea. Potrebbero essere necessari alcuni minuti prima che le autorizzazioni vengano concesse all'agente di servizio del nuovo progetto.
- Per selezionare un progetto esistente, fai clic sul campo Container dell'agente di servizio e seleziona il progetto.
Per rivedere le impostazioni predefinite, fai clic sull'icona di espansione .
Nella sezione Attiva la scoperta, fai clic su Attiva per ogni tipo di scoperta che vuoi attivare. L'attivazione di un tipo di rilevamento comporta quanto segue:
- BigQuery: crea una configurazione di rilevamento per la profilazione delle tabelle BigQuery nell'organizzazione. Sensitive Data Protection inizia a profilare i tuoi dati BigQuery e invia i profili a Security Command Center.
- Cloud SQL: crea una configurazione di rilevamento per la profilazione delle tabelle Cloud SQL nell'organizzazione. Sensitive Data Protection inizia a creare connessioni predefinite per ciascuna delle tue istanze Cloud SQL. Questa procedura può richiedere alcune ore. Quando le connessioni predefinite sono pronte, devi concedere a Sensitive Data Protection l'accesso alle tue istanze Cloud SQL aggiornando ogni connessione con le credenziali utente del database corrette.
- Vulnerabilità di secret/credenziali: crea una configurazione di rilevamento per rilevare e segnalare i secret non criptati nelle variabili di ambiente di Cloud Run. Sensitive Data Protection inizia a scansionare le variabili di ambiente.
- Cloud Storage: crea una configurazione di rilevamento per la profilazione dei bucket Cloud Storage nell'organizzazione. Sensitive Data Protection inizia a profilare i tuoi dati di Cloud Storage e invia i profili a Security Command Center.
- Set di dati Vertex AI: crea una configurazione di rilevamento per la profilazione dei set di dati Vertex AI in tutta l'organizzazione. Sensitive Data Protection inizia a profilare i tuoi set di dati Vertex AI e invia i profili a Security Command Center.
Amazon S3: crea una configurazione di rilevamento per profilare tutti i dati Amazon S3 a cui il connettore AWS ha accesso.
Azure Blob Storage: crea una configurazione di rilevamento per profilare tutti i dati di Azure Blob Storage a cui ha accesso il connettore Azure.
Per visualizzare le configurazioni di rilevamento appena create, fai clic su Vai alla configurazione del rilevamento.
Se hai abilitato il rilevamento Cloud SQL, la configurazione del rilevamento viene creata in modalità sospesa con errori che indicano l'assenza di credenziali. Consulta Gestire le connessioni da utilizzare con il rilevamento per concedere i ruoli IAM richiesti all'agente di servizio e per fornire le credenziali utente del database per ogni istanza Cloud SQL.
Chiudi il riquadro.
Attivare la pubblicazione su Security Command Center in una configurazione esistente
Se hai una configurazione di scansione di rilevamento esistente che non è impostata per pubblicare i risultati del rilevamento in Security Command Center, segui questi passaggi:
Nella sezione Azioni, abilita Pubblica su Security Command Center.
Fai clic su Salva.
Eseguire query per i risultati di Security Command Center relativi ai profili di dati
Di seguito sono riportati esempi di query che puoi utilizzare per trovare risultati Data
sensitivity e Data risk pertinenti in Security Command Center. Puoi inserire queste query nel campo Editor di query. Per saperne di più sull'editor di query, vedi Modificare una query sui risultati nella dashboard di Security Command Center.
Elenca tutti i risultati Data sensitivity e Data risk per una determinata tabella BigQuery
Questa query è utile, ad esempio, se Security Command Center rileva un evento in cui una tabella BigQuery è stata salvata in un progetto diverso. In questo caso,
viene generata una scoperta Exfiltration: BigQuery Data
Exfiltration, che contiene il nome visualizzato completo della tabella
che è stata esfiltrata. Puoi cercare qualsiasi Data sensitivity e Data risk
risultato correlato alla tabella. Visualizza i livelli di sensibilità e rischio dei dati calcolati per la tabella e pianifica la risposta di conseguenza.
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"
Sostituisci quanto segue:
- PROJECT_ID: l'ID del progetto che contiene la tabella BigQuery
- DATASET_ID: l'ID set di dati della tabella
- TABLE_ID: l'ID della tabella
Elenca tutti i risultati di Data sensitivity e Data risk per una determinata istanza Cloud SQL
Questa query è utile, ad esempio, se Security Command Center rileva un evento in cui i dati dell'istanza Cloud SQL live sono stati esportati in un bucket Cloud Storage esterno all'organizzazione. In questo caso, viene generata una scoperta Exfiltration: Cloud SQL Data
Exfiltration
e contiene il nome completo della risorsa dell'istanza
che è stata esfiltrata. Puoi cercare eventuali risultati di Data sensitivity e Data risk
correlati all'istanza. Visualizza i livelli di sensibilità e rischio dei dati calcolati per l'istanza e pianifica la risposta di conseguenza.
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"
Sostituisci quanto segue:
- INSTANCE_NAME: una parte del nome dell'istanza Cloud SQL
Elenca tutti i risultati Data risk e Data sensitivity con un livello di gravità High
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"
Passaggi successivi
- Scopri come impostare automaticamente i valori di priorità delle risorse in base alla sensibilità dei dati in Security Command Center.
- Scopri come segnalare la presenza di secret nelle variabili di ambiente a Security Command Center.