Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Habilita el descubrimiento de datos sensibles

En este documento, se describe la función de descubrimiento de datos sensibles de Sensitive Data Protection, cómo funciona en cada nivel de servicio de Security Command Center y cómo habilitarla.

Antes de comenzar

Para usar el descubrimiento de datos sensibles con Security Command Center, completa estas tareas.

Activar Security Command Center

Activa Security Command Center. Según cómo actives Security Command Center, es posible que se generen cargos adicionales por Sensitive Data Protection. Para obtener más información, consulta Precios de descubrimiento para clientes de Security Command Center.

Asegúrate de que Security Command Center esté configurado para aceptar los hallazgos de Sensitive Data Protection

De forma predeterminada, Security Command Center está configurado para aceptar hallazgos de Sensitive Data Protection. Si tu organización inhabilitó Sensitive Data Protection como un servicio integrado, debes volver a habilitarlo para recibir hallazgos de descubrimiento de datos sensibles. Para obtener más información, consulta Agrega un Google Cloud servicio integrado.

Configura los permisos

Para obtener los permisos que necesitas para configurar el descubrimiento de datos sensibles, pídele a tu administrador que te otorgue los siguientes roles de IAM en la organización:

Objetivo	Rol predefinido	Permisos relevantes
Crea una configuración de análisis de descubrimiento y visualiza perfiles de datos	Administrador de DLP (`roles/dlp.admin`)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Crea un proyecto para usarlo como contenedor de agente de servicio¹	Creador de proyectos (`roles/resourcemanager.projectCreator`)	resourcemanager.organizations.get resourcemanager.projects.create
Otorga acceso de descubrimiento²	Uno de los siguientes: Administrador de la organización (`roles/resourcemanager.organizationAdmin`) Administrador de seguridad (`roles/iam.securityAdmin`)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ Si no tienes el rol de Creador del proyecto (roles/resourcemanager.projectCreator), puedes crear una configuración de análisis, pero el contenedor de agente de servicio que uses debe ser un proyecto existente.

² Si no tienes el rol de Administrador de la organización (roles/resourcemanager.organizationAdmin) o Administrador de seguridad (roles/iam.securityAdmin), puedes crear una configuración de análisis. Después de crear la configuración de análisis, alguien de tu organización que tenga uno de estos roles debe otorgar acceso de descubrimiento al agente de servicio.

Si quieres obtener más información para otorgar roles, consulta Administra el acceso.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro roles predefinidos.

Beneficios

Esta función ofrece los siguientes beneficios:

Puedes usar los hallazgos de Sensitive Data Protection para identificar y corregir vulnerabilidades y errores de configuración en tus recursos que puedan exponer datos sensibles al público o a actores maliciosos.
Puedes usar los hallazgos de Sensitive Data Protection para agregar contexto al proceso de clasificación y priorizar las amenazas que afectan a los recursos que contienen datos sensibles.
Puedes configurar la función de simulación de ruta de ataque para priorizar automáticamente los recursos según la sensibilidad de los datos que contienen. Para obtener más información, consulta Establece valores prioritarios de recursos automáticamente según la sensibilidad de los datos.

Descubrimiento de datos sensibles en Security Command Center Enterprise

Security Command Center Enterprise incluye una suscripción a nivel de la organización al servicio de descubrimiento de Sensitive Data Protection. Con esta suscripción, no se generan cargos de Sensitive Data Protection cuando ejecutas el descubrimiento de datos sensibles a nivel de la organización o de la carpeta. Para obtener más información, consulta Capacidad de descubrimiento en Enterprise y Premium en este documento.

Cuando activas el nivel Security Command Center Enterprise, ocurre lo siguiente:

La API de Cloud Data Loss Prevention se activa automáticamente en el proyecto de administración que se usó para activar Security Command Center Enterprise. Este proyecto de administración sirve como el contenedor de agente de servicio para el descubrimiento de datos sensibles.

Nota: En los registros de auditoría, el actor de esta acción es la principal de tu organización que activó Security Command Center Enterprise.
El descubrimiento de datos sensibles se habilita automáticamente para todos los tipos de recursos admitidos a nivel de la organización. Sensitive Data Protection realiza análisis de descubrimiento en todos los proyectos de la organización, a menos que modifiques la configuración de análisis de descubrimiento para excluir ciertos proyectos.

Este proceso de habilitación automática es una operación única que se aplica solo a los tipos de recursos que se admiten en el momento de la activación del nivel Enterprise. Si Sensitive Data Protection agrega compatibilidad con el descubrimiento para nuevos tipos de recursos más adelante, deberás habilitar esos tipos de descubrimiento de forma manual. Para obtener instrucciones, consulta Habilita el descubrimiento con la configuración predeterminada en una organización en este documento.

Descubrimiento de datos sensibles en Security Command Center Premium

Si tienes una activación a nivel de la organización de Security Command Center Premium, tu suscripción a Premium incluye una suscripción a nivel de la organización al servicio de descubrimiento de Sensitive Data Protection. Con esta suscripción, no se generan cargos de Sensitive Data Protection cuando ejecutas el descubrimiento de datos sensibles a nivel de la organización o de la carpeta. Para obtener más información, consulta Capacidad de descubrimiento en Enterprise y Premium en este documento.

Importante: Cuando configures el descubrimiento de datos sensibles, asegúrate de que el alcance de tu configuración (también conocido como parent) sea tu organización y no un proyecto. Tu suscripción a nivel de la organización incluye el descubrimiento solo en el alcance de la organización. Si usas un alcance a nivel de proyecto, se generarán cargos de descubrimiento independientes.

Para usar tu suscripción a nivel de la organización para ejecutar el descubrimiento en un solo proyecto, consulta Genera perfiles de proyectos o recursos de datos seleccionados en una organización o carpeta en la documentación de Sensitive Data Protection.

Para realizar el descubrimiento de datos sensibles a nivel de la organización, consulta Habilita el descubrimiento con la configuración predeterminada en una organización en este documento.
Si tienes una activación a nivel de proyecto de Security Command Center Premium, puedes habilitar el descubrimiento de datos sensibles a nivel de proyecto y obtener los hallazgos en Security Command Center. Sin embargo, esta función tiene un precio independiente. Para habilitar el descubrimiento a nivel de proyecto, consulta Crea una configuración de análisis en la documentación de Sensitive Data Protection.

Para determinar el tipo de activación de tu instancia de Security Command Center, consulta Visualiza tu tipo de activación actual.

Descubrimiento de datos sensibles en Security Command Center Standard

Si tienes Security Command Center Standard, puedes habilitar el descubrimiento de datos sensibles y obtener los hallazgos en Security Command Center. Sin embargo, esta función tiene un precio independiente.

Cómo funciona

El servicio de descubrimiento de Sensitive Data Protection te ayuda a proteger los datos en toda tu organización, ya que identifica dónde residen los datos sensibles y de alto riesgo.

En Sensitive Data Protection, el servicio de descubrimiento genera perfiles de datos, que proporcionan métricas y estadísticas sobre tus datos en varios niveles de detalle.
En Security Command Center, el servicio de descubrimiento genera hallazgos.

Hallazgos generados

Sensitive Data Protection genera hallazgos de observación en Security Command Center que muestran los niveles calculados de sensibilidad y riesgo de datos de tus datos. Puedes usar estos hallazgos para informar tu respuesta cuando encuentres amenazas y vulnerabilidades relacionadas con tus recursos de datos. Para obtener una lista de los tipos de hallazgos generados, consulta Hallazgos de observación del servicio de descubrimiento.

Estos hallazgos pueden informar la designación automática de recursos de alto valor según la sensibilidad de los datos. Para obtener más información, consulta Usa estadísticas de descubrimiento para identificar recursos de alto valor en este documento.
Sensitive Data Protection genera hallazgos de vulnerabilidad y errores de configuración en Security Command Center cuando detecta datos sensibles de alta o media sensibilidad sin protección. Para obtener una lista de los tipos de hallazgos generados, consulta lo siguiente:
- Hallazgos de vulnerabilidad del servicio de descubrimiento de Sensitive Data Protection
- Hallazgos de errores de configuración del servicio de descubrimiento de Sensitive Data Protection

Para obtener una lista completa de los hallazgos de Sensitive Data Protection, consulta Sensitive Data Protection.

Latencia de generación de hallazgos

Según el tamaño de tu organización, los hallazgos de Sensitive Data Protection pueden comenzar a aparecer en Security Command Center unos minutos después de habilitar el descubrimiento de datos sensibles. En el caso de organizaciones más grandes o con configuraciones específicas que afectan la generación de hallazgos, pueden pasar hasta 12 horas antes de que aparezcan los hallazgos iniciales en Security Command Center.

Posteriormente, Sensitive Data Protection genera hallazgos en Security Command Center unos minutos después de que el servicio de descubrimiento analiza tus recursos.

Habilita el descubrimiento con la configuración predeterminada en una organización

Para habilitar el descubrimiento, crea una configuración de descubrimiento para cada fuente de datos que quieras analizar. Puedes editar las configuraciones después de crearlas. Para personalizar la configuración en el proceso de creación, consulta Crea una configuración de análisis en su lugar.

Para habilitar el descubrimiento con la configuración predeterminada a nivel de la organización, sigue estos pasos:

En la Google Cloud consola, ve a la página de Sensitive Data Protection Habilitar descubrimiento.

Ir a Habilitar descubrimiento
Verifica que estés viendo la organización en la que activaste Security Command Center.
En el panel Habilitar descubrimiento, en el campo Contenedor del agente de servicio , establece el proyecto que se usará como contenedor de agente de servicio. Dentro de este proyecto, el sistema crea un agente de servicio y le otorga automáticamente los roles de descubrimiento necesarios.
- Para crear automáticamente un proyecto para usarlo como contenedor de agente de servicio, sigue estos pasos:
  1. Haz clic en Crear.
  2. Especifica el nombre, la cuenta de facturación y la organización superior del proyecto nuevo. De manera opcional, edita el ID del proyecto.
  3. Haz clic en Crear.
  Los roles pueden tardar unos minutos en otorgarse al agente de servicio del proyecto nuevo.
- Para seleccionar un proyecto que usaste anteriormente para operaciones de descubrimiento, haz clic en el campo Contenedor del agente de servicio y selecciona el proyecto.
Para revisar la configuración predeterminada, haz clic en el ícono de expansión .
En la sección Habilitar descubrimiento, para cada tipo de descubrimiento que quieras habilitar, haz clic en Habilitar. Habilitar un tipo de descubrimiento hace lo siguiente:
- BigQuery: Crea una configuración de descubrimiento para generar perfiles de tablas de BigQuery en toda la organización. Sensitive Data Protection comienza a generar perfiles de tus datos de BigQuery y envía los perfiles a Security Command Center.
- Cloud SQL: Crea una configuración de descubrimiento para generar perfiles de tablas de Cloud SQL en toda la organización. Sensitive Data Protection comienza a crear conexiones predeterminadas para cada una de tus instancias de Cloud SQL. Este proceso puede tardar algunas horas. Cuando las conexiones predeterminadas estén listas, debes otorgar acceso a Sensitive Data Protection a tus instancias de Cloud SQL actualizando cada conexión con las credenciales de usuario de base de datos adecuadas.
- Vulnerabilidades de secretos o credenciales: Crea una configuración de descubrimiento para detectar y generar informes de secretos sin encriptar en las variables de entorno de Cloud Run. Sensitive Data Protection comienza a analizar tus variables de entorno.
- Cloud Storage: Crea una configuración de descubrimiento para generar perfiles de buckets de Cloud Storage en toda la organización. Sensitive Data Protection comienza a generar perfiles de tus datos de Cloud Storage y envía los perfiles a Security Command Center.
- Conjuntos de datos de Vertex AI: Crea una configuración de descubrimiento para generar perfiles de conjuntos de datos de la plataforma de agentes de Gemini Enterprise en toda la organización. Sensitive Data Protection comienza a generar perfiles de tus conjuntos de datos de la Agent Platform y envía los perfiles a Security Command Center.
- Amazon S3: Crea una configuración de descubrimiento para generar perfiles de todos los datos de Amazon S3 a los que tiene acceso tu conector de AWS.
  
  Nota: Esta función requiere Security Command Center Enterprise. Primero debes crear un conector de AWS que tenga los permisos de AWS necesarios para el descubrimiento de Sensitive Data Protection discovery.
- Azure Blob Storage: Crea una configuración de descubrimiento para generar perfiles de todos los datos de Azure Blob Storage a los que tiene acceso tu conector de Azure.
  
  Nota: Esta función requiere Security Command Center Enterprise. Primero debes crear un conector de Azure que tenga los permisos de Azure necesarios para el descubrimiento de Sensitive Data Protection discovery.
Para ver las configuraciones de descubrimiento recién creadas, haz clic en Ir a la configuración de descubrimiento.

Si habilitaste el descubrimiento de Cloud SQL, la configuración de descubrimiento se crea en modo de pausa con errores que indican la ausencia de credenciales. Consulta Administra las conexiones para usar con el descubrimiento para otorgar los roles de IAM necesarios a tu agente de servicio y proporcionar credenciales de usuario de base de datos para cada instancia de Cloud SQL.
Cerrar el panel

Para ver los hallazgos generados por Sensitive Data Protection, consulta Revisa los hallazgos de Sensitive Data Protection en la Google Cloud consola.

Personaliza las configuraciones de análisis

Cada tipo de descubrimiento que habilitas tiene una configuración de análisis de descubrimiento que puedes personalizar . Por ejemplo, puedes hacer lo siguiente:

Ajusta la frecuencia de análisis.
Especifica filtros para los recursos de datos de los que no quieres volver a generar perfiles.
Cambia la plantilla de inspección, que define los tipos de información que Sensitive Data Protection analiza.
Publica los perfiles de datos generados en otros Google Cloud servicios.
Cambia el contenedor del agente de servicio.

Usa estadísticas de descubrimiento para identificar recursos de alto valor

Security Command Center puede designar automáticamente un recurso que contiene datos de alta o media sensibilidad como un recurso de alto valor. Para los recursos de alto valor, Security Command Center proporciona puntuaciones de exposición a ataques y visualizaciones de rutas de ataque, que puedes usar para priorizar la seguridad de los recursos que contienen datos sensibles. Para obtener más información, consulta Establece valores prioritarios de recursos automáticamente según la sensibilidad de los datos.

Capacidad de descubrimiento en Enterprise y Premium

Si tus necesidades de descubrimiento de datos sensibles superan la capacidad asignada para los clientes de Security Command Center Enterprise o Premium (a nivel de la organización), es posible que Sensitive Data Protection aumente tu capacidad de forma temporal. Sin embargo, este aumento no está garantizado y depende de si hay recursos de procesamiento disponibles. Si necesitas más capacidad de descubrimiento, comunícate con tu representante de cuenta o con un Google Cloud especialista en ventas. Para obtener más información, consulta Supervisa el uso en la documentación de Sensitive Data Protection.

Descubrimiento de datos sensibles dentro de los perímetros de servicio

Si usas perímetros de servicio de Controles del servicio de VPC y quieres descubrir datos sensibles dentro de esos perímetros, consulta Permite el descubrimiento de datos sensibles dentro de los perímetros de servicio. Si no realizas esta tarea, es posible que recibas advertencias.