Esta página foi traduzida pela API Cloud Translation.

Ativar a descoberta de dados sensíveis

Este documento descreve o recurso descoberta de dados sensíveis da proteção de dados sensíveis, como ele funciona em cada nível de serviço do Security Command Center e como ativá-lo.

Antes de começar

Para usar a descoberta de dados sensíveis com o Security Command Center, conclua estas tarefas.

Ativar o Security Command Center

Ativar o Security Command Center. Dependendo de como você ativa o Security Command Center, é possível que haja cobranças adicionais pela Proteção de dados sensíveis. Para mais detalhes, consulte Preços da descoberta para clientes do Security Command Center.

Verifique se o Security Command Center está configurado para aceitar descobertas da Proteção de dados sensíveis

Por padrão, o Security Command Center está configurado para aceitar descobertas da Proteção de dados sensíveis. Se a sua organização desativou a Proteção de Dados Sensíveis como um serviço integrado, é necessário reativá-la para receber descobertas de dados sensíveis. Para mais informações, consulte Adicionar um Google Cloud serviço integrado.

Configurar permissões

Para receber as permissões necessárias para configurar a descoberta de dados sensíveis, peça ao administrador para conceder a você os seguintes papéis do IAM na organização:

Finalidade	Papel predefinido	Permissões relevantes
Criar uma configuração de verificação de descoberta e visualizar perfis de dados	Administrador do DLP (`roles/dlp.admin`)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Crie um projeto para ser usado como o contêiner do agente de serviço¹	`roles/resourcemanager.projectCreator`Criador do projeto	resourcemanager.organizations.get resourcemanager.projects.create
Conceder acesso à descoberta²	Uma das seguintes opções: Administrador da organização (`roles/resourcemanager.organizationAdmin`) Administrador de segurança (`roles/iam.securityAdmin`)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ Se você não tiver o papel de Criador de projetos (roles/resourcemanager.projectCreator), ainda poderá criar uma configuração de verificação, mas o contêiner do agente de serviço que você usar precisará ser um projeto existente.

² Se você não tiver o papel de administrador da organização (roles/resourcemanager.organizationAdmin) ou administrador de segurança (roles/iam.securityAdmin), ainda poderá criar uma configuração de verificação. Depois de criar a configuração de verificação, alguém na sua organização com uma dessas funções precisa conceder acesso à descoberta ao agente de serviço.

Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Também é possível conseguir as permissões necessárias com papéis personalizados ou outros papéis predefinidos.

Vantagens

Esse recurso oferece os seguintes benefícios:

Use as descobertas da Proteção de dados sensíveis para identificar e corrigir vulnerabilidades e configurações incorretas nos seus recursos que podem expor dados sensíveis ao público ou a usuários maliciosos.
É possível usar os resultados da Proteção de Dados Sensíveis para adicionar contexto ao processo de triagem e priorizar ameaças que têm como alvo recursos com dados sensíveis.
É possível configurar o recurso de simulação de caminhos de ataque para priorizar automaticamente os recursos de acordo com a sensibilidade dos dados que eles contêm. Para mais informações, consulte Definir valores de prioridade de recursos automaticamente com base na sensibilidade dos dados.

Descoberta de dados sensíveis no Security Command Center Enterprise

O Security Command Center Enterprise inclui uma assinatura no nível da organização do serviço de descoberta da Proteção de dados sensíveis. Com essa assinatura, você não recebe cobranças da Proteção de Dados Sensíveis ao executar a descoberta de dados sensíveis no nível da organização ou da pasta. Para mais informações, consulte Capacidade de descoberta no Enterprise e no Premium neste documento.

Quando você ativa o nível Security Command Center Enterprise, a descoberta de dados sensíveis é ativada automaticamente para todos os tipos de recursos compatíveis no nível da organização. Esse processo de ativação automática é uma operação única que se aplica apenas aos tipos de recursos compatíveis no momento da ativação do nível Enterprise. Se a Proteção de Dados Sensíveis adicionar suporte à descoberta para novos tipos de recursos mais tarde, será necessário ativar esses tipos de descoberta manualmente. Para instruções, consulte Ativar a descoberta com as configurações padrão em uma organização neste documento.

Descoberta de dados sensíveis no Security Command Center Premium

Se você tiver uma ativação no nível da organização do Security Command Center Premium, sua assinatura Premium vai incluir uma assinatura no nível da organização do serviço de descoberta da proteção de dados sensíveis. Com essa assinatura, você não recebe cobranças da Proteção de Dados Sensíveis ao executar a descoberta de dados sensíveis no nível da organização ou da pasta. Para mais informações, consulte Capacidade de descoberta no Enterprise e no Premium neste documento.

Importante:ao configurar a descoberta de dados sensíveis, verifique se o escopo da configuração (também conhecido como parent) é sua organização, e não um projeto. Sua assinatura no nível da organização inclui descoberta apenas no escopo da organização. Se você usar um escopo no nível do projeto, haverá cobranças separadas de descoberta.

Para usar sua assinatura no nível da organização e executar a descoberta em um único projeto, consulte Criar perfil selecionar projetos ou recursos de dados em uma organização ou pasta na documentação da Proteção de dados sensíveis.

Para realizar a descoberta de dados sensíveis no nível da organização, consulte Ativar a descoberta com configurações padrão em uma organização neste documento.
Se você tiver uma ativação do Security Command Center Premium no nível do projeto, poderá ativar a descoberta de dados sensíveis no nível do projeto e receber as descobertas no Security Command Center. No entanto, esse recurso é cobrado separadamente. Para ativar a descoberta no nível do projeto, consulte Criar uma configuração de verificação na documentação da proteção de dados sensíveis.

Para determinar o tipo de ativação da sua instância do Security Command Center, consulte Ver seu tipo de ativação atual.

Descoberta de dados sensíveis no Security Command Center Standard

Se você tiver o Security Command Center Standard, poderá ativar a descoberta de dados sensíveis e receber as descobertas no Security Command Center. No entanto, esse recurso é cobrado separadamente.

Como funciona

O serviço de descoberta da Proteção de Dados Sensíveis ajuda a proteger os dados em toda a organização, identificando onde estão os dados sensíveis e de alto risco.

Na Proteção de Dados Sensíveis, o serviço de descoberta gera perfis de dados, que fornecem métricas e insights sobre seus dados em vários níveis de detalhes.
No Security Command Center, o serviço de descoberta gera descobertas.

Descobertas geradas

A proteção de dados sensíveis gera descobertas de observação no Security Command Center que mostram os níveis calculados de sensibilidade e risco de dados. Use essas descobertas para informar sua resposta quando encontrar ameaças e vulnerabilidades relacionadas aos recursos de dados. Para ver uma lista dos tipos de descobertas geradas, consulte Descobertas de observação do serviço de descoberta.

Essas descobertas podem informar a designação automática de recursos de alto valor com base na sensibilidade dos dados. Para mais informações, consulte Usar insights de descoberta para identificar recursos de alto valor neste documento.
A Proteção de Dados Sensíveis gera descobertas de vulnerabilidade e erros de configuração no Security Command Center quando detecta dados desprotegidos de alta ou média sensibilidade. Para conferir uma lista dos tipos de descobertas geradas, consulte:
- Descobertas de vulnerabilidades do serviço de descoberta da Proteção de dados sensíveis
- Descobertas de erros de configuração do serviço de descoberta da proteção de dados sensíveis

Para uma lista completa de descobertas da Proteção de dados sensíveis, consulte Proteção de dados sensíveis.

Latência de geração de descobertas

Dependendo do tamanho da sua organização, as descobertas da Proteção de Dados Sensíveis podem começar a aparecer no Security Command Center alguns minutos depois que você ativa a descoberta de dados sensíveis. Para organizações maiores ou com configurações específicas que afetam a geração de descobertas, pode levar até 12 horas para que as descobertas iniciais apareçam no Security Command Center.

Em seguida, a Proteção de Dados Sensíveis gera descobertas no Security Command Center alguns minutos após o serviço de descoberta verificar seus recursos.

Ativar a descoberta com as configurações padrão em uma organização

Para ativar a descoberta, crie uma configuração para cada fonte de dados que você quer verificar. É possível editar as configurações depois de criá-las. Para personalizar as configurações no processo de criação de uma configuração, consulte Criar uma configuração de verificação.

Para ativar a descoberta com as configurações padrão no nível da organização, siga estas etapas:

No console Google Cloud , acesse a página Proteção de Dados Sensíveis Ativar descoberta.

Acesse "Ativar descoberta"
Verifique se você está visualizando a organização em que ativou o Security Command Center.
No painel Ativar descoberta, no campo Contêiner do agente de serviço, defina o projeto a ser usado como um contêiner do agente de serviço. Nesse projeto, o sistema cria um agente de serviço e concede automaticamente a ele as funções de descoberta necessárias.
- Para criar automaticamente um projeto para usar como contêiner do agente de serviço, siga estas etapas:
  1. Clique em Criar.
  2. Especifique o nome, a conta de faturamento e a organização principal do novo projeto. Se quiser, edite o ID do projeto.
  3. Clique em Criar.
  Pode levar alguns minutos para que as funções sejam concedidas ao agente de serviço do novo projeto.
- Para selecionar um projeto que você usou anteriormente em operações de descoberta, clique no campo Contêiner do agente de serviço e selecione o projeto.
Para analisar as configurações padrão, clique no ícone de expansão .
Na seção Ativar descoberta, clique em Ativar para cada tipo de descoberta que você quer ativar. Ao ativar um tipo de descoberta, você faz o seguinte:
- BigQuery: cria uma configuração de descoberta para criar perfis de tabelas do BigQuery em toda a organização. A Proteção de dados sensíveis começa a criar perfis dos seus dados do BigQuery e os envia para o Security Command Center.
- Cloud SQL: cria uma configuração de descoberta para criar perfis de tabelas do Cloud SQL em toda a organização. A Proteção de dados sensíveis começa a criar conexões padrão para cada uma das suas instâncias do Cloud SQL. Esse processo pode levar algumas horas. Quando as conexões padrão estiverem prontas, conceda à Proteção de Dados Sensíveis acesso às suas instâncias do Cloud SQL atualizando cada conexão com as credenciais de usuário do banco de dados adequadas.
- Vulnerabilidades de secrets/credenciais: cria uma configuração de descoberta para detectar e informar secrets não criptografados em variáveis de ambiente do Cloud Run. A Proteção de Dados Sensíveis começa a verificar suas variáveis de ambiente.
- Cloud Storage: cria uma configuração de descoberta para criar perfis de buckets do Cloud Storage em toda a organização. A Proteção de dados sensíveis começa a criar perfis dos seus dados do Cloud Storage e os envia para o Security Command Center.
- Conjuntos de dados da Vertex AI: cria uma configuração de descoberta para criar perfis de conjuntos de dados da Vertex AI em toda a organização. A Proteção de dados sensíveis começa a criar perfis dos seus conjuntos de dados da Vertex AI e envia os perfis para o Security Command Center.
- Amazon S3: cria uma configuração de descoberta para criar perfis de todos os dados do Amazon S3 a que seu conector da AWS tem acesso.
  
  Observação: esse recurso requer o Security Command Center Enterprise. Primeiro, crie um conector da AWS que tenha as permissões necessárias para a descoberta da Proteção de Dados Sensíveis.
- Armazenamento de blobs do Azure: cria uma configuração de descoberta para criar perfis de todos os dados do Armazenamento de blobs do Azure a que seu conector do Azure tem acesso.
  
  Observação: esse recurso requer o Security Command Center Enterprise. Primeiro, crie um conector do Azure que tenha as permissões necessárias para a descoberta da Proteção de Dados Sensíveis.
Para conferir as configurações de descoberta recém-criadas, clique em Acessar a configuração de descoberta.

Se você ativou a descoberta do Cloud SQL, a configuração de descoberta será criada no modo pausado com erros indicando a ausência de credenciais. Consulte Gerenciar conexões para uso com descoberta e conceda os papéis necessários do IAM ao seu agente de serviço e forneça as credenciais de usuário do banco de dados para cada instância do Cloud SQL.
Fechar painel.

Para ver as descobertas geradas pela Proteção de dados sensíveis, consulte Analisar descobertas da Proteção de dados sensíveis no console doGoogle Cloud .

Personalizar as configurações de verificação

Cada tipo de descoberta ativado tem uma configuração de verificação que pode ser personalizada. Por exemplo, é possível:

Ajuste a frequência de verificação.
Especifique filtros para recursos de dados que você não quer criar um novo perfil.
Mude o modelo de inspeção, que define os tipos de informações que a Proteção de Dados Sensíveis procura.
Publicar os perfis de dados gerados em outros Google Cloud serviços.
Mude o contêiner do agente de serviço.

Use insights de descoberta para identificar recursos de alto valor

O Security Command Center pode designar automaticamente como de alto valor um recurso que contém dados de alta ou média sensibilidade. Para recursos de alto valor, o Security Command Center oferece pontuações de exposição a ataques e visualizações de caminhos de ataque, que podem ser usadas para priorizar a segurança de recursos que contêm dados sensíveis. Para mais informações, consulte Definir valores de prioridade de recursos automaticamente com base na sensibilidade dos dados.

Capacidade de descoberta no Enterprise e no Premium

Se as necessidades de descoberta de dados sensíveis excederem a capacidade alocada para clientes do Security Command Center Enterprise ou Premium (no nível da organização), a Proteção de Dados Sensíveis poderá aumentar sua capacidade temporariamente. No entanto, esse aumento não é garantido e depende da disponibilidade de recursos de computação. Se você precisar de mais capacidade de descoberta, entre em contato com seu representante da conta ou um especialista em vendas doGoogle Cloud . Para mais informações, consulte Monitorar o uso na documentação da Proteção de Dados Sensíveis.