Se usó la API de Cloud Translation para traducir esta página.

Habilita el descubrimiento de datos sensibles

En este documento, se describe la función de detección de datos sensibles de Protección de datos sensibles, cómo funciona en cada nivel de servicio de Security Command Center y cómo habilitarla.

Antes de comenzar

Para usar el descubrimiento de datos sensibles con Security Command Center, completa estas tareas.

Activar Security Command Center

Activa Security Command Center. Según cómo actives Security Command Center, es posible que incurras en cargos adicionales por la Protección de datos sensibles. Para obtener más detalles, consulta Precios de Discovery para clientes de Security Command Center.

Asegúrate de que Security Command Center esté configurado para aceptar los resultados de la Protección de datos sensibles

De forma predeterminada, Security Command Center está configurado para aceptar hallazgos de la Protección de datos sensibles. Si tu organización inhabilitó Sensitive Data Protection como servicio integrado, debes volver a habilitarlo para recibir los resultados de la detección de datos sensibles. Para obtener más información, consulta Cómo agregar un servicio integrado Google Cloud .

Configura los permisos

Para obtener los permisos que necesitas para configurar el descubrimiento de datos sensibles, pídele a tu administrador que te otorgue los siguientes roles de IAM en la organización:

Objetivo	Función predefinida	Permisos relevantes
Crea una configuración de análisis de descubrimiento y visualiza perfiles de datos	Administrador de DLP (`roles/dlp.admin`)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Crea un proyecto para usarlo como contenedor de agente de servicio¹	Creador del proyecto (`roles/resourcemanager.projectCreator`)	resourcemanager.organizations.get resourcemanager.projects.create
Cómo otorgar acceso de descubrimiento²	Uno de los siguientes: Administrador de la organización (`roles/resourcemanager.organizationAdmin`) Administrador de seguridad (`roles/iam.securityAdmin`)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ Si no tienes el rol de creador de proyectos (roles/resourcemanager.projectCreator), puedes crear una configuración de análisis, pero el contenedor del agente de servicio que uses debe ser un proyecto existente.

² Si no tienes el rol de administrador de la organización (roles/resourcemanager.organizationAdmin) o de administrador de seguridad (roles/iam.securityAdmin), puedes crear una configuración de análisis. Después de crear la configuración de análisis, alguien de tu organización que tenga uno de estos roles debe otorgar acceso de detección al agente de servicio.

Si quieres obtener más información para otorgar roles, consulta Administra el acceso.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Beneficios

Esta función ofrece los siguientes beneficios:

Puedes usar los resultados de la Protección de datos sensibles para identificar y corregir vulnerabilidades y configuraciones incorrectas en tus recursos que pueden exponer datos sensibles al público o a personas o entidades que actúan de mala fe.
Puedes usar los resultados de Sensitive Data Protection para agregar contexto al proceso de clasificación y priorizar las amenazas dirigidas a los recursos que contienen datos sensibles.
Puedes configurar la función de simulación de rutas de ataque para priorizar automáticamente los recursos según la sensibilidad de los datos que contienen. Para obtener más información, consulta Cómo establecer valores de prioridad de recursos automáticamente según la sensibilidad de los datos.

Descubrimiento de datos sensibles en Security Command Center Enterprise

Security Command Center Enterprise incluye una suscripción a nivel de la organización al servicio de descubrimiento de la Protección de datos sensibles. Con esta suscripción, no se generan cargos de Sensitive Data Protection cuando ejecutas el descubrimiento de datos sensibles a nivel de la organización o de la carpeta. Para obtener más información, consulta Capacidad de detección en Enterprise y Premium en este documento.

Cuando activas el nivel Security Command Center Enterprise, el descubrimiento de datos sensibles se habilita automáticamente para todos los tipos de recursos compatibles a nivel de la organización. Este proceso de habilitación automática es una operación única que se aplica solo a los tipos de recursos que se admiten en el momento de la activación del nivel Enterprise. Si Sensitive Data Protection agrega compatibilidad con el descubrimiento de nuevos tipos de recursos más adelante, deberás habilitar esos tipos de descubrimiento de forma manual. Para obtener instrucciones, consulta Habilita el descubrimiento con la configuración predeterminada en una organización en este documento.

Descubrimiento de datos sensibles en Security Command Center Premium

Si activaste Security Command Center Premium a nivel de la organización, tu suscripción Premium incluye una suscripción a nivel de la organización al servicio de descubrimiento de la Protección de datos sensibles. Con esta suscripción, no se generan cargos de Sensitive Data Protection cuando ejecutas el descubrimiento de datos sensibles a nivel de la organización o la carpeta. Para obtener más información, consulta Capacidad de Discovery en Enterprise y Premium en este documento.

Importante: Cuando configures el descubrimiento de datos sensibles, asegúrate de que el alcance de tu configuración (también conocido como parent) sea tu organización y no un proyecto. Tu suscripción a nivel de la organización incluye el descubrimiento solo en el alcance de la organización. Si usas un alcance a nivel del proyecto, se generarán cargos de descubrimiento independientes.

Para usar tu suscripción a nivel de la organización y ejecutar el descubrimiento en un solo proyecto, consulta Cómo seleccionar proyectos o recursos de datos para generar perfiles en una organización o carpeta en la documentación de la Protección de datos sensibles.

Para realizar el descubrimiento de datos sensibles a nivel de la organización, consulta Habilita el descubrimiento con la configuración predeterminada en una organización en este documento.
Si tienes una activación a nivel del proyecto de Security Command Center Premium, puedes habilitar el descubrimiento de datos sensibles a nivel del proyecto y obtener los resultados en Security Command Center. Sin embargo, esta función tiene un precio independiente. Para habilitar el descubrimiento a nivel del proyecto, consulta Crea una configuración de análisis en la documentación de Sensitive Data Protection.

Para determinar el tipo de activación de tu instancia de Security Command Center, consulta Cómo ver tu tipo de activación actual.

Descubrimiento de datos sensibles en Security Command Center Standard

Si tienes la versión estándar de Security Command Center, puedes habilitar el descubrimiento de datos sensibles y obtener los resultados en Security Command Center. Sin embargo, esta función tiene un precio independiente.

Cómo funciona

El servicio de descubrimiento de Sensitive Data Protection te ayuda a proteger los datos en toda tu organización, ya que identifica dónde residen los datos sensibles y de alto riesgo.

En Sensitive Data Protection, el servicio de descubrimiento genera perfiles de datos, que proporcionan métricas y estadísticas sobre tus datos en varios niveles de detalle.
En Security Command Center, el servicio de descubrimiento genera hallazgos.

Resultados generados

Sensitive Data Protection genera hallazgos de observación en Security Command Center que muestran los niveles calculados de sensibilidad y riesgo de datos de tus datos. Puedes usar estos hallazgos para fundamentar tu respuesta cuando encuentres amenazas y vulnerabilidades relacionadas con tus activos de datos. Para obtener una lista de los tipos de resultados generados, consulta Resultados de observación del servicio de detección.

Estos hallazgos pueden fundamentar la designación automática de recursos valiosos según la sensibilidad de los datos. Para obtener más información, consulta Usa las estadísticas de descubrimiento para identificar recursos valiosos en este documento.
Sensitive Data Protection genera hallazgos de vulnerabilidades y errores de configuración en Security Command Center cuando detecta datos sensibles de alta o moderada sensibilidad sin protección. Para obtener una lista de los tipos de hallazgos que se generan, consulta lo siguiente:
- Resultados de vulnerabilidades del servicio de descubrimiento de Sensitive Data Protection
- Resultados de configuración incorrecta del servicio de descubrimiento de Sensitive Data Protection

Para obtener una lista completa de los resultados de Sensitive Data Protection, consulta Sensitive Data Protection.

Latencia de la búsqueda de generación

Según el tamaño de tu organización, los resultados de la protección de datos sensibles pueden comenzar a aparecer en Security Command Center unos minutos después de que habilites el descubrimiento de datos sensibles. En el caso de las organizaciones más grandes o aquellas con configuraciones específicas que afectan la generación de hallazgos, pueden transcurrir hasta 12 horas antes de que aparezcan los hallazgos iniciales en Security Command Center.

Luego, Sensitive Data Protection genera resultados en Security Command Center unos minutos después de que el servicio de descubrimiento analiza tus recursos.

Habilita el descubrimiento con la configuración predeterminada en una organización

Para habilitar el descubrimiento, debes crear una configuración de descubrimiento para cada fuente de datos que desees analizar. Puedes editar la configuración después de crearla. Para personalizar la configuración durante el proceso de creación, consulta Crea una configuración de análisis.

Para habilitar el descubrimiento con la configuración predeterminada a nivel de la organización, sigue estos pasos:

En la consola de Google Cloud , ve a la página Habilitar el descubrimiento de Sensitive Data Protection.

Ir a Habilitar el descubrimiento
Verifica que estás viendo la organización en la que activaste Security Command Center.
En el panel Habilitar el descubrimiento, en el campo Contenedor del agente de servicio, establece el proyecto que se usará como un contenedor del agente de servicio. Dentro de este proyecto, el sistema crea un agente de servicio y le otorga automáticamente los roles de descubrimiento necesarios.
- Para crear automáticamente un proyecto que se usará como contenedor de agente de servicio, sigue estos pasos:
  1. Haz clic en Crear.
  2. Especifica el nombre, la cuenta de facturación y la organización principal del proyecto nuevo. De manera opcional, edita el ID del proyecto.
  3. Haz clic en Crear.
  Los roles pueden tardar unos minutos en otorgarse al agente de servicio del proyecto nuevo.
- Para seleccionar un proyecto que usaste anteriormente para las operaciones de descubrimiento, haz clic en el campo Contenedor del agente de servicio y selecciona el proyecto.
Para revisar la configuración predeterminada, haz clic en el ícono de expansión .
En la sección Habilitar el descubrimiento, haz clic en Habilitar para cada tipo de descubrimiento que quieras habilitar. Habilitar un tipo de descubrimiento hace lo siguiente:
- BigQuery: Crea una configuración de descubrimiento para generar perfiles de las tablas de BigQuery en toda la organización. La Protección de datos sensibles comienza a generar perfiles de tus datos de BigQuery y los envía a Security Command Center.
- Cloud SQL: Crea una configuración de detección para generar perfiles de las tablas de Cloud SQL en toda la organización. Sensitive Data Protection comenzará a crear conexiones predeterminadas para cada una de tus instancias de Cloud SQL. Este proceso puede tardar algunas horas. Cuando las conexiones predeterminadas estén listas, debes actualizar cada conexión con las credenciales de usuario de base de datos adecuadas para otorgar acceso a Sensitive Data Protection a tus instancias de Cloud SQL.
- Vulnerabilidades de secretos o credenciales: Crea una configuración de descubrimiento para detectar y registrar secretos sin encriptar en las variables de entorno de Cloud Run. Sensitive Data Protection comienza a analizar tus variables de entorno.
- Cloud Storage: Crea una configuración de descubrimiento para generar perfiles de los buckets de Cloud Storage en toda la organización. La Protección de datos sensibles comienza a generar perfiles de tus datos de Cloud Storage y los envía a Security Command Center.
- Conjuntos de datos de Vertex AI: Crea una configuración de detección para generar perfiles de los conjuntos de datos de Vertex AI en toda la organización. La Protección de datos sensibles comienza a generar perfiles de tus conjuntos de datos de Vertex AI y los envía a Security Command Center.
- Amazon S3: Crea una configuración de detección para generar perfiles de todos los datos de Amazon S3 a los que tiene acceso tu conector de AWS.
  
  Nota: Esta función requiere Security Command Center Enterprise. Primero debes crear un conector de AWS que tenga los permisos de AWS necesarios para el descubrimiento de Sensitive Data Protection.
- Azure Blob Storage: Crea una configuración de detección para generar perfiles de todos los datos de Azure Blob Storage a los que tiene acceso tu conector de Azure.
  
  Nota: Esta función requiere Security Command Center Enterprise. Primero debes crear un conector de Azure que tenga los permisos de Azure necesarios para el descubrimiento de Sensitive Data Protection.
Para ver las configuraciones de detección creadas recientemente, haz clic en Ir a la configuración de detección.

Si habilitaste el descubrimiento de Cloud SQL, la configuración de descubrimiento se crea en modo pausado con errores que indican la ausencia de credenciales. Consulta Administra las conexiones para usarlas con el descubrimiento para otorgar los roles de IAM requeridos a tu agente de servicio y proporcionar credenciales de usuario de la base de datos para cada instancia de Cloud SQL.
Cerrar el panel

Para ver los hallazgos que genera Sensitive Data Protection, consulta Revisa los hallazgos de Sensitive Data Protection en la consola deGoogle Cloud .

Personaliza la configuración de análisis

Cada tipo de descubrimiento que habilites tendrá una configuración de análisis de descubrimiento que puedes personalizar. Por ejemplo, puedes hacer lo siguiente:

Ajusta la frecuencia de análisis.
Especifica filtros para los activos de datos de los que no deseas volver a generar el perfil.
Cambia la plantilla de inspección, que define los tipos de información que busca Sensitive Data Protection.
Publicar los perfiles de datos generados en otros Google Cloud servicios
Cambia el contenedor del agente de servicio.

Usa las estadísticas de descubrimiento para identificar recursos valiosos

Security Command Center puede designar automáticamente como recurso de alto valor a un recurso que contenga datos de sensibilidad alta o media. En el caso de los recursos de alto valor, Security Command Center proporciona puntuaciones de exposición a ataques y visualizaciones de rutas de ataque, que puedes usar para priorizar la seguridad de los recursos que contienen datos sensibles. Para obtener más información, consulta Cómo establecer valores de prioridad de recursos automáticamente según la sensibilidad de los datos.

Capacidad de descubrimiento en Enterprise y Premium

Si tus necesidades de descubrimiento de datos sensibles superan la capacidad asignada para los clientes de Security Command Center Enterprise o Premium (a nivel de la organización), es posible que Sensitive Data Protection aumente tu capacidad de forma temporal. Sin embargo, este aumento no está garantizado y depende de si hay recursos de procesamiento disponibles. Si necesitas más capacidad de descubrimiento, comunícate con tu representante de cuenta o con un Google Cloud especialista en ventas. Para obtener más información, consulta Supervisa el uso en la documentación de Sensitive Data Protection.