Esta página foi traduzida pela API Cloud Translation.

Ative a deteção de dados confidenciais

Este documento descreve a funcionalidade de deteção de dados confidenciais da Proteção de dados confidenciais, como funciona em cada nível de serviço do Security Command Center e como a ativar.

Antes de começar

Para usar a deteção de dados confidenciais com o Security Command Center, conclua estas tarefas.

Ative o Security Command Center

Ative o Security Command Center. Consoante a forma como ativa o Security Command Center, pode incorrer em custos adicionais pela proteção de dados confidenciais. Para mais detalhes, consulte o artigo Preços do Discovery para clientes do Security Command Center.

Certifique-se de que o Security Command Center está configurado para aceitar resultados da Proteção de dados confidenciais

Por predefinição, o Security Command Center está configurado para aceitar resultados da proteção de dados confidenciais. Se a sua organização tiver desativado a proteção de dados confidenciais como um serviço integrado, tem de a reativar para receber resultados da deteção de dados confidenciais. Para mais informações, consulte o artigo Adicione um Google Cloud serviço integrado.

Configure as autorizações

Para receber as autorizações necessárias para configurar a deteção de dados confidenciais, peça ao seu administrador que lhe conceda as seguintes funções do IAM na organização:

Finalidade	Função predefinida	Autorizações relevantes
Crie uma configuração de análise de deteção e veja perfis de dados	Administrador da DLP (`roles/dlp.admin`)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Crie um projeto a usar como contentor do agente de serviço¹	Criador do projeto (`roles/resourcemanager.projectCreator`)	resourcemanager.organizations.get resourcemanager.projects.create
Conceda acesso à descoberta²	Uma das seguintes opções: Administrador da organização (`roles/resourcemanager.organizationAdmin`) Administrador de segurança (`roles/iam.securityAdmin`)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ Se não tiver a função Project Creator (roles/resourcemanager.projectCreator), pode continuar a criar uma configuração de análise, mas o contentor do agente de serviço que usar tem de ser um projeto existente.

² Se não tiver a função de administrador da organização (roles/resourcemanager.organizationAdmin) ou administrador de segurança (roles/iam.securityAdmin), ainda pode criar uma configuração de análise. Depois de criar a configuração da análise, alguém na sua organização que tenha uma destas funções tem de conceder acesso à deteção ao agente de serviço.

Para mais informações sobre a atribuição de funções, consulte o artigo Gerir acesso.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Vantagens

Esta funcionalidade oferece as seguintes vantagens:

Pode usar as conclusões da Proteção de dados confidenciais para identificar e corrigir vulnerabilidades e configurações incorretas nos seus recursos que podem expor dados confidenciais ao público ou a intervenientes maliciosos.
Pode usar as conclusões da Proteção de dados confidenciais para adicionar contexto ao processo de triagem e dar prioridade às ameaças que segmentam recursos que contêm dados confidenciais.
Pode configurar a funcionalidade de simulação de caminho de ataque para priorizar automaticamente os recursos de acordo com a sensibilidade dos dados que os recursos contêm. Para mais informações, consulte o artigo Defina automaticamente os valores de prioridade dos recursos com base na sensibilidade dos dados.

Deteção de dados confidenciais no Security Command Center Enterprise

O Security Command Center Enterprise inclui uma subscrição ao nível da organização do serviço de deteção de proteção de dados confidenciais. Com esta subscrição, não incorre em encargos de proteção de dados confidenciais quando executa a deteção de dados confidenciais ao nível da organização ou da pasta. Para mais informações, consulte a secção Capacidade de deteção no Enterprise e Premium neste documento.

Quando ativa o nível Enterprise do Security Command Center, a deteção de dados confidenciais é ativada automaticamente para todos os tipos de recursos suportados ao nível da organização. Este processo de ativação automática é uma operação única que se aplica apenas aos tipos de recursos suportados no momento da ativação do nível Enterprise. Se a proteção de dados confidenciais adicionar suporte de deteção para novos tipos de recursos mais tarde, tem de ativar esses tipos de deteção manualmente. Para obter instruções, consulte a secção Ative a deteção com as predefinições numa organização neste documento.

Deteção de dados confidenciais no Security Command Center Premium

premium

Se tiver uma ativação ao nível da organização do Security Command Center Premium, a sua subscrição Premium inclui uma subscrição ao nível da organização do serviço de deteção de proteção de dados confidenciais. Com esta subscrição, não incorre em cobranças da proteção de dados confidenciais quando executa a deteção de dados confidenciais ao nível da organização ou da pasta. Para mais informações, consulte a secção Capacidade de descoberta no Enterprise e Premium neste documento.

Importante: ao configurar a deteção de dados confidenciais, certifique-se de que o âmbito da configuração (também conhecido como parent) é a sua organização e não um projeto. A sua subscrição ao nível da organização inclui a deteção apenas ao nível da organização. Se usar um âmbito ao nível do projeto, incorre em custos de deteção separados.

Para usar a subscrição ao nível da organização para executar a deteção num único projeto, consulte o artigo Selecionar projetos ou recursos de dados num perfil numa organização ou pasta na documentação do Sensitive Data Protection.

Para realizar a descoberta de dados confidenciais ao nível da organização, consulte o artigo Ative a descoberta com as definições predefinidas numa organização neste documento.
Se tiver uma ativação ao nível do projeto do Security Command Center Premium, pode ativar a deteção de dados confidenciais ao nível do projeto e obter as conclusões no Security Command Center. No entanto, esta funcionalidade tem um preço separado. Para ativar a deteção ao nível do projeto, consulte o artigo Crie uma configuração de análise na documentação do Sensitive Data Protection.

Para determinar o tipo de ativação da sua instância do Security Command Center, consulte o artigo Veja o seu tipo de ativação atual.

Deteção de dados confidenciais no Security Command Center Standard

Se tiver o Security Command Center Standard, pode ativar a deteção de dados confidenciais e obter os resultados no Security Command Center. No entanto, esta funcionalidade tem um preço separado.

Como funciona

O serviço de deteção da proteção de dados confidenciais ajuda a proteger os dados na sua organização, identificando onde residem os dados confidenciais e de alto risco.

Na proteção de dados confidenciais, o serviço de deteção gera perfis de dados, que fornecem métricas e estatísticas sobre os seus dados a vários níveis de detalhe.
No Security Command Center, o serviço de deteção gera resultados.

Descobertas geradas

A Proteção de dados confidenciais gera resultados de observação no Security Command Center que mostram os níveis de sensibilidade e risco de dados calculados dos seus dados. Pode usar estas conclusões para informar a sua resposta quando encontrar ameaças e vulnerabilidades relacionadas com os seus recursos de dados. Para ver uma lista dos tipos de deteções gerados, consulte o artigo Resultados de observação do serviço de deteção.

Estas conclusões podem fundamentar a designação automática de recursos de elevado valor com base na sensibilidade dos dados. Para mais informações, consulte a secção Use as estatísticas de descoberta para identificar recursos de elevado valor neste documento.
A proteção de dados confidenciais gera resultados de vulnerabilidades e erros de configuração no Security Command Center quando a proteção de dados confidenciais deteta dados de sensibilidade elevada ou moderada não protegidos. Para ver uma lista dos tipos de deteção gerados, consulte o seguinte:
- Resultados de vulnerabilidades do serviço de deteção de proteção de dados confidenciais
- Resultados de configuração incorreta do serviço de deteção da proteção de dados confidenciais

Para ver uma lista completa das conclusões da proteção de dados confidenciais, consulte o artigo Proteção de dados confidenciais.

Latência de geração de resultados da pesquisa

Consoante a dimensão da sua organização, as conclusões da Proteção de dados confidenciais podem começar a aparecer no Security Command Center alguns minutos após ativar a deteção de dados confidenciais. Para organizações maiores ou organizações com configurações específicas que afetam a geração de resultados, pode demorar até 12 horas antes de os resultados iniciais aparecerem no Security Command Center.

Posteriormente, a Proteção de dados confidenciais gera resultados no Security Command Center alguns minutos após o serviço de deteção analisar os seus recursos.

Ative a deteção com as predefinições numa organização

Para ativar a descoberta, cria uma configuração de descoberta para cada origem de dados que quer analisar. Pode editar as configurações depois de as criar. Para personalizar as definições no processo de criação de uma configuração, consulte Crie uma configuração de análise em alternativa.

Para ativar a descoberta com as predefinições ao nível da organização, siga estes passos:

Na Google Cloud consola, aceda à página de proteção de dados confidenciais Ativar deteção.

Aceda a Ativar descoberta
Verifique se está a ver a organização na qual ativou o Security Command Center.
No painel Ativar deteção, no campo Contentor do agente de serviço, defina o projeto a usar como um contentor do agente de serviço. Neste projeto, o sistema cria um agente de serviço e concede-lhe automaticamente as funções de descoberta necessárias.
- Para criar automaticamente um projeto para usar como contentor do agente de serviço, siga estes passos:
  1. Clique em Criar.
  2. Especifique o nome, a conta de faturação e a organização principal do novo projeto. Opcionalmente, edite o ID do projeto.
  3. Clique em Criar.
  Pode demorar alguns minutos até que as funções sejam concedidas ao agente de serviço do novo projeto.
- Para selecionar um projeto que usou anteriormente para operações de deteção, clique no campo Recipiente do agente de serviço e selecione o projeto.
Para rever as predefinições, clique no ícone para expandir.
Na secção Ativar descoberta, para cada tipo de descoberta que quer ativar, clique em Ativar. A ativação de um tipo de descoberta faz o seguinte:
- BigQuery: cria uma configuração de deteção para a criação de perfis de tabelas do BigQuery em toda a organização. A proteção de dados confidenciais começa a criar perfis dos seus dados do BigQuery e envia os perfis para o Security Command Center.
- Cloud SQL: cria uma configuração de deteção para a criação de perfis de tabelas do Cloud SQL na organização. A Proteção de dados confidenciais começa a criar ligações predefinidas para cada uma das suas instâncias do Cloud SQL. Este processo pode demorar algumas horas. Quando as associações predefinidas estiverem prontas, tem de conceder acesso à proteção de dados confidenciais às suas instâncias do Cloud SQL atualizando cada associação com as credenciais de utilizador da base de dados adequadas.
- Vulnerabilidades de informações secretas/credenciais: cria uma configuração de deteção para detetar e comunicar informações secretas não encriptadas nas variáveis de ambiente do Cloud Run. A Proteção de dados confidenciais começa a analisar as variáveis de ambiente.
- Cloud Storage: cria uma configuração de descoberta para a criação de perfis de contentores do Cloud Storage na organização. A proteção de dados confidenciais começa a criar perfis dos seus dados do Cloud Storage e envia os perfis para o Security Command Center.
- Conjuntos de dados do Vertex AI: cria uma configuração de deteção para a criação de perfis de conjuntos de dados do Vertex AI em toda a organização. A proteção de dados confidenciais começa a criar perfis dos seus conjuntos de dados do Vertex AI e envia os perfis para o Security Command Center.
- Amazon S3: cria uma configuração de deteção para criar perfis de todos os dados do Amazon S3 aos quais o conector da AWS tem acesso.
  
  Nota: esta funcionalidade requer o Security Command Center Enterprise. Primeiro, tem de criar um conector da AWS que tenha as autorizações da AWS necessárias para a deteção da proteção de dados confidenciais.
- Armazenamento de Blobs do Azure: cria uma configuração de deteção para a criação de perfis de todos os dados do Armazenamento de Blobs do Azure aos quais o conetor do Azure tem acesso.
  
  Nota: esta funcionalidade requer o Security Command Center Enterprise. Primeiro, tem de criar um conetor do Azure que tenha as autorizações do Azure necessárias para a deteção da proteção de dados confidenciais.
Para ver as configurações de descoberta recém-criadas, clique em Aceder à configuração de descoberta.

Se ativou a deteção do Cloud SQL, a configuração de deteção é criada no modo pausado com erros que indicam a ausência de credenciais. Consulte o artigo Gerir ligações para utilização com a deteção para conceder as funções do IAM necessárias ao seu agente de serviço e para fornecer credenciais de utilizador da base de dados para cada instância do Cloud SQL.
Feche o painel.

Para ver as conclusões geradas pela proteção de dados confidenciais, consulte o artigo Reveja as conclusões da proteção de dados confidenciais naGoogle Cloud consola.

Personalize as configurações de análise

Cada tipo de deteção que ativa tem uma configuração de análise de deteção que pode personalizar. Por exemplo, pode fazer o seguinte:

Ajuste a frequência de procura.
Especifique filtros para recursos de dados que não quer voltar a criar perfis.
Altere o modelo de inspeção, que define os tipos de informações que a proteção de dados confidenciais procura.
Publicar os perfis de dados gerados noutros Google Cloud serviços.
Altere o contentor do agente de serviço.

Use as estatísticas de descoberta para identificar recursos de elevado valor

O Security Command Center pode designar automaticamente um recurso que contenha dados de sensibilidade elevada ou média como um recurso de elevado valor. Para recursos de elevado valor, o Security Command Center fornece classificações de exposição a ataques e visualizações de caminhos de ataque, que pode usar para dar prioridade à segurança dos recursos que contêm dados confidenciais. Para mais informações, consulte o artigo Defina automaticamente os valores de prioridade dos recursos de acordo com a sensibilidade dos dados.

Capacidade de descoberta no Enterprise e Premium

Se as suas necessidades de deteção de dados confidenciais excederem a capacidade atribuída aos clientes do Security Command Center Enterprise ou Premium (ao nível da organização), a proteção de dados confidenciais pode aumentar temporariamente a sua capacidade. No entanto, este aumento não é garantido e depende da disponibilidade de recursos de computação. Se precisar de mais capacidade de descoberta, contacte o representante da sua conta ou um Google Cloud especialista de vendas. Para mais informações, consulte o artigo Monitorizar a utilização na documentação sobre a proteção de dados confidenciais.