Questa pagina è stata tradotta dall'API Cloud Translation.

Attiva rilevamento di dati sensibili

Questo documento descrive la funzionalità di rilevamento dei dati sensibili di Sensitive Data Protection, come funziona in ogni livello di servizio di Security Command Center e come abilitarla.

Prima di iniziare

Per utilizzare il servizio di rilevamento di dati sensibili con Security Command Center, completa queste attività.

Attiva Security Command Center

Attiva Security Command Center. A seconda di come attivi Security Command Center, potresti incorrere in costi aggiuntivi per Sensitive Data Protection. Per maggiori dettagli, vedi Prezzi di Discovery per i clienti di Security Command Center.

Assicurati che Security Command Center sia configurato per accettare i risultati di Sensitive Data Protection

Per impostazione predefinita, Security Command Center è configurato per accettare i risultati di Sensitive Data Protection. Se la tua organizzazione ha disattivato Sensitive Data Protection come servizio integrato, devi riattivarlo per ricevere i risultati del rilevamento dei dati sensibili. Per maggiori informazioni, vedi Aggiungere un servizio integrato. Google Cloud

Configurare le autorizzazioni

Per ottenere le autorizzazioni necessarie per configurare la classificazione dei dati sensibili, chiedi all'amministratore di concederti i seguenti ruoli IAM nell'organizzazione:

Finalità	Ruolo predefinito	Autorizzazioni pertinenti
Crea una configurazione di scansione di rilevamento e visualizza i profili di dati	Amministratore DLP (`roles/dlp.admin`)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Crea un progetto da utilizzare come container dell'agente di servizio¹	Autore progetto (`roles/resourcemanager.projectCreator`)	resourcemanager.organizations.get resourcemanager.projects.create
Concedere l'accesso alla scoperta²	Uno dei seguenti: Amministratore organizzazione (`roles/resourcemanager.organizationAdmin`) Amministratore sicurezza (`roles/iam.securityAdmin`)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ Se non disponi del ruolo Project Creator (roles/resourcemanager.projectCreator), puoi comunque creare una configurazione di scansione, ma il container dell'agente di servizio che utilizzi deve essere un progetto esistente.

² Se non disponi del ruolo Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin) o Amministratore sicurezza (roles/iam.securityAdmin), puoi comunque creare una configurazione di scansione. Dopo aver creato la configurazione di scansione, un membro della tua organizzazione che dispone di uno di questi ruoli deve concedere l'accesso alla scoperta all'agente di servizio.

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Vantaggi

Questa funzionalità offre i seguenti vantaggi:

Puoi utilizzare i risultati di Sensitive Data Protection per identificare e correggere vulnerabilità e configurazioni errate nelle tue risorse che possono esporre dati sensibili al pubblico o a malintenzionati.
Puoi utilizzare i risultati di Sensitive Data Protection per aggiungere contesto al processo di triage e dare la priorità alle minacce che prendono di mira le risorse contenenti dati sensibili.
Puoi configurare la funzionalità di simulazione del percorso di attacco per dare automaticamente la priorità alle risorse in base alla sensibilità dei dati che contengono. Per saperne di più, consulta Imposta automaticamente i valori di priorità delle risorse in base alla sensibilità dei dati.

Rilevamento di dati sensibili in Security Command Center Enterprise

Security Command Center Enterprise include un abbonamento a livello di organizzazione al servizio di rilevamento di Sensitive Data Protection. Con questo abbonamento, non vengono addebitati costi di Sensitive Data Protection quando esegui il rilevamento di dati sensibili a livello di organizzazione o cartella. Per saperne di più, consulta la sezione Capacità di rilevamento in Enterprise e Premium di questo documento.

Quando attivi il livello Security Command Center Enterprise, il rilevamento dei dati sensibili viene abilitato automaticamente per tutti i tipi di risorse supportati a livello di organizzazione. Questo processo di attivazione automatica è un'operazione una tantum che si applica solo ai tipi di risorse supportati al momento dell'attivazione del livello Enterprise. Se in un secondo momento Sensitive Data Protection aggiunge il supporto della scoperta per nuovi tipi di risorse, devi abilitare manualmente questi tipi di scoperta. Per istruzioni, vedi Attivare l'individuazione con le impostazioni predefinite in un'organizzazione in questo documento.

Rilevamento di dati sensibili in Security Command Center Premium

Se hai un'attivazione a livello di organizzazione di Security Command Center Premium, il tuo abbonamento Premium include un abbonamento a livello di organizzazione al servizio di rilevamento Sensitive Data Protection. Con questo abbonamento, non ti vengono addebitati costi di Sensitive Data Protection quando esegui il rilevamento dei dati sensibili a livello di organizzazione o cartella. Per ulteriori informazioni, consulta la sezione Capacità di rilevamento in Enterprise e Premium di questo documento.

Importante:quando configuri il rilevamento dei dati sensibili, assicurati che l'ambito della configurazione (noto anche come parent) sia la tua organizzazione e non un progetto. L'abbonamento a livello di organizzazione include la scoperta solo nell'ambito dell'organizzazione. Se utilizzi un ambito a livello di progetto, vengono addebitati costi di rilevamento separati.

Per utilizzare l'abbonamento a livello di organizzazione per eseguire il rilevamento su un singolo progetto, consulta Profilo: seleziona progetti o asset di dati in un'organizzazione o una cartella nella documentazione di Sensitive Data Protection.

Per eseguire il rilevamento dei dati sensibili a livello di organizzazione, consulta Attivare il rilevamento con le impostazioni predefinite in un'organizzazione in questo documento.
Se hai un'attivazione di Security Command Center Premium a livello di progetto, puoi attivare il rilevamento di dati sensibili a livello di progetto e ottenere i risultati in Security Command Center. Tuttavia, questa funzionalità ha un prezzo separato. Per attivare il rilevamento a livello di progetto, consulta Creare una configurazione di scansione nella documentazione di Sensitive Data Protection.

Per determinare il tipo di attivazione della tua istanza di Security Command Center, consulta Visualizzare il tipo di attivazione corrente.

Rilevamento di dati sensibili in Security Command Center Standard

Se hai Security Command Center Standard, puoi abilitare il rilevamento di dati sensibili e ottenere i risultati in Security Command Center. Tuttavia, questa funzionalità ha un prezzo separato.

Come funziona

Il servizio di rilevamento Sensitive Data Protection ti aiuta a proteggere i dati in tutta l'organizzazione identificando la posizione dei dati sensibili e ad alto rischio.

In Sensitive Data Protection, il servizio di rilevamento genera profili di dati, che forniscono metriche e approfondimenti sui tuoi dati a vari livelli di dettaglio.
In Security Command Center, il servizio di rilevamento genera risultati.

Risultati generati

Sensitive Data Protection genera risultati di osservazione in Security Command Center che mostrano i livelli di sensibilità e rischio dei dati calcolati per i tuoi dati. Puoi utilizzare questi risultati per informare la tua risposta quando riscontri minacce e vulnerabilità relative alle tue risorse di dati. Per un elenco dei tipi di risultati generati, consulta Risultati dell'osservazione dal servizio di rilevamento.

Questi risultati possono essere utilizzati per la designazione automatica di risorse di alto valore in base alla sensibilità dei dati. Per saperne di più, consulta la sezione Utilizzare gli approfondimenti sul rilevamento per identificare le risorse di valore elevato in questo documento.
Sensitive Data Protection genera risultati di vulnerabilità e errata configurazione in Security Command Center quando rileva dati ad alta o media sensibilità non protetti. Per un elenco dei tipi di risultati generati, consulta quanto segue:
- Risultati delle vulnerabilità del servizio di rilevamento Sensitive Data Protection
- Risultati di configurazione errata del servizio di rilevamento di Sensitive Data Protection

Per un elenco completo dei risultati di Sensitive Data Protection, consulta Sensitive Data Protection.

Trovare la latenza di generazione

A seconda delle dimensioni della tua organizzazione, i risultati di Sensitive Data Protection possono iniziare a essere visualizzati in Security Command Center pochi minuti dopo l'attivazione del rilevamento di dati sensibili. Per le organizzazioni più grandi o con configurazioni specifiche che influiscono sulla generazione dei risultati, possono essere necessarie fino a 12 ore prima che i risultati iniziali vengano visualizzati in Security Command Center.

Successivamente, Sensitive Data Protection genera risultati in Security Command Center pochi minuti dopo che il servizio di rilevamento ha eseguito la scansione delle risorse.

Attivare il rilevamento con le impostazioni predefinite in un'organizzazione

Per attivare il rilevamento, crea una configurazione di rilevamento per ogni origine dati che vuoi analizzare. Puoi modificare le configurazioni dopo averle create. Per personalizzare le impostazioni durante la creazione di una configurazione, consulta Creare una configurazione di analisi.

Per attivare il rilevamento con le impostazioni predefinite a livello di organizzazione, segui questi passaggi:

Nella console Google Cloud , vai alla pagina Abilita rilevamento di Sensitive Data Protection.

Vai ad Attiva rilevamento
Verifica di visualizzare l'organizzazione su cui hai attivato Security Command Center.
Nel riquadro Abilita rilevamento, nel campo Container del service agent, imposta il progetto da utilizzare come container del service agent. All'interno di questo progetto, il sistema crea un service agent e gli concede automaticamente i ruoli di rilevamento richiesti.
- Per creare automaticamente un progetto da utilizzare come container dell'agente di servizio, segui questi passaggi:
  1. Fai clic su Crea.
  2. Specifica il nome, l'account di fatturazione e l'organizzazione principale del nuovo progetto. (Facoltativo) Modifica l'ID progetto.
  3. Fai clic su Crea.
  Potrebbero essere necessari alcuni minuti prima che i ruoli vengano concessi all'agente di servizio del nuovo progetto.
- Per selezionare un progetto che hai utilizzato in precedenza per le operazioni di rilevamento, fai clic sul campo Container dell'agente di servizio e seleziona il progetto.
Per rivedere le impostazioni predefinite, fai clic sull'icona di espansione .
Nella sezione Attiva la scoperta, fai clic su Attiva per ogni tipo di scoperta che vuoi attivare. L'attivazione di un tipo di rilevamento comporta quanto segue:
- BigQuery: crea una configurazione di rilevamento per la profilazione delle tabelle BigQuery nell'organizzazione. Sensitive Data Protection inizia a profilare i tuoi dati BigQuery e invia i profili a Security Command Center.
- Cloud SQL: crea una configurazione di rilevamento per la profilazione delle tabelle Cloud SQL nell'organizzazione. Sensitive Data Protection inizia a creare connessioni predefinite per ciascuna delle tue istanze Cloud SQL. Questa procedura può richiedere alcune ore. Quando le connessioni predefinite sono pronte, devi concedere a Sensitive Data Protection l'accesso alle tue istanze Cloud SQL aggiornando ogni connessione con le credenziali utente del database corrette.
- Vulnerabilità di secret/credenziali: crea una configurazione di rilevamento per rilevare e segnalare i secret non criptati nelle variabili di ambiente di Cloud Run. Sensitive Data Protection inizia a scansionare le variabili di ambiente.
- Cloud Storage: crea una configurazione di rilevamento per la profilazione dei bucket Cloud Storage nell'organizzazione. Sensitive Data Protection inizia a profilare i tuoi dati di Cloud Storage e invia i profili a Security Command Center.
- Set di dati Vertex AI: crea una configurazione di rilevamento per la profilazione dei set di dati Vertex AI in tutta l'organizzazione. Sensitive Data Protection inizia a profilare i tuoi set di dati Vertex AI e invia i profili a Security Command Center.
- Amazon S3: crea una configurazione di rilevamento per profilare tutti i dati Amazon S3 a cui il connettore AWS ha accesso.
  
  Nota: questa funzionalità richiede Security Command Center Enterprise. Devi prima creare un connettore AWS che disponga delle autorizzazioni AWS necessarie per il rilevamento di Sensitive Data Protection.
- Archiviazione BLOB di Azure: crea una configurazione di rilevamento per profilare tutti i dati di Archiviazione BLOB di Azure a cui ha accesso il connettore Azure.
  
  Nota: questa funzionalità richiede Security Command Center Enterprise. Devi prima creare un connettore Azure che disponga delle autorizzazioni Azure necessarie per l'individuazione di Sensitive Data Protection.
Per visualizzare le configurazioni di rilevamento appena create, fai clic su Vai alla configurazione del rilevamento.

Se hai abilitato il rilevamento Cloud SQL, la configurazione del rilevamento viene creata in modalità sospesa con errori che indicano l'assenza di credenziali. Consulta Gestire le connessioni da utilizzare con il rilevamento per concedere i ruoli IAM richiesti all'agente di servizio e per fornire le credenziali utente del database per ogni istanza Cloud SQL.
Chiudi il riquadro.

Per visualizzare i risultati generati da Sensitive Data Protection, consulta Esaminare i risultati di Sensitive Data Protection nella consoleGoogle Cloud .

Personalizzare le configurazioni di scansione

Ogni tipo di rilevamento che abiliti ha una configurazione di scansione del rilevamento che puoi personalizzare. Puoi ad esempio eseguire le seguenti operazioni:

Regola la frequenza di scansione.
Specifica i filtri per gli asset di dati di cui non vuoi eseguire nuovamente la profilazione.
Modifica il modello di ispezione, che definisce i tipi di informazioni che Sensitive Data Protection analizza.
Pubblica i profili dei dati generati in altri Google Cloud servizi.
Modifica il container del service agent.

Utilizzare gli approfondimenti sulla scoperta per identificare le risorse di alto valore

Security Command Center può designare automaticamente una risorsa che contiene dati con sensibilità alta o media come risorsa di alto valore. Per le risorse di alto valore, Security Command Center fornisce punteggi di esposizione agli attacchi e visualizzazioni dei percorsi di attacco, che puoi utilizzare per dare la priorità alla sicurezza delle risorse che contengono dati sensibili. Per ulteriori informazioni, vedi Impostare automaticamente i valori di priorità delle risorse in base alla sensibilità dei dati.

Capacità di rilevamento in Enterprise e Premium

Se le tue esigenze di rilevamento dei dati sensibili superano la capacità allocata per i clienti di Security Command Center Enterprise o Premium (a livello di organizzazione), Sensitive Data Protection potrebbe aumentare temporaneamente la tua capacità. Tuttavia, questo aumento non è garantito e dipende dalla disponibilità di risorse di calcolo. Se hai bisogno di una maggiore capacità di rilevamento, contatta il tuo rappresentante dell'account o un esperto delle vendite diGoogle Cloud . Per ulteriori informazioni, consulta Monitorare l'utilizzo nella documentazione di Sensitive Data Protection.