Ative a descoberta de dados confidenciais no nível Enterprise

Esta página descreve como ativar a deteção de dados confidenciais através das definições predefinidas. Pode personalizar as definições em qualquer altura depois de ativar a deteção.

Se for cliente do Security Command Center Enterprise, o serviço de deteção da Proteção de dados confidenciais está incluído na sua subscrição Enterprise. Para mais informações, consulte a secção Capacidade de descoberta atribuição nesta página.

Durante o processo de ativação do nível Enterprise do Security Command Center, o serviço de deteção de proteção de dados confidenciais é ativado automaticamente para todos os tipos de recursos suportados. Este processo de ativação automática é uma operação única que se aplica apenas aos tipos de recursos suportados no momento da ativação do nível Enterprise. Se a proteção de dados confidenciais adicionar posteriormente suporte de deteção para novos tipos de recursos, tem de ativar esses tipos de deteção manualmente seguindo estas instruções.

Vantagens

Esta funcionalidade oferece as seguintes vantagens:

• Pode usar as conclusões da Proteção de dados confidenciais para identificar e corrigir vulnerabilidades e configurações incorretas nos seus recursos que podem expor dados confidenciais ao público ou a intervenientes maliciosos.

• Pode usar estas conclusões para adicionar contexto ao processo de triagem e dar prioridade a ameaças que visam recursos que contêm dados confidenciais.

• Pode configurar o Security Command Center para dar automaticamente prioridade aos recursos para a funcionalidade de simulação de caminho de ataque de acordo com a sensibilidade dos dados que os recursos contêm. Para mais informações, consulte o artigo Defina automaticamente os valores de prioridade dos recursos por sensibilidade dos dados.

Como funciona

O serviço de deteção da proteção de dados confidenciais ajuda a proteger os dados na sua organização, identificando onde residem os dados confidenciais e de alto risco. Na proteção de dados confidenciais, o serviço gera perfis de dados, que fornecem métricas e estatísticas sobre os seus dados a vários níveis de detalhe. No Security Command Center, o serviço faz o seguinte:

• Gere resultados de observação no Security Command Center que mostram os níveis de sensibilidade e risco de dados calculados dos seus dados. Pode usar estas conclusões para informar a sua resposta quando encontrar ameaças e vulnerabilidades relacionadas com os seus recursos de dados. Para ver uma lista dos tipos de deteções gerados, consulte o artigo Resultados de observação do serviço de deteção.

  Estas conclusões podem fundamentar a designação automática de recursos de elevado valor com base na sensibilidade dos dados. Para mais informações, consulte a secção Use as estatísticas de descoberta para identificar recursos de elevado valor nesta página.

• Gere resultados de vulnerabilidades no Security Command Center quando a proteção de dados confidenciais deteta a presença de dados altamente confidenciais que não estão protegidos. Para ver uma lista dos tipos de resultados gerados, consulte o artigo Resultados de vulnerabilidades do serviço de deteção de proteção de dados confidenciais.

Latência de geração de resultados da pesquisa

Consoante a dimensão da sua organização, as conclusões da Proteção de dados confidenciais podem começar a ser apresentadas no Security Command Center alguns minutos após ativar a deteção de dados confidenciais. Para organizações maiores ou organizações com configurações específicas que afetam a geração de resultados, pode demorar até 12 horas antes de os resultados iniciais aparecerem no Security Command Center.

Posteriormente, a Proteção de dados confidenciais gera resultados no Security Command Center alguns minutos após o serviço de deteção analisar os seus recursos.

Antes de começar

Conclua estas tarefas antes de concluir as restantes tarefas nesta página.

Ative o nível Enterprise do Security Command Center

Conclua o passo 1 e o passo 2 do guia de configuração para ativar o nível Enterprise do Security Command Center. Para mais informações, consulte o artigo Ative o nível Enterprise do Security Command Center.

Certifique-se de que a proteção de dados confidenciais está ativada como um serviço integrado

Por predefinição, a proteção de dados confidenciais está ativada no Security Command Center como um serviço integrado. Se a proteção de dados confidenciais ainda não estiver ativada, tem de a ativar. Para mais informações, consulte o artigo Adicione um serviço integrado. Google Cloud

Configure as autorizações

Para receber as autorizações necessárias para configurar a deteção de dados confidenciais, peça ao seu administrador que lhe conceda as seguintes funções do IAM na organização:

Finalidade	Função predefinida	Autorizações relevantes
Crie uma configuração de análise de deteção e veja perfis de dados	Administrador da DLP (roles/dlp.admin)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Crie um projeto a usar como contentor do agente de serviço1	Criador do projeto (roles/resourcemanager.projectCreator)	resourcemanager.organizations.get resourcemanager.projects.create
Conceda acesso à descoberta2	Uma das seguintes opções: Administrador da organização (roles/resourcemanager.organizationAdmin) Administrador de segurança (roles/iam.securityAdmin)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ Se não tiver a função Project Creator (roles/resourcemanager.projectCreator), pode continuar a criar uma configuração de análise, mas o contentor do agente de serviço que usar tem de ser um projeto existente.

² Se não tiver a função de administrador da organização (roles/resourcemanager.organizationAdmin) ou administrador de segurança (roles/iam.securityAdmin), ainda pode criar uma configuração de análise. Depois de criar a configuração da análise, alguém na sua organização que tenha uma destas funções tem de conceder acesso à deteção ao agente de serviço.

Para mais informações sobre a atribuição de funções, consulte o artigo Gerir acesso.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Ative a descoberta com as predefinições

Para ativar a descoberta, cria uma configuração de descoberta para cada origem de dados que quer analisar. Este procedimento permite-lhe criar essas configurações de descoberta automaticamente através das definições predefinidas. Pode personalizar as definições em qualquer altura após realizar este procedimento.

Se quiser personalizar as definições desde o início, consulte as seguintes páginas:

• Crie perfis de dados do BigQuery numa organização ou numa pasta
• Crie perfis de dados do Cloud SQL numa organização ou numa pasta
• Analise os dados do Cloud Storage numa organização ou numa pasta
• Crie perfis de dados da Vertex AI numa organização ou numa pasta
• Deteção de dados confidenciais para o Amazon S3
• Comunique segredos em variáveis de ambiente ao Security Command Center

Para ativar a deteção com as predefinições, siga estes passos:

1. Na Google Cloud consola, aceda à página de proteção de dados confidenciais Ativar deteção.

   Aceda a Ativar descoberta

2. Verifique se está a ver a organização na qual ativou o Security Command Center.

3. No campo Contentor do agente de serviço, defina o projeto a usar como um contentor do agente de serviço. Neste projeto, o sistema cria um agente de serviço e concede-lhe automaticamente as autorizações de deteção necessárias.

   Se usou anteriormente o serviço de deteção para a sua organização, pode já ter um projeto de contentor do agente de serviço que pode reutilizar.

   • Para criar automaticamente um projeto para usar como contentor do agente de serviço, reveja o ID do projeto sugerido e edite-o conforme necessário. Em seguida, clique em Criar. Pode demorar alguns minutos até que as autorizações sejam concedidas ao agente do serviço do novo projeto.
   • Para selecionar um projeto existente, clique no campo Contentor do agente de serviço e selecione o projeto.

4. Para rever as predefinições, clique no expand_more ícone para expandir.

5. Na secção Ativar descoberta, para cada tipo de descoberta que quer ativar, clique em Ativar. A ativação de um tipo de descoberta faz o seguinte:

   • BigQuery: cria uma configuração de deteção para a criação de perfis de tabelas do BigQuery na organização. A proteção de dados confidenciais começa a criar perfis dos seus dados do BigQuery e envia os perfis para o Security Command Center.
   • Cloud SQL: cria uma configuração de deteção para a criação de perfis de tabelas do Cloud SQL na organização. A Proteção de dados confidenciais começa a criar ligações predefinidas para cada uma das suas instâncias do Cloud SQL. Este processo pode demorar algumas horas. Quando as associações predefinidas estiverem prontas, tem de conceder ao Sensitive Data Protection acesso às suas instâncias do Cloud SQL atualizando cada associação com as credenciais de utilizador da base de dados adequadas.
   • Vulnerabilidades de informações secretas/credenciais: cria uma configuração de deteção para detetar e comunicar informações secretas não encriptadas nas variáveis de ambiente do Cloud Run. A Proteção de dados confidenciais começa a analisar as variáveis de ambiente.
   • Cloud Storage: cria uma configuração de descoberta para a criação de perfis de contentores do Cloud Storage em toda a organização. A proteção de dados confidenciais começa a criar perfis dos seus dados do Cloud Storage e envia os perfis para o Security Command Center.
   • Conjuntos de dados do Vertex AI: cria uma configuração de deteção para a criação de perfis de conjuntos de dados do Vertex AI em toda a organização. A proteção de dados confidenciais começa a criar perfis dos seus conjuntos de dados do Vertex AI e envia os perfis para o Security Command Center.

   • Amazon S3: cria uma configuração de deteção para criar perfis de todos os dados do Amazon S3 aos quais o conector da AWS tem acesso.

   • Armazenamento de blobs do Azure: cria uma configuração de deteção para a criação de perfis de todos os dados do armazenamento de blobs do Azure aos quais o conetor do Azure tem acesso.

6. Para ver as configurações de descoberta recém-criadas, clique em Aceder à configuração de descoberta.

   Se ativou a deteção do Cloud SQL, a configuração de deteção é criada no modo pausado com erros que indicam a ausência de credenciais. Consulte o artigo Gerir ligações para utilização com a deteção para conceder as funções do IAM necessárias ao seu agente de serviço e para fornecer credenciais de utilizador da base de dados para cada instância do Cloud SQL.

7. Feche o painel.

Para ver as conclusões geradas pela proteção de dados confidenciais, consulte o artigo Reveja as conclusões da proteção de dados confidenciais na Google Cloud consola.

Use as estatísticas de descoberta para identificar recursos de elevado valor

Pode fazer com que o Security Command Center designe automaticamente um recurso que contenha dados de sensibilidade elevada ou média como um recurso de elevado valor ativando a opção de estatísticas de deteção da Proteção de dados confidenciais quando criar uma configuração de valor de recurso para a funcionalidade de simulação de caminho de ataque.

Para recursos de elevado valor, o Security Command Center fornece classificações de exposição a ataques e visualizações de caminhos de ataque, que pode usar para dar prioridade à segurança dos seus recursos que contêm dados confidenciais. Para mais informações, consulte o artigo Defina automaticamente os valores de prioridade dos recursos de acordo com a sensibilidade dos dados .

Personalize as configurações de análise

Cada tipo de deteção ativado tem uma configuração de análise de deteção que pode personalizar. Por exemplo, pode fazer o seguinte:

• Ajuste as frequências de procura.
• Especifique filtros para recursos de dados que não quer voltar a criar perfis.
• Altere o modelo de inspeção, que define os tipos de informações que a proteção de dados confidenciais procura.
• Publicar os perfis de dados gerados noutros Google Cloud serviços.
• Altere o contentor do agente de serviço.

Atribuição de capacidade de campanhas Discovery

Se as suas necessidades de deteção de dados confidenciais excederem a capacidade atribuída aos clientes empresariais do Security Command Center, a proteção de dados confidenciais pode aumentar temporariamente a sua capacidade. No entanto, este aumento não é garantido e depende da disponibilidade de recursos de computação. Se precisar de mais capacidade de descoberta, contacte o representante da sua conta ou um Google Cloud especialista de vendas. Para mais informações, consulte a secção Monitorizar a utilização na documentação da proteção de dados confidenciais.

O que se segue?

• Veja as conclusões da proteção de dados confidenciais
• Veja os perfis de dados na proteção de dados confidenciais.