Ativar a descoberta de dados sensíveis

Este documento descreve o recurso de descoberta de dados sensíveis da Proteção de Dados Sensíveis, como ele funciona em cada nível de serviço do Security Command Center, e como ativá-lo.

Antes de começar

Para usar a descoberta de dados sensíveis com o Security Command Center, conclua estas tarefas.

Ativar o Security Command Center

Ativar o Security Command Center. Dependendo de como você ativa o Security Command Center, pode haver cobranças adicionais pela Proteção de Dados Sensíveis. Para mais detalhes, consulte Preços de descoberta para clientes do Security Command Center.

Verificar se o Security Command Center está configurado para aceitar descobertas da Proteção de Dados Sensíveis

Por padrão, o Security Command Center está configurado para aceitar descobertas da Proteção de Dados Sensíveis. Se a organização desativou a Proteção de Dados Sensíveis como um serviço integrado, você precisará reativá-la para receber descobertas de dados sensíveis. Para mais informações, consulte Adicionar um Google Cloud serviço integrado.

Configurar permissões

Para receber as permissões necessárias para configurar a descoberta de dados sensíveis, peça ao administrador para conceder a você os seguintes papéis do IAM na organização:

Finalidade	Papel predefinido	Permissões relevantes
Criar uma configuração de verificação de descoberta e visualizar perfis de dados	Administrador do DLP (`roles/dlp.admin`)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Criar um projeto para ser usado como contêiner do agente de serviço¹	Criador de projetos (`roles/resourcemanager.projectCreator`)	resourcemanager.organizations.get resourcemanager.projects.create
Conceder acesso à descoberta²	Uma das seguintes opções: Administrador da organização (`roles/resourcemanager.organizationAdmin`) Administrador de segurança (`roles/iam.securityAdmin`)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ Se você não tiver o papel Criador do projeto (roles/resourcemanager.projectCreator), ainda poderá criar uma configuração de verificação, mas o contêiner do agente de serviço usado precisa ser um projeto atual.

² Se você não tiver o papel Administrador da organização (roles/resourcemanager.organizationAdmin) ou Administrador de segurança (roles/iam.securityAdmin), ainda poderá criar uma configuração de verificação. Depois de criar a configuração de verificação, alguém na sua organização que tenha um desses papéis precisa conceder acesso de descoberta ao agente de serviço.

Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Também é possível conseguir as permissões necessárias com papéis personalizados ou outros papéis predefinidos.

Benefícios

Esse recurso oferece os seguintes benefícios:

É possível usar as descobertas da Proteção de Dados Sensíveis para identificar e corrigir vulnerabilidades e configurações incorretas nos recursos que podem expor dados sensíveis ao público ou a usuários mal-intencionados.
É possível usar as descobertas da Proteção de Dados Sensíveis para adicionar contexto ao processo de triagem e priorizar ameaças que visam recursos que contêm dados sensíveis.
É possível configurar o recurso de simulação de caminho de ataque para priorizar automaticamente os recursos de acordo com a sensibilidade dos dados que os recursos contêm. Para mais informações, consulte Definir valores de prioridade de recursos automaticamente por sensibilidade de dados.

Descoberta de dados sensíveis no Security Command Center Enterprise

O Security Command Center Enterprise inclui uma assinatura no nível da organização para o serviço de descoberta da Proteção de Dados Sensíveis. Com essa assinatura, você não incorre em cobranças da Proteção de Dados Sensíveis ao executar a descoberta de dados sensíveis no nível da organização ou da pasta. Para mais informações, consulte Capacidade de descoberta no Enterprise e no Premium neste documento.

Ao ativar o nível do Security Command Center Enterprise, a descoberta de dados sensíveis é ativada automaticamente para todos os tipos de recursos compatíveis no nível da organização. Esse processo de ativação automática é uma operação única que se aplica apenas aos tipos de recursos com suporte no momento da ativação do nível Enterprise. Se a Proteção de Dados Sensíveis adicionar suporte à descoberta para novos tipos de recursos mais tarde, será necessário ativar esses tipos de descoberta manualmente. Para instruções, consulte Ativar a descoberta com as configurações padrão em uma organização neste documento.

Descoberta de dados sensíveis no Security Command Center Premium

Se você tiver uma ativação do Security Command Center Premium no nível da organização, a assinatura Premium vai incluir uma assinatura no nível da organização para o serviço de descoberta da Proteção de Dados Sensíveis. Com essa assinatura, você não incorre em cobranças da Proteção de Dados Sensíveis ao executar a descoberta de dados sensíveis no nível da organização ou da pasta. Para mais informações, consulte Capacidade de descoberta no Enterprise e no Premium neste documento.

Importante:ao configurar a descoberta de dados sensíveis, verifique se o escopo da configuração (também conhecido como parent) é a organização e não um projeto. A assinatura no nível da organização inclui a descoberta apenas no escopo da organização. Se você usar um escopo para envolvidos no projeto, haverá cobranças de descoberta separadas.

Para usar a assinatura no nível da organização para executar a descoberta em um único projeto, consulte Criar perfis de projetos ou recursos de dados selecionados em uma organização ou pasta na documentação da Proteção de Dados Sensíveis.

Para realizar a descoberta de dados sensíveis no nível da organização, consulte Ativar a descoberta com as configurações padrão em uma organização neste documento.
Se você tiver uma ativação do Security Command Center Premium no nível do projeto, poderá ativar a descoberta de dados sensíveis no nível do projeto e receber as descobertas no Security Command Center. No entanto, esse recurso é cobrado separadamente. Para ativar a descoberta no nível do projeto, consulte Criar uma configuração de verificação na documentação da Proteção de Dados Sensíveis.

Para determinar o tipo de ativação da instância do Security Command Center, consulte Visualizar o tipo de ativação atual.

Descoberta de dados sensíveis no Security Command Center Standard

Se você tiver o Security Command Center Standard, poderá ativar a descoberta de dados sensíveis e receber as descobertas no Security Command Center. No entanto, esse recurso é cobrado separadamente.

Como funciona

O serviço de descoberta da Proteção de Dados Sensíveis ajuda a proteger os dados em toda a organização, identificando onde estão os dados sensíveis e de alto risco.

Na Proteção de Dados Sensíveis, o serviço de descoberta gera perfis de dados, que fornecem métricas e insights sobre os dados em vários níveis de detalhe.
No Security Command Center, o serviço de descoberta gera descobertas.

Descobertas geradas

A Proteção de Dados Sensíveis gera descobertas de observação no Security Command Center que mostram os níveis de sensibilidade e risco de dados calculados. É possível usar essas descobertas para informar sua resposta quando encontrar ameaças e vulnerabilidades relacionadas aos seus recursos de dados. Para conferir uma lista dos tipos de descobertas geradas, consulte Descobertas de observação do serviço de descoberta.

Essas descobertas podem informar a designação automática de recursos de alto valor com base na sensibilidade dos dados. Para mais informações, consulte Usar insights de descoberta para identificar recursos de alto valor neste documento.
A Proteção de Dados Sensíveis gera descobertas de vulnerabilidade e configuração incorreta no Security Command Center quando detecta dados de alta ou média sensibilidade não protegidos. Para conferir uma lista dos tipos de descobertas geradas, consulte o seguinte:
- Descobertas de vulnerabilidades do serviço de descoberta da Proteção de Dados Sensíveis
- Descobertas de configurações incorretas do serviço de descoberta da Proteção de Dados Sensíveis

Para conferir uma lista completa de descobertas da Proteção de Dados Sensíveis, consulte Proteção de Dados Sensíveis.

Latência de geração de descobertas

Dependendo do tamanho da sua organização, as descobertas da Proteção de Dados Sensíveis podem começar a aparecer no Security Command Center alguns minutos após a ativação da descoberta de dados sensíveis. Para organizações maiores ou com configurações específicas que afetam a geração de descobertas, pode levar até 12 horas para que as descobertas iniciais apareçam no Security Command Center.

Em seguida, a Proteção de Dados Sensíveis gera descobertas no Security Command Center alguns minutos após o serviço de descoberta verificar seus recursos.

Ativar a descoberta com as configurações padrão em uma organização

Para ativar a descoberta, crie uma configuração de descoberta para cada fonte de dados que você quer verificar. É possível editar as configurações depois de criá-las. Para personalizar as configurações no processo de criação de uma configuração, consulte Criar uma configuração de verificação em vez disso.

Para ativar a descoberta com as configurações padrão no nível da organização, siga estas etapas:

No Google Cloud console, acesse a página da Proteção de Dados Sensíveis Ativar descoberta.

Acessar a página "Ativar descoberta"
Verifique se você está visualizando a organização em que ativou o Security Command Center.
No painel Ativar descoberta, no campo Contêiner do agente de serviço , defina o projeto a ser usado como contêiner do agente de serviço. Nesse projeto, o sistema cria um agente de serviço e concede automaticamente os papéis de descoberta necessários a ele.
- Para criar automaticamente um projeto a ser usado como contêiner do agente de serviço, siga estas etapas:
  1. Clique em Criar.
  2. Especifique o nome, a conta de faturamento e a organização mãe do novo projeto. Opcionalmente, edite o ID do projeto.
  3. Clique em Criar.
  Pode levar alguns minutos para que os papéis sejam concedidos ao agente de serviço do novo projeto.
- Para selecionar um projeto usado anteriormente para operações de descoberta, clique no campo Contêiner do agente de serviço e selecione o projeto.
Para revisar as configurações padrão, clique no ícone de expansão .
Na seção Ativar descoberta, para cada tipo de descoberta que você quer ativar, clique em Ativar. A ativação de um tipo de descoberta faz o seguinte:
- BigQuery: cria uma configuração de descoberta para criar perfis de tabelas do BigQuery em toda a organização. A Proteção de Dados Sensíveis começa a criar perfis dos dados do BigQuery e envia os perfis para o Security Command Center.
- Cloud SQL: cria uma configuração de descoberta para criar perfis de tabelas do Cloud SQL em toda a organização. A Proteção de Dados Sensíveis começa a criar conexões padrão para cada uma das instâncias do Cloud SQL. Esse processo pode levar algumas horas. Quando as conexões padrão estiverem prontas, você precisará conceder acesso à Proteção de Dados Sensíveis às instâncias do Cloud SQL atualizando cada conexão com as credenciais de usuário do banco de dados adequadas.
- Vulnerabilidades de Secrets/credenciais: cria uma configuração de descoberta para detectar e informar secrets não criptografados em variáveis de ambiente do Cloud Run. A Proteção de Dados Sensíveis começa a verificar as variáveis de ambiente.
- Cloud Storage: cria uma configuração de descoberta para criar perfis de buckets do Cloud Storage em toda a organização. A Proteção de Dados Sensíveis começa a criar perfis dos dados do Cloud Storage e envia os perfis para o Security Command Center.
- Conjuntos de dados da Vertex AI: cria uma configuração de descoberta para criar perfis de conjuntos de dados da plataforma de agentes do Gemini Enterprise em toda a organização. A Proteção de Dados Sensíveis começa a criar perfis dos conjuntos de dados da plataforma de agentes e envia os perfis para o Security Command Center.
- Amazon S3: cria uma configuração de descoberta para criar perfis de todos os dados do Amazon S3 a que o conector da AWS tem acesso.
  
  **Observação** :esse recurso requer o Security Command Center Enterprise. Primeiro, crie um conector da AWS que tenha as permissões da AWS necessárias para a Proteção de Dados Sensíveis descoberta.
- Armazenamento de blobs do Azure: cria uma configuração de descoberta para criar perfis de todos os dados do Armazenamento de blobs do Azure a que o conector do Azure tem acesso.
  
  **Observação** :esse recurso requer o Security Command Center Enterprise. Primeiro, crie um conector do Azure que tenha as permissões do Azure necessárias para a descoberta da Proteção de Dados Sensíveis.
Para visualizar as configurações de descoberta recém-criadas, clique em Acessar a configuração de descoberta.

Se você ativou a descoberta do Cloud SQL, a configuração de descoberta será criada no modo pausado com erros indicando a ausência de credenciais. Consulte Gerenciar conexões para uso com a descoberta para conceder os papéis do IAM necessários ao agente de serviço e fornecer credenciais de usuário do banco de dados para cada instância do Cloud SQL.
Fechar painel.

Para visualizar as descobertas geradas pela Proteção de Dados Sensíveis, consulte Analisar descobertas da Proteção de Dados Sensíveis no Google Cloud console.

Personalizar as configurações de verificação

Cada tipo de descoberta ativado tem uma configuração de verificação de descoberta que você pode personalizar. Por exemplo, é possível:

Ajustar a frequência de verificação.
Especificar filtros para recursos de dados que você não quer criar perfis novamente.
Mudar o modelo de inspeção, que define os tipos de informações que a Proteção de Dados Sensíveis verifica.
Publicar os perfis de dados gerados em outros Google Cloud serviços.
Mudar o contêiner do agente de serviço.

Usar insights de descoberta para identificar recursos de alto valor

O Security Command Center pode designar automaticamente um recurso que contém dados de alta ou média sensibilidade como um recurso de alto valor. Para recursos de alto valor, o Security Command Center fornece pontuações de exposição a ataques e visualizações de caminho de ataque, que podem ser usadas para priorizar a segurança de recursos que contêm dados sensíveis. Para mais informações, consulte Definir valores de prioridade de recursos automaticamente por sensibilidade de dados.

Capacidade de descoberta no Enterprise e no Premium

Se as necessidades de descoberta de dados sensíveis excederem a capacidade alocada para clientes do Security Command Center Enterprise ou Premium (no nível da organização), a Proteção de Dados Sensíveis poderá aumentar sua capacidade temporariamente. No entanto, esse aumento não é garantido e depende da disponibilidade de recursos de computação. Se você precisar de mais capacidade de descoberta, entre em contato com o representante da sua conta ou um Google Cloud especialista em vendas. Para mais informações, consulte Monitorar a utilização na documentação da Proteção de Dados Sensíveis.

Descoberta de dados sensíveis em perímetros de serviço

Se você usa perímetros de serviço do VPC Service Controls e quer descobrir dados sensíveis nesses perímetros, consulte Permitir a descoberta de dados sensíveis em perímetros de serviço.