En esta sección, se describe cómo especificar las acciones que deseas que realice Sensitive Data Protection después de generar el perfil de un recurso. Estas acciones son útiles si deseas enviar estadísticas recopiladas de perfiles de datos a otros Google Cloud servicios.
Para habilitar las acciones de descubrimiento, crea o edita una configuración de análisis de descubrimiento. En las siguientes secciones, se describen las diferentes acciones que puedes habilitar en la sección Agregar acciones de la configuración de análisis.No todas las acciones de esta página están disponibles para cada tipo de descubrimiento. Por ejemplo, no puedes adjuntar etiquetas a los recursos si configuras el descubrimiento para recursos de otro proveedor de servicios en la nube. Para obtener más información, consulta Acciones compatibles en esta página.
Para obtener más información sobre el descubrimiento de datos sensibles, consulta Perfiles de datos.
Las operaciones de inspección y análisis de riesgos tienen un conjunto diferente de acciones. Para obtener más información, consulta Habilita las acciones de inspección o análisis de riesgos acciones.
Publicar en Google Security Operations
Las métricas recopiladas de los perfiles de datos pueden agregar contexto a tus hallazgos de Google Security Operations. El contexto agregado puede ayudarte a determinar los problemas de seguridad más importantes que debes abordar.
Por ejemplo, si investigas un agente de servicio en particular, Google Security Operations puede determinar a qué recursos accedió el agente de servicio y si alguno de esos recursos tiene datos de alta sensibilidad.
Para enviar tus perfiles de datos a tu instancia de Google Security Operations, activa Publicar en Google Security Operations.
Si no tienes una instancia de Google Security Operations habilitada para tu organización (a través del producto independiente o de Security Command Center Enterprise), activar esta opción no tiene ningún efecto.
Publicar en Security Command Center
Los hallazgos de los perfiles de datos proporcionan contexto cuando priorizas y desarrollas planes de respuesta para tus hallazgos de vulnerabilidad y amenazas en Security Command Center.
Antes de que puedas usar esta acción, Security Command Center debe activarse a nivel de la organización. Activar Security Command Center a nivel de la organización habilita el flujo de hallazgos de servicios integrados, como Sensitive Data Protection. Sensitive Data Protection funciona con Security Command Center en todos los niveles de servicio.Si Security Command Center no está activado a nivel de la organización, los hallazgos de Sensitive Data Protection no aparecerán en Security Command Center. Para obtener más información, consulta Verifica el nivel de activación de Security Command Center.
Para enviar los resultados de tus perfiles de datos a Security Command Center, asegúrate de que la opción Publicar en Security Command Center esté activada.
Para obtener más información, consulta Publica perfiles de datos en Security Command Center.
Guardar copias de los perfiles de datos en BigQuery
Sensitive Data Protection guarda una copia de cada perfil de datos generado en una tabla de BigQuery. Si no proporcionas los detalles de tu tabla preferida, Sensitive Data Protection crea un conjunto de datos y una tabla en el contenedor del agente de servicio.
De forma predeterminada, el conjunto de datos se llama sensitive_data_protection_discovery y la tabla se llama discovery_profiles.
Esta acción te permite mantener un historial de todos tus perfiles generados. Este historial puede ser útil para crear informes de auditoría y visualizar perfiles de datos. También puedes cargar esta información en otros sistemas.
Además, esta opción te permite ver todos tus perfiles de datos en una sola vista, independientemente de la región en la que residan tus datos. Aunque también puedes ver los perfiles de datos a través de la Google Cloud consola, la consola muestra los perfiles en una sola región a la vez.
Cuando Sensitive Data Protection no puede generar el perfil de un recurso, vuelve a intentarlo de forma periódica. Para minimizar el ruido en los datos exportados, Sensitive Data Protection exporta solo los perfiles generados correctamente a BigQuery.
Sensitive Data Protection comienza a exportar perfiles desde el momento en que activas esta opción. Los perfiles que se generaron antes de que activaras la exportación no se guardan en BigQuery.
Para obtener ejemplos de consultas que puedes usar cuando analizas perfiles de datos, consulta Analiza perfiles de datos.
Guardar los hallazgos de descubrimiento de muestra en BigQuery
Sensitive Data Protection puede agregar hallazgos de muestra a una tabla de BigQuery de tu elección. Los hallazgos de muestra representan un subconjunto de todos los hallazgos y es posible que no representen todos los infoTypes que se descubrieron. Por lo general, el sistema genera alrededor de 10 hallazgos de muestra por recurso, pero este número puede variar para cada ejecución de descubrimiento.
Cada hallazgo incluye la cadena real (también llamada cita) que se detectó y su ubicación exacta.
Esta acción es útil si deseas evaluar si tu configuración de inspección coincide correctamente con el tipo de información que deseas marcar como sensible. Con los perfiles de datos exportados y los hallazgos de muestra exportados, puedes ejecutar consultas para obtener más información sobre los elementos específicos que se marcaron, los infoTypes que coincidieron, sus ubicaciones exactas, sus niveles de sensibilidad calculados y otros detalles.
Consulta de ejemplo: Muestra hallazgos de muestra relacionados con perfiles de datos de almacén de archivos
En este ejemplo, se requiere que estén habilitados Guardar copias de los perfiles de datos en BigQuery y Guardar los hallazgos de descubrimiento de muestra en BigQuery.
La siguiente consulta usa una operación INNER JOIN en la tabla de perfiles de datos exportados y en la tabla de hallazgos de muestra exportados. En la tabla resultante, cada registro muestra la cita del hallazgo, el Infotipo que coincidió, el recurso que contiene el hallazgo y el nivel de sensibilidad calculado del recurso.
SELECT findings_table.quote, findings_table.infotype.name, findings_table.location.container_name, profiles_table.file_store_profile.file_store_path as bucket_name, profiles_table.file_store_profile.sensitivity_score as bucket_sensitivity_score FROM `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table INNER JOIN `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table ON findings_table.data_profile_resource_name=profiles_table.file_store_profile.name
Consulta de ejemplo: Muestra hallazgos de muestra relacionados con perfiles de datos de tabla
En este ejemplo, se requiere que estén habilitados Guardar copias de los perfiles de datos en BigQuery y Guardar los hallazgos de descubrimiento de muestra en BigQuery.
La siguiente consulta usa una operación INNER JOIN en la tabla de perfiles de datos exportados y en la tabla de hallazgos de muestra exportados. En la tabla resultante, cada registro muestra la cita del hallazgo, el Infotipo que coincidió, el recurso que contiene el hallazgo y el nivel de sensibilidad calculado del recurso.
SELECT findings_table.quote, findings_table.infotype.name, findings_table.location.container_name, findings_table.location.data_profile_finding_record_location.field.name AS field_name, profiles_table.table_profile.dataset_project_id AS project_id, profiles_table.table_profile.dataset_id AS dataset_id, profiles_table.table_profile.table_id AS table_id, profiles_table.table_profile.sensitivity_score AS table_sensitivity_score FROM `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table INNER JOIN `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table ON findings_table.data_profile_resource_name=profiles_table.table_profile.name
Para guardar hallazgos de muestra en una tabla de BigQuery, sigue estos pasos:
Activa Guardar los hallazgos de descubrimiento de muestra en BigQuery.
Ingresa los detalles de la tabla de BigQuery en la que deseas guardar los hallazgos de muestra.
La tabla que especifiques para esta acción debe ser diferente de la tabla que se usa para la acción Guardar copias de los perfiles de datos en BigQuery.
En ID del proyecto, ingresa el ID de un proyecto existente en el que deseas exportar los hallazgos.
En ID del conjunto de datos, ingresa el nombre de un conjunto de datos existente en el proyecto.
En ID de la tabla, ingresa el nombre de la tabla de BigQuery en la que deseas guardar los hallazgos. Si esta tabla no existe, Sensitive Data Protection la crea automáticamente con el nombre que proporcionas.
Para obtener información sobre el contenido de cada hallazgo que se guarda en la
tabla de BigQuery, consulta
DataProfileFinding.
Adjunta etiquetas a los recursos
Activar Adjunta etiquetas a los recursos indica a Sensitive Data Protection que etiquete automáticamente tus datos según su nivel de sensibilidad calculado. En esta sección, se requiere que primero completes las tareas en Controla el acceso de IAM a los recursos en función de la sensibilidad de los datos.
Para etiquetar automáticamente un recurso según su nivel de sensibilidad calculado, sigue estos pasos:
- Activa la opción Etiquetar recursos.
Para cada nivel de sensibilidad (alto, moderado, bajo y desconocido), ingresa la ruta de acceso del valor de etiqueta que creaste para el nivel de sensibilidad determinado.
Si omites un nivel de sensibilidad, no se adjunta ninguna etiqueta.
Para reducir automáticamente el nivel de riesgo de datos de un recurso cuando está presente la etiqueta de nivel de sensibilidad, selecciona Cuando se aplica una etiqueta a un recurso, reducir el riesgo de los datos de su perfil a BAJO. Esta opción te ayuda a medir la mejora en tu postura de seguridad y privacidad de datos.
Selecciona una o ambas de las siguientes opciones:
- Etiquetar un recurso cuando se genera un perfil por primera vez.
Etiquetar un recurso cuando se actualiza su perfil. Selecciona esta opción si deseas que Sensitive Data Protection anule el valor de la etiqueta de nivel de sensibilidad en las ejecuciones de descubrimiento posteriores. En consecuencia, el acceso de una entidad principal a un recurso cambia automáticamente a medida que aumenta o disminuye el nivel de sensibilidad de datos calculado para ese recurso.
No selecciones esta opción si planeas actualizar de forma manual los valores de etiqueta de nivel de sensibilidad que el servicio de descubrimiento adjuntó a tus recursos. Si seleccionas esta opción, Sensitive Data Protection puede anular tus actualizaciones manuales.
Publicar en Pub/Sub
Activar Publicar en Pub/Sub te permite realizar acciones programáticas en función de los resultados de la generación de perfiles. Puedes usar las notificaciones de Pub/Sub para desarrollar un flujo de trabajo que permita detectar y corregir hallazgos con un riesgo o sensibilidad de datos significativos.
Para enviar notificaciones a un tema de Pub/Sub, sigue estos pasos:
Activa Publicar en Pub/Sub.
Aparecerá una lista de opciones. Cada opción describe un evento que hace que Sensitive Data Protection envíe una notificación a Pub/Sub.
Selecciona los eventos que deben activar una notificación de Pub/Sub.
Si seleccionas Enviar una notificación de Pub/Sub cada vez que se actualiza un perfil, Sensitive Data Protection envía una notificación cuando hay un cambio en el nivel de sensibilidad, el nivel de riesgo de datos, los infoTypes detectados, el acceso público y otras métricas importantes en el perfil.
Para cada evento que selecciones, sigue estos pasos:
Ingresa el nombre del tema. El nombre debe tener el siguiente formato:
projects/PROJECT_ID/topics/TOPIC_IDReemplaza lo siguiente:
- PROJECT_ID: Es el ID del proyecto asociado con el tema de Pub/Sub.
- TOPIC_ID: Es el ID del tema de Pub/Sub.
Especifica si deseas incluir el perfil de recurso completo en la notificación o solo el nombre completo del recurso perfilado.
Establece los niveles mínimos de riesgo de datos y sensibilidad que se deben cumplir para que Sensitive Data Protection envíe una notificación.
Especifica si se debe cumplir solo una o ambas de las condiciones de riesgo de datos y sensibilidad. Por ejemplo, si eliges
AND, se deben cumplir las condiciones de riesgo de datos y sensibilidad antes de que Sensitive Data Protection envíe una notificación.
Enviar a Data Catalog como etiquetas
Esta función está obsoleta.
Esta acción te permite crear etiquetas de Data Catalog en Knowledge Catalog en función de las estadísticas de los perfiles de datos. Esta acción solo se aplica a los perfiles nuevos y actualizados. Los perfiles existentes que no se actualizan no se envían a Knowledge Catalog.
Data Catalog es un servicio de administración de metadatos escalable y completamente administrado. Cuando habilitas esta acción, las tablas que perfilas se etiquetan automáticamente en Data Catalog según las estadísticas recopiladas de los perfiles de datos. Luego, puedes usar Knowledge Catalog para buscar en tu organización y proyectos tablas con valores de etiqueta específicos.
Para enviar los perfiles de datos a Knowledge Catalog como etiquetas de Data Catalog, asegúrate de que la opción Enviar a Dataplex como etiquetas esté activada.
Para obtener más información, consulta Etiqueta tablas en Data Catalog en función de las estadísticas de los perfiles de datos.
Enviar a Knowledge Catalog como aspectos
Esta acción te permite agregar aspectos de Knowledge Catalog a los recursos perfilados en función de las estadísticas de los perfiles de datos. Esta acción solo se aplica a los perfiles nuevos y actualizados. Los perfiles existentes que no se actualizan no se envían a Knowledge Catalog.
Cuando habilitas esta acción, Sensitive Data Protection adjunta el
Sensitive Data Protection profile aspecto a la entrada de Knowledge Catalog
para cada recurso nuevo o actualizado
que perfilas. Los aspectos generados contienen estadísticas recopiladas de los perfiles de datos. Luego, puedes buscar en tu organización y proyectos entradas con valores de aspecto Sensitive Data Protection profile específicos.
Para enviar los perfiles de datos a Knowledge Catalog, asegúrate de que la opción Enviar a Dataplex Catalog como aspectos esté activada.
Para obtener más información, consulta Agrega aspectos de Knowledge Catalog en función de las estadísticas de los perfiles de datos.
Acciones compatibles
En la siguiente tabla, se muestran las acciones que se admiten para cada tipo de descubrimiento.
| Publicar en Google Security Operations | Publicar en Security Command Center | Guardar copias de los perfiles de datos en BigQuery | Guardar los hallazgos de descubrimiento de muestra en BigQuery | Adjunta etiquetas a los recursos | Publicar en Pub/Sub | Enviar a Knowledge Catalog como etiquetas de Data Catalog (obsoleto) | Enviar a Knowledge Catalog como aspectos | |
|---|---|---|---|---|---|---|---|---|
| Amazon S3 | ✓ | ✓ | ✓ | ✓ | ✓ | |||
| Azure Blob Storage | ✓ | ✓ | ✓ | ✓ | ✓ | |||
| BigQuery | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Cloud SQL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Cloud Storage | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| Vertex AI | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
¿Qué sigue?
- Obtén información para usar datos de contexto de perfiles de datos en Google Security Operations.
- Obtén información sobre los hallazgos que Sensitive Data Protection puede generar en Security Command Center.
- Obtén información para analizar perfiles de datos en BigQuery y Data Studio.
- Obtén información para controlar el acceso de IAM a los recursos en función de la sensibilidad de los datos.
- Obtén información para recibir y analizar mensajes de Pub/Sub sobre perfiles de datos.
- Obtén información para agregar aspectos de Knowledge Catalog en función de las estadísticas de los perfiles de datos.