Esta página oferece uma vista geral de nível elevado das ações que tem de realizar se quiser que os perfis de dados gerem resultados no Security Command Center. Esta página também oferece exemplos de consultas que pode usar para encontrar as conclusões geradas.
Acerca dos perfis de dados
Pode configurar a proteção de dados confidenciais para gerar automaticamente perfis sobre dados numa organização, pasta ou projeto. Os perfis de dados contêm métricas e metadados sobre os seus dados e ajudam a determinar onde residem os dados confidenciais e de alto risco. A proteção de dados confidenciais comunica estas métricas a vários níveis de detalhe. Para obter informações sobre os tipos de dados que pode criar perfis, consulte o artigo Recursos suportados.
Vantagens da publicação de perfis de dados no Security Command Center
Esta funcionalidade oferece as seguintes vantagens no Security Command Center:
Pode usar as conclusões da Proteção de dados confidenciais para identificar e corrigir vulnerabilidades e configurações incorretas nos seus recursos que podem expor dados confidenciais ao público ou a intervenientes maliciosos.
Pode usar as conclusões da Proteção de dados confidenciais para adicionar contexto ao processo de triagem e dar prioridade às ameaças que segmentam recursos que contêm dados confidenciais.
Pode configurar a funcionalidade de simulação de caminho de ataque para priorizar automaticamente os recursos de acordo com a sensibilidade dos dados que os recursos contêm. Para mais informações, consulte o artigo Defina automaticamente os valores de prioridade dos recursos com base na sensibilidade dos dados.
Resultados do Security Command Center gerados
Quando configura o serviço de deteção para publicar perfis de dados no Security Command Center, cada perfil de dados de tabela ou perfil de dados de arquivo gera as seguintes conclusões do Security Command Center.
Resultados de vulnerabilidades do serviço de deteção
O serviço de deteção da proteção de dados confidenciais ajuda a determinar se está a armazenar dados altamente confidenciais que não estão protegidos.
| Categoria | Resumo |
|---|---|
|
Descrição da descoberta: o recurso especificado tem dados de alta sensibilidade que podem ser acedidos por qualquer pessoa na Internet. Recursos suportados:
Remediação: Para dados Google Cloud , remova Para dados do Amazon S3, configure as definições de bloqueio do acesso público ou atualize a ACL do objeto para negar o acesso de leitura público. Para mais informações, consulte os artigos Configurar definições de acesso público de bloqueio para os seus contentores do S3 e Configurar ACLs na documentação da AWS. Para dados do Azure Blob Storage, remova o acesso público ao contentor e aos blobs. Para mais informações, consulte a Vista geral: Corrigir o acesso de leitura anónimo para dados de blobs na documentação do Azure. Normas de conformidade: não mapeadas |
|
Descrição da localização: existem segredos, como palavras-passe, tokens de autenticação e Google Cloud credenciais, nas variáveis de ambiente. Para ativar este detetor, consulte o artigo Comunique segredos em variáveis de ambiente ao Security Command Center na documentação do Sensitive Data Protection. Recursos suportados: Remediação: Para as variáveis de ambiente das funções do Cloud Run, remova o segredo da variável de ambiente e armazene-o no Secret Manager. Para as variáveis de ambiente da revisão do serviço do Cloud Run, mova todo o tráfego da revisão e, em seguida, elimine a revisão. Normas de conformidade:
|
|
Descrição da descoberta: existem segredos, como palavras-passe, tokens de autenticação e credenciais da nuvem, no recurso especificado. Recursos suportados:
Remediação:
Normas de conformidade: não mapeadas |
Resultados de configuração incorreta do serviço de deteção
O serviço de deteção da proteção de dados confidenciais ajuda a determinar se tem configurações incorretas que possam expor dados confidenciais.
| Categoria | Resumo |
|---|---|
|
Descrição da descoberta: o recurso especificado tem dados de sensibilidade elevada ou moderada e não está a usar uma chave de encriptação gerida pelo cliente (CMEK). Recursos suportados:
Remediação:
Normas de conformidade: não mapeadas |
Conclusões de observação do serviço de deteção
Data sensitivity- Uma indicação do nível de sensibilidade dos dados num recurso de dados específico. Os dados são confidenciais se contiverem PII ou outros elementos que possam exigir controlo ou gestão adicionais. A gravidade da descoberta é o nível de sensibilidade que a proteção de dados confidenciais calculou ao gerar o perfil de dados.
Data risk- O risco associado aos dados no respetivo estado atual. Ao calcular o risco de dados, a Proteção de dados confidenciais considera o nível de sensibilidade dos dados no recurso de dados e a presença de controlos de acesso para proteger esses dados. A gravidade da descoberta é o nível de risco de dados que a Proteção de dados confidenciais calculou ao gerar o perfil de dados.
Latência de geração de resultados da pesquisa
Consoante a dimensão da sua organização, as conclusões da Proteção de dados confidenciais podem começar a aparecer no Security Command Center alguns minutos após ativar a deteção de dados confidenciais. Para organizações maiores ou organizações com configurações específicas que afetam a geração de resultados, pode demorar até 12 horas antes de os resultados iniciais aparecerem no Security Command Center.
Posteriormente, a Proteção de dados confidenciais gera resultados no Security Command Center alguns minutos após o serviço de deteção analisar os seus recursos.
Envie perfis de dados para o Security Command Center
Segue-se um fluxo de trabalho de nível elevado para publicar perfis de dados no Security Command Center.
Verifique o tipo de ativação do Security Command Center. Pode ter uma subscrição de descoberta predefinida ao nível da organização, consoante o seu nível de serviço do Security Command Center.
Se o Security Command Center não estiver ativado, ative-o.
Confirme que o Security Command Center está configurado para aceitar resultados da proteção de dados confidenciais; ou seja, a proteção de dados confidenciais está ativada no Security Command Center como um serviço integrado. Para mais informações, consulte o artigo Adicione um serviço Google Cloud integradona documentação do Security Command Center.
Ative a descoberta criando uma configuração de procura de descoberta para cada origem de dados que quer procurar. Na configuração da análise, certifique-se de que mantém a opção Publicar no Security Command Center ativada.
Se tiver uma configuração de análise de deteção existente que não publique perfis de dados no Security Command Center, consulte a secção Ative a publicação no Security Command Center numa configuração existente nesta página.
Ative a deteção com as predefinições numa organização
Para ativar a descoberta, cria uma configuração de descoberta para cada origem de dados que quer analisar. Pode editar as configurações depois de as criar. Para personalizar as definições no processo de criação de uma configuração, consulte Crie uma configuração de análise em alternativa.
Para ativar a descoberta com as predefinições ao nível da organização, siga estes passos:
Na Google Cloud consola, aceda à página de proteção de dados confidenciais Ativar deteção.
Verifique se está a ver a organização na qual ativou o Security Command Center.
No painel Ativar deteção, no campo Contentor do agente de serviço, defina o projeto a usar como um contentor do agente de serviço. Neste projeto, o sistema cria um agente de serviço e concede-lhe automaticamente as funções de descoberta necessárias.
Para criar automaticamente um projeto para usar como contentor do agente de serviço, siga estes passos:
- Clique em Criar.
- Especifique o nome, a conta de faturação e a organização principal do novo projeto. Opcionalmente, edite o ID do projeto.
- Clique em Criar.
Pode demorar alguns minutos até que as funções sejam concedidas ao agente de serviço do novo projeto.
Para selecionar um projeto que usou anteriormente para operações de deteção, clique no campo Recipiente do agente de serviço e selecione o projeto.
Para rever as predefinições, clique no ícone para expandir.
Na secção Ativar descoberta, para cada tipo de descoberta que quer ativar, clique em Ativar. A ativação de um tipo de descoberta faz o seguinte:
- BigQuery: cria uma configuração de deteção para a criação de perfis de tabelas do BigQuery em toda a organização. A proteção de dados confidenciais começa a criar perfis dos seus dados do BigQuery e envia os perfis para o Security Command Center.
- Cloud SQL: cria uma configuração de deteção para a criação de perfis de tabelas do Cloud SQL na organização. A Proteção de dados confidenciais começa a criar ligações predefinidas para cada uma das suas instâncias do Cloud SQL. Este processo pode demorar algumas horas. Quando as associações predefinidas estiverem prontas, tem de conceder acesso à proteção de dados confidenciais às suas instâncias do Cloud SQL atualizando cada associação com as credenciais de utilizador da base de dados adequadas.
- Vulnerabilidades de informações secretas/credenciais: cria uma configuração de deteção para detetar e comunicar informações secretas não encriptadas nas variáveis de ambiente do Cloud Run. A Proteção de dados confidenciais começa a analisar as variáveis de ambiente.
- Cloud Storage: cria uma configuração de descoberta para a criação de perfis de contentores do Cloud Storage na organização. A proteção de dados confidenciais começa a criar perfis dos seus dados do Cloud Storage e envia os perfis para o Security Command Center.
- Conjuntos de dados do Vertex AI: cria uma configuração de deteção para a criação de perfis de conjuntos de dados do Vertex AI em toda a organização. A proteção de dados confidenciais começa a criar perfis dos seus conjuntos de dados do Vertex AI e envia os perfis para o Security Command Center.
Amazon S3: cria uma configuração de deteção para criar perfis de todos os dados do Amazon S3 aos quais o conector da AWS tem acesso.
Armazenamento de Blobs do Azure: cria uma configuração de deteção para a criação de perfis de todos os dados do Armazenamento de Blobs do Azure aos quais o conetor do Azure tem acesso.
Para ver as configurações de descoberta recém-criadas, clique em Aceder à configuração de descoberta.
Se ativou a deteção do Cloud SQL, a configuração de deteção é criada no modo pausado com erros que indicam a ausência de credenciais. Consulte o artigo Gerir ligações para utilização com a deteção para conceder as funções do IAM necessárias ao seu agente de serviço e para fornecer credenciais de utilizador da base de dados para cada instância do Cloud SQL.
Feche o painel.
Ative a publicação no Security Command Center numa configuração existente
Se tiver uma configuração de análise de deteção existente que não esteja definida para publicar os resultados da deteção no Security Command Center, siga estes passos:
Na secção Ações, ative a opção Publicar no Security Command Center.
Clique em Guardar.
Consulte as conclusões do Security Command Center relacionadas com perfis de dados
Seguem-se exemplos de consultas que pode usar para encontrar resultados relevantes de Data
sensitivity e Data risk no Security Command Center. Pode introduzir estas consultas no campo Editor de consultas. Para mais informações sobre o editor de consultas, consulte o artigo Edite uma consulta de resultados no painel de controlo do Security Command Center.
Liste todas as descobertas Data sensitivity e Data risk para uma tabela específica do BigQuery
Esta consulta é útil, por exemplo, se o Security Command Center detetar um evento em que uma tabela do BigQuery foi guardada num projeto diferente. Neste caso,
é gerada uma descoberta Exfiltration: BigQuery Data
Exfiltration
e contém o nome a apresentar completo da tabela que
foi exfiltrada. Pode pesquisar quaisquer Data sensitivity e Data risk
descobertas relacionadas com a tabela. Veja os níveis de sensibilidade e risco de dados calculados para a tabela e planeie a sua resposta em conformidade.
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"
Substitua o seguinte:
- PROJECT_ID: o ID do projeto que contém a tabela do BigQuery
- DATASET_ID: o ID do conjunto de dados da tabela
- TABLE_ID: o ID da tabela
Liste todas as descobertas de Data sensitivity e Data risk para uma instância específica do Cloud SQL
Esta consulta é útil, por exemplo, se o Security Command Center detetar um evento em que
os dados da instância do Cloud SQL em direto foram exportados para um contentor do Cloud Storage
fora da organização. Neste caso, é gerada uma descoberta Exfiltration: Cloud SQL Data
Exfiltration
e contém o nome completo do recurso da instância
que foi exfiltrada. Pode pesquisar quaisquer Data sensitivity e Data risk
descobertas relacionadas com a instância. Veja os níveis de sensibilidade e risco de dados calculados para a instância e planeie a sua resposta em conformidade.
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"
Substitua o seguinte:
- INSTANCE_NAME: uma parte do nome da instância do Cloud SQL
Liste todas as conclusões Data risk e Data sensitivity com um nível de gravidade High
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"
O que se segue?
- Saiba como definir automaticamente valores de prioridade dos recursos por sensibilidade dos dados no Security Command Center.
- Saiba como comunicar a presença de segredos em variáveis de ambiente ao Security Command Center.