Pubblicare i profili di dati in Security Command Center

Questa pagina fornisce una panoramica generale delle azioni che devi intraprendere se vuoi che i profili di dati generino risultati in Security Command Center. Questa pagina fornisce anche query di esempio che puoi utilizzare per trovare i risultati generati.

Informazioni sui profili di dati

Puoi configurare Sensitive Data Protection in modo che generi automaticamente profili sui dati in un'organizzazione, una cartella o un progetto. I profili di dati contengono metriche e metadati sui tuoi dati e ti aiutano a determinare dove si trovano i dati sensibili e ad alto rischio. Sensitive Data Protection riporta queste metriche a vari livelli di dettaglio. Per informazioni sui tipi di dati che puoi profilare, consulta Risorse supportate.

Vantaggi della pubblicazione dei profili di dati in Security Command Center

Questa funzionalità offre i seguenti vantaggi in Security Command Center:

Risultati di Security Command Center generati

Quando configuri il servizio di rilevamento in modo da pubblicare i profili di dati in Security Command Center, ogni profilo di dati della tabella o dell'archivio file genera i seguenti risultati di Security Command Center.

Risultati di vulnerabilità del servizio di rilevamento

Il servizio di rilevamento Sensitive Data Protection ti aiuta a determinare se stai archiviando dati altamente sensibili non protetti.

Categoria Riepilogo

Nome della categoria nell'API:

PUBLIC_SENSITIVE_DATA

Descrizione del risultato: la risorsa specificata contiene dati con sensibilità elevata a cui chiunque su internet può accedere.

Asset supportati:

  • aiplatform.googleapis.com/Dataset
  • aiplatform.googleapis.com/TuningJob
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3
  • Container Azure Blob Storage

Correzione:

Per i dati Google Cloud , rimuovi allUsers e allAuthenticatedUsers dalla policy IAM dell'asset di dati.

Per i dati Amazon S3, configura le impostazioni di blocco dell'accesso pubblico o aggiorna l'ACL dell'oggetto per negare l'accesso pubblico in lettura. Per saperne di più, consulta Configurazione delle impostazioni di blocco dell'accesso pubblico per i bucket S3 e Configurazione delle ACL nella documentazione di AWS.

Per i dati di Azure Blob Storage, rimuovi l'accesso pubblico al container e ai blob. Per maggiori informazioni, vedi Panoramica: correzione dell'accesso in lettura anonimo per i dati blob nella documentazione di Azure.

Standard di conformità: non mappati

Nome della categoria nell'API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Risultato: sono presenti secret, ad esempio password, token di autenticazione e Google Cloud credenziali, nelle variabili di ambiente.

Per attivare questo rilevatore, consulta Segnala i secret nelle variabili di ambiente a Security Command Center nella documentazione di Sensitive Data Protection.

Asset supportati:

Correzione:

Per le variabili di ambiente di Cloud Run Functions, rimuovi il secret dalla variabile di ambiente e archivialo in Secret Manager.

Per le variabili di ambiente della revisione del servizio Cloud Run, sposta tutto il traffico dalla revisione ed elimina la revisione.

Standard di conformità:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Nome della categoria nell'API:

SECRETS_IN_STORAGE

Descrizione del risultato: sono presenti secret, ad esempio password, token di autenticazione e credenziali cloud, nella risorsa specificata.

Asset supportati:

  • aiplatform.googleapis.com/Dataset
  • aiplatform.googleapis.com/TuningJob
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3
  • Container Azure Blob Storage

Correzione:

  1. Per i Google Cloud dati, utilizza Sensitive Data Protection per eseguire una scansione di ispezione approfondita della risorsa specificata per identificare tutte le risorse interessate. Per i dati Cloud SQL, esportali in un file CSV o AVRO in un bucket Cloud Storage ed esegui una scansione di ispezione approfondita del bucket.

    Per i dati di altri cloud provider, ispeziona manualmente il bucket o il container specificato.

  2. Rimuovi i secret rilevati.
  3. Valuta la possibilità di reimpostare le credenziali.
  4. Per i dati Google Cloud , valuta la possibilità di archiviare i secret rilevati in Secret Manager.

Standard di conformità: non mappati

Risultati su configurazioni errate dal servizio di rilevamento

Il servizio di rilevamento Sensitive Data Protection ti aiuta a determinare se hai configurazioni errate che potrebbero esporre dati sensibili.

Categoria Riepilogo

Nome della categoria nell'API:

SENSITIVE_DATA_CMEK_DISABLED

Descrizione del risultato: la risorsa specificata contiene dati ad alta o media sensibilità e non utilizza una chiave di crittografia gestita dal cliente (CMEK).

Asset supportati:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3
  • Container Azure Blob Storage

Correzione:

Standard di conformità: non mappati

Risultati dell'osservazione dal servizio di rilevamento

Data sensitivity
Un'indicazione del livello di sensibilità dei dati in una determinata risorsa dati. I dati sono sensibili se contengono PII o altri elementi che potrebbero richiedere un controllo o una gestione aggiuntivi. La gravità del risultato è il livello di sensibilità calcolato da Sensitive Data Protection durante la generazione del profilo dei dati.
Data risk
Il rischio associato ai dati nel loro stato attuale. Quando calcola il rischio dei dati, Sensitive Data Protection prende in considerazione il livello di sensibilità dei dati nell'asset di dati e la presenza di controlli dell'accesso per proteggere questi dati. La gravità del risultato è il livello di rischio dei dati che Sensitive Data Protection ha calcolato durante la generazione del profilo di dati.

Trovare la latenza di generazione

A seconda delle dimensioni della tua organizzazione, i risultati di Sensitive Data Protection possono iniziare a essere visualizzati in Security Command Center entro pochi minuti dall'attivazione del rilevamento dei dati sensibili. Per le organizzazioni più grandi o con configurazioni specifiche che influiscono sulla generazione dei risultati, possono essere necessarie fino a 12 ore prima che i risultati iniziali vengano visualizzati in Security Command Center.

Successivamente, Sensitive Data Protection genera risultati in Security Command Center entro pochi minuti dalla scansione delle risorse da parte del servizio di rilevamento.

Inviare profili di dati a Security Command Center

Di seguito è riportato un flusso di lavoro di alto livello per la pubblicazione dei profili di dati in Security Command Center.

  1. Controlla il tipo di attivazione di Security Command Center. Potresti avere un abbonamento per il rilevamento a livello di organizzazione predefinito, a seconda del tuo livello di servizio Security Command Center.

  2. Se Security Command Center non è attivato, attivalo.

  3. Verifica che Security Command Center sia configurato per accettare i risultati di Sensitive Data Protection, ovvero che Sensitive Data Protection sia abilitato in Security Command Center come servizio integrato. Per saperne di più, consulta Aggiungere un servizio integrato Google Cloud nella documentazione di Security Command Center.

  4. Attiva il rilevamento creando una configurazione di scansione di rilevamento per ogni origine dati che vuoi analizzare. Nella configurazione di scansione, assicurati di mantenere attiva l'opzione Pubblica in Security Command Center.

    Se hai una configurazione di scansione di rilevamento esistente che non pubblica i profili di dati in Security Command Center, consulta Attivare la pubblicazione in Security Command Center in una configurazione esistente in questa pagina.

Attivare la scoperta con le impostazioni predefinite in un'organizzazione

Per attivare il rilevamento, crea una configurazione di rilevamento per ogni origine dati che vuoi analizzare. Puoi modificare le configurazioni dopo averle create. Per personalizzare le impostazioni durante la creazione di una configurazione, consulta Creare una configurazione di analisi.

Per attivare il rilevamento con le impostazioni predefinite a livello di organizzazione, segui questi passaggi:

  1. Nella console Google Cloud , vai alla pagina Sensitive Data Protection Abilita rilevamento.

    Vai ad Attiva la visibilità

  2. Verifica di visualizzare l'organizzazione su cui hai attivato Security Command Center.

  3. Nel riquadro Attiva rilevamento, nel campo Container del service agent, imposta il progetto da utilizzare come container del service agent. All'interno di questo progetto, il sistema crea un service agent e gli concede automaticamente i ruoli di rilevamento richiesti.

    • Per creare automaticamente un progetto da utilizzare come container dell'agente di servizio, segui questi passaggi:

      1. Fai clic su Crea.
      2. Specifica il nome, l'account di fatturazione e l'organizzazione principale del nuovo progetto. (Facoltativo) Modifica l'ID progetto.
      3. Fai clic su Crea.

      Potrebbero essere necessari alcuni minuti prima che i ruoli vengano concessi all'agente di servizio del nuovo progetto.

    • Per selezionare un progetto che hai utilizzato in precedenza per le operazioni di rilevamento, fai clic sul campo Container dell'agente di servizio e seleziona il progetto.

  4. Per rivedere le impostazioni predefinite, fai clic sull'icona di espansione .

  5. Nella sezione Attiva rilevamento, per ogni tipo di rilevamento che vuoi attivare, fai clic su Attiva. L'attivazione di un tipo di rilevamento comporta quanto segue:

    • BigQuery: crea una configurazione di rilevamento per la profilazione delle tabelle BigQuery nell'organizzazione. Sensitive Data Protection inizia a profilare i tuoi dati BigQuery e invia i profili a Security Command Center.
    • Cloud SQL: crea una configurazione di rilevamento per la profilazione delle tabelle Cloud SQL nell'organizzazione. Sensitive Data Protection inizia a creare connessioni predefinite per ciascuna delle tue istanze Cloud SQL. Questo processo può richiedere alcune ore. Quando le connessioni predefinite sono pronte, devi concedere a Sensitive Data Protection l'accesso alle tue istanze Cloud SQL aggiornando ogni connessione con le credenziali utente del database corrette.
    • Vulnerabilità di secret/credenziali: crea una configurazione di rilevamento per rilevare e segnalare i secret non criptati nelle variabili di ambiente di Cloud Run. Sensitive Data Protection inizia a scansionare le variabili di ambiente.
    • Cloud Storage: crea una configurazione di rilevamento per la profilazione dei bucket Cloud Storage nell'organizzazione. Sensitive Data Protection inizia a profilare i tuoi dati di Cloud Storage e invia i profili a Security Command Center.
    • Set di dati Vertex AI: crea una configurazione di rilevamento per la profilazione dei set di dati Vertex AI nell'organizzazione. Sensitive Data Protection inizia a profilare i tuoi set di dati Vertex AI e invia i profili a Security Command Center.
    • Amazon S3: crea una configurazione di rilevamento per profilare tutti i dati Amazon S3 a cui ha accesso il connettore AWS.

    • Azure Blob Storage: crea una configurazione di rilevamento per profilare tutti i dati di Azure Blob Storage a cui ha accesso il connettore Azure.

  6. Per visualizzare le configurazioni di rilevamento appena create, fai clic su Vai alla configurazione del rilevamento.

    Se hai attivato l'individuazione di Cloud SQL, la configurazione di individuazione viene creata in modalità in pausa con errori che indicano l'assenza di credenziali. Consulta Gestire le connessioni da utilizzare con l'individuazione per concedere i ruoli IAM richiesti al tuo service agent e per fornire le credenziali utente del database per ogni istanza Cloud SQL.

  7. Chiudi il riquadro.

Abilitare la pubblicazione in Security Command Center in una configurazione esistente

Se hai una configurazione di scansione di rilevamento esistente che non è impostata per pubblicare i risultati del rilevamento in Security Command Center, segui questi passaggi:

  1. Apri la configurazione della scansione per la modifica.

  2. Nella sezione Azioni, abilita Pubblica su Security Command Center.

  3. Fai clic su Salva.

Esegui query per i risultati di Security Command Center correlati ai profili di dati

Di seguito sono riportate query di esempio che puoi utilizzare per trovare risultati Data sensitivity e Data risk pertinenti in Security Command Center. Puoi inserire queste query nel campo Editor di query. Per saperne di più sull'editor di query, vedi Modificare una query sui risultati nella dashboard di Security Command Center.

Elenca tutti i risultati Data sensitivity e Data risk per una determinata tabella BigQuery

Questa query è utile, ad esempio, se Security Command Center rileva un evento in cui una tabella BigQuery è stata salvata in un progetto diverso. In questo caso, viene generato un risultato Exfiltration: BigQuery Data Exfiltration che contiene il nome visualizzato completo della tabella che è stata esfiltrata. Puoi cercare eventuali risultati Data sensitivity e Data risk correlati alla tabella. Visualizza i livelli di sensibilità e rischio dei dati calcolati per la tabella e pianifica la risposta di conseguenza.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto che contiene la tabella BigQuery
  • DATASET_ID: l'ID set di dati della tabella
  • TABLE_ID: l'ID della tabella

Elenca tutti i risultati di Data sensitivity e Data risk per una determinata istanza Cloud SQL

Questa query è utile, ad esempio, se Security Command Center rileva un evento in cui i dati dell'istanza Cloud SQL live sono stati esportati in un bucket Cloud Storage esterno all'organizzazione. In questo caso, viene generata una scoperta Exfiltration: Cloud SQL Data Exfiltration, che contiene il nome completo della risorsa dell'istanza che è stata esfiltrata. Puoi cercare eventuali risultati di Data sensitivity e Data risk correlati all'istanza. Visualizza i livelli di sensibilità e rischio dei dati calcolati per l'istanza e pianifica la risposta di conseguenza.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"

Sostituisci quanto segue:

  • INSTANCE_NAME: una parte del nome dell'istanza Cloud SQL

Elenca tutti i risultati Data risk e Data sensitivity con un livello di gravità High

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"

Passaggi successivi