Nesta página, você encontra uma visão geral das ações que precisam ser realizadas para que os perfis de dados gerem descobertas no Security Command Center. Esta página também fornece exemplos de consultas que podem ser usadas para encontrar as descobertas geradas.
Se você for cliente do Security Command Center Enterprise, consulte Ativar a descoberta de dados sensíveis no nível Enterprise na documentação do Security Command Center.
Sobre os perfis de dados
É possível configurar a Proteção de dados sensíveis para gerar automaticamente perfis sobre dados em uma organização, pasta ou projeto. Os perfis de dados contêm métricas e metadados sobre seus dados e ajudam a determinar onde os dados sensíveis e de alto risco residem. A Proteção de dados sensíveis informa essas métricas em vários níveis de detalhes. Para informações sobre os tipos de dados que podem ser analisados, consulte Recursos compatíveis.
Benefícios de publicar perfis de dados no Security Command Center
Esse recurso oferece os seguintes benefícios no Security Command Center:
Use as descobertas da Proteção de dados sensíveis para identificar e corrigir vulnerabilidades e configurações incorretas nos seus recursos que podem expor dados sensíveis ao público ou a usuários mal-intencionados.
É possível usar essas descobertas para adicionar contexto ao processo de triagem e priorizar ameaças que visam recursos com dados sensíveis.
É possível configurar o Security Command Center para priorizar automaticamente os recursos para o recurso de simulação de caminho de ataque de acordo com a sensibilidade dos dados que eles contêm. Para mais informações, consulte Definir valores de prioridade de recursos automaticamente com base na sensibilidade dos dados.
Descobertas geradas do Security Command Center
Quando você configura o serviço de descoberta para publicar perfis de dados no Security Command Center, cada perfil de dados de tabela ou de repositório de arquivos gera as seguintes descobertas do Security Command Center.
Descobertas de vulnerabilidades do serviço de descoberta
O serviço de descoberta da Proteção de Dados Sensíveis ajuda a determinar se você está armazenando dados altamente sensíveis que não estão protegidos.
| Categoria | Resumo |
|---|---|
|
Descrição da descoberta: o recurso especificado tem dados de alta sensibilidade que podem ser acessados por qualquer pessoa na Internet. Recursos compatíveis:
Remediação: Para dados Google Cloud , remova Para dados do Amazon S3, configure as configurações de bloqueio de acesso público ou atualize a ACL do objeto para negar o acesso público de leitura. Para mais informações, consulte Como configurar o bloqueio de acesso público para seus buckets do S3 e Como configurar ACLs na documentação da AWS. Para dados do Azure Blob Storage, remova o acesso público ao contêiner e aos blobs. Para mais informações, consulte Visão geral: correção do acesso de leitura anônimo para dados de blob na documentação do Azure. Padrões de compliance: não mapeados |
|
Descrição da descoberta: há secrets, como senhas, tokens de autenticação e credenciais do Google Cloud , em variáveis de ambiente. Para ativar esse detector, consulte Informar secrets em variáveis de ambiente para o Security Command Center na documentação da proteção de dados confidenciais. Recursos compatíveis: Remediação: Para variáveis de ambiente de funções do Cloud Run, remova o secret da variável de ambiente e armazene-o no Secret Manager. Para variáveis de ambiente de revisão do serviço do Cloud Run, mova todo o tráfego da revisão e exclua-a. Padrões de compliance:
|
|
Descrição da descoberta: há secrets, como senhas, tokens de autenticação e credenciais da nuvem, no recurso especificado. Recursos compatíveis:
Remediação:
Padrões de compliance: não mapeados |
Descobertas de configuração incorreta do serviço de descoberta
O serviço de descoberta da Proteção de Dados Sensíveis ajuda a determinar se você tem configurações incorretas que podem expor dados sensíveis.
| Categoria | Resumo |
|---|---|
|
Descrição da descoberta: o recurso especificado tem dados de alta ou média sensibilidade e não está usando uma chave de criptografia gerenciada pelo cliente (CMEK). Recursos compatíveis:
Remediação:
Padrões de compliance: não mapeados |
Descobertas de observação do serviço de descoberta
Data sensitivity- Uma indicação do nível de sensibilidade dos dados em um recurso de dados específico. Os dados são confidenciais quando contêm PII ou outros elementos que podem exigir mais controle ou gerenciamento. A gravidade da descoberta é o nível de confidencialidade calculado pela proteção de dados confidenciais ao gerar o perfil de dados.
Data risk- Risco associado aos dados no estado atual. Ao calcular o risco de dados, a proteção de dados sensíveis considera o nível de sensibilidade dos dados no recurso de dados e a presença de controles de acesso para proteger esses dados. A gravidade da descoberta é o nível de risco de dados que a Proteção de dados sensíveis calculou ao gerar o perfil de dados.
Latência de geração de descobertas
Dependendo do tamanho da sua organização, as descobertas da Proteção de Dados Sensíveis podem começar a aparecer no Security Command Center alguns minutos depois que você ativa a descoberta de dados sensíveis. Para organizações maiores ou com configurações específicas que afetam a geração de descobertas, pode levar até 12 horas para que as descobertas iniciais apareçam no Security Command Center.
Em seguida, a Proteção de Dados Sensíveis gera descobertas no Security Command Center alguns minutos após o serviço de descoberta verificar seus recursos.
Enviar perfis de dados para o Security Command Center
Confira a seguir um fluxo de trabalho de alto nível para publicar perfis de dados no Security Command Center.
Verifique o nível de ativação do Security Command Center para sua organização. Para enviar perfis de dados ao Security Command Center, é necessário ativar o SCC no nível da organização, em qualquer nível de serviço.
Se o Security Command Center estiver ativado apenas no nível do projeto, as descobertas da proteção de dados sensíveis não vão aparecer no Security Command Center.
Se o Security Command Center não estiver ativado para sua organização, você precisará ativá-lo. Para mais informações, consulte uma das opções a seguir, dependendo do nível de serviço do Security Command Center:
Confirme se a Proteção de dados sensíveis está ativada como um serviço integrado. Para mais informações, consulte Adicionar um Google Cloud serviço integrado.
Para ativar a descoberta, crie uma configuração de verificação de descoberta para cada fonte de dados que você quer verificar. Na configuração de verificação, mantenha a opção Publicar no Security Command Center ativada.
Se você tiver uma configuração de verificação de descoberta que não publique perfis de dados no Security Command Center, consulte Ativar a publicação no Security Command Center em uma configuração atual nesta página.
Ativar a descoberta com as configurações padrão
Para ativar a descoberta, crie uma configuração para cada fonte de dados que você quer verificar. Esse procedimento permite criar essas configurações de descoberta automaticamente usando as configurações padrão. Você pode personalizar as configurações a qualquer momento depois de realizar esse procedimento.
Se você quiser personalizar as configurações desde o início, consulte as seguintes páginas:
- Criar perfil de dados do BigQuery em uma organização ou pasta
- Criar perfil de dados do Cloud SQL em uma organização ou pasta
- Criar perfil de dados do Cloud Storage em uma organização ou pasta
- Criar perfil de dados da Vertex AI em uma organização ou pasta
- Descoberta de dados sensíveis para o Amazon S3
- Informar segredos em variáveis de ambiente ao Security Command Center
Para ativar a descoberta com as configurações padrão, siga estas etapas:
No console Google Cloud , acesse a página Proteção de Dados Sensíveis Ativar descoberta.
Verifique se você está visualizando a organização em que ativou o Security Command Center.
No campo Contêiner do agente de serviço, defina o projeto a ser usado como um contêiner do agente de serviço. Nesse projeto, o sistema cria um agente de serviço e concede automaticamente as permissões de descoberta necessárias a ele.
Se você já usou o serviço de descoberta na sua organização, talvez já tenha um projeto de contêiner de agente de serviço que possa ser reutilizado.
- Para criar automaticamente um projeto para usar como contêiner do agente de serviço, revise o ID do projeto sugerido e edite-o conforme necessário. Em seguida, clique em Criar. Pode levar alguns minutos para que as permissões sejam concedidas ao agente de serviço do novo projeto.
- Para selecionar um projeto atual, clique no campo Contêiner do agente de serviço e escolha o projeto.
Para analisar as configurações padrão, clique no ícone de expansão .
Na seção Ativar descoberta, clique em Ativar para cada tipo de descoberta que você quer ativar. Ao ativar um tipo de descoberta, você faz o seguinte:
- BigQuery: cria uma configuração de descoberta para criar perfis de tabelas do BigQuery em toda a organização. A Proteção de dados sensíveis começa a criar perfis dos seus dados do BigQuery e os envia para o Security Command Center.
- Cloud SQL: cria uma configuração de descoberta para criar perfis de tabelas do Cloud SQL em toda a organização. A Proteção de dados sensíveis começa a criar conexões padrão para cada uma das suas instâncias do Cloud SQL. Esse processo pode levar algumas horas. Quando as conexões padrão estiverem prontas, atualize cada uma delas com as credenciais de usuário do banco de dados adequadas para dar à Proteção de Dados Sensíveis acesso às suas instâncias do Cloud SQL.
- Vulnerabilidades de Secrets/credenciais: cria uma configuração de descoberta para detectar e informar secrets não criptografados em variáveis de ambiente do Cloud Run. A Proteção de Dados Sensíveis começa a verificar suas variáveis de ambiente.
- Cloud Storage: cria uma configuração de descoberta para criar perfis de buckets do Cloud Storage em toda a organização. A proteção de dados sensíveis começa a criar perfis dos seus dados do Cloud Storage e envia os perfis para o Security Command Center.
- Conjuntos de dados da Vertex AI: cria uma configuração de descoberta para criar perfis de conjuntos de dados da Vertex AI em toda a organização. A Proteção de dados sensíveis começa a criar perfis dos seus conjuntos de dados da Vertex AI e envia os perfis para o Security Command Center.
Amazon S3: cria uma configuração de descoberta para criar perfis de todos os dados do Amazon S3 a que seu conector da AWS tem acesso.
Armazenamento de blobs do Azure: cria uma configuração de descoberta para criar perfis de todos os dados do Armazenamento de blobs do Azure a que seu conector do Azure tem acesso.
Para conferir as configurações de descoberta recém-criadas, clique em Acessar a configuração de descoberta.
Se você ativou a descoberta do Cloud SQL, a configuração de descoberta será criada no modo pausado com erros indicando a ausência de credenciais. Consulte Gerenciar conexões para uso com descoberta e conceda os papéis necessários do IAM ao seu agente de serviço e forneça as credenciais de usuário do banco de dados para cada instância do Cloud SQL.
Fechar painel.
Ativar a publicação no Security Command Center em uma configuração atual
Se você tiver uma configuração de verificação de descoberta que não está definida para publicar resultados de descoberta no Security Command Center, siga estas etapas:
Na seção Ações, ative a opção Publicar no Security Command Center.
Clique em Salvar.
Consultar descobertas do Security Command Center relacionadas a perfis de dados
Confira a seguir exemplos de consultas que podem ser usadas para encontrar descobertas relevantes de Data
sensitivity e Data risk no Security Command Center. Insira essas consultas no campo Editor de consultas. Para mais informações sobre o editor de consultas, consulte Editar uma consulta de descobertas no painel do Security Command Center.
Listar todas as descobertas de Data sensitivity e Data risk para uma tabela específica do BigQuery
Essa consulta é útil, por exemplo, se o Security Command Center detectar um evento em que
uma tabela do BigQuery foi salva em um projeto diferente. Nesse caso, uma descoberta Exfiltration: BigQuery Data
Exfiltration
é gerada e contém o nome de exibição completo da tabela que
foi exfiltrada. É possível pesquisar Data sensitivity e Data risk
relacionados à tabela. Confira os níveis calculados de sensibilidade e risco de dados da tabela e planeje sua resposta de acordo com eles.
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"
Substitua:
- PROJECT_ID: o ID do projeto que contém a tabela do BigQuery
- DATASET_ID: o ID do conjunto de dados da tabela
- TABLE_ID: o ID da tabela
Listar todas as descobertas de Data sensitivity e Data risk para uma instância específica do Cloud SQL
Essa consulta é útil, por exemplo, se o Security Command Center detectar um evento em que dados ativos de instâncias do Cloud SQL foram exportados para um bucket do Cloud Storage fora da organização. Nesse caso, uma descoberta Exfiltration: Cloud SQL Data
Exfiltration
é gerada e contém o nome completo do recurso da instância
que foi exfiltrada. Você pode pesquisar qualquer descoberta de Data sensitivity e Data risk relacionada à instância. Confira os níveis calculados de sensibilidade e risco de dados da instância e planeje sua resposta de acordo com eles.
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"
Substitua:
- INSTANCE_NAME: uma parte do nome da instância do Cloud SQL
Listar todas as descobertas de Data risk e Data sensitivity com um nível de gravidade High
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"
A seguir
- Saiba como definir valores de prioridade de recursos automaticamente por sensibilidade de dados no Security Command Center.
- Saiba como informar a presença de secrets em variáveis de ambiente ao Security Command Center.