Se usó la API de Cloud Translation para traducir esta página.

Habilita el descubrimiento de datos sensibles en el nivel empresarial

En esta página, se describe cómo habilitar el descubrimiento de datos sensibles con la configuración predeterminada. Puedes personalizar la configuración en cualquier momento después de habilitar la detección.

Si eres cliente de Security Command Center Enterprise, el servicio de descubrimiento de Sensitive Data Protection se incluye en tu suscripción a Enterprise. Para obtener más información, consulta Asignación de capacidad de descubrimiento en esta página.

Durante el proceso de activación del nivel Security Command Center Enterprise, el servicio de detección de Protección de datos sensibles se habilita automáticamente para todos los tipos de recursos compatibles. Este proceso de habilitación automática es una operación única que se aplica solo a los tipos de recursos que se admiten en el momento de la activación del nivel Enterprise. Si más adelante Sensitive Data Protection agrega compatibilidad con el descubrimiento de nuevos tipos de recursos, deberás habilitar esos tipos de descubrimiento de forma manual siguiendo estas instrucciones.

Beneficios

Esta función ofrece los siguientes beneficios:

Puedes usar los resultados de la Protección de datos sensibles para identificar y corregir vulnerabilidades y configuraciones incorrectas en tus recursos que pueden exponer datos sensibles al público o a entidades maliciosas.
Puedes usar estos hallazgos para agregar contexto al proceso de clasificación y priorizar las amenazas que se dirigen a los recursos que contienen datos sensibles.
Puedes configurar Security Command Center para que priorice automáticamente los recursos para la función de simulación de rutas de ataque según la sensibilidad de los datos que contienen los recursos. Para obtener más información, consulta Cómo establecer valores de prioridad de recursos automáticamente según la sensibilidad de los datos.

Cómo funciona

El servicio de descubrimiento de Sensitive Data Protection te ayuda a proteger los datos en toda tu organización, ya que identifica dónde residen los datos sensibles y de alto riesgo. En la Protección de datos sensibles, el servicio genera perfiles de datos, que proporcionan métricas y estadísticas sobre tus datos en varios niveles de detalle. En Security Command Center, el servicio hace lo siguiente:

Genera resultados de observación en Security Command Center que muestran los niveles calculados de sensibilidad y riesgo de datos de tus datos. Puedes usar estos hallazgos para fundamentar tu respuesta cuando encuentres amenazas y vulnerabilidades relacionadas con tus activos de datos. Para obtener una lista de los tipos de resultados generados, consulta Resultados de observación del servicio de detección.

Estos hallazgos pueden fundamentar la designación automática de recursos valiosos según la sensibilidad de los datos. Para obtener más información, consulta Usa las estadísticas de descubrimiento para identificar recursos valiosos en esta página.
Genera resultados de vulnerabilidades en Security Command Center cuando la Protección de datos sensibles detecta la presencia de datos altamente sensibles que no están protegidos. Para obtener una lista de los tipos de resultados que se generan, consulta Resultados de vulnerabilidades del servicio de descubrimiento de Sensitive Data Protection.

Latencia de la búsqueda de generación

Según el tamaño de tu organización, los resultados de la protección de datos sensibles pueden comenzar a aparecer en Security Command Center unos minutos después de que habilites el descubrimiento de datos sensibles. En el caso de las organizaciones más grandes o aquellas con configuraciones específicas que afectan la generación de hallazgos, pueden transcurrir hasta 12 horas antes de que aparezcan los hallazgos iniciales en Security Command Center.

Luego, la Protección de datos sensibles genera resultados en Security Command Center unos minutos después de que el servicio de descubrimiento analiza tus recursos.

Antes de comenzar

Completa estas tareas antes de completar las tareas restantes de esta página.

Activa el nivel de Security Command Center Enterprise

Completa los pasos 1 y 2 de la guía de configuración para activar el nivel de Security Command Center Enterprise. Para obtener más información, consulta Cómo activar Security Command Center Enterprise Center.

Asegúrate de que Sensitive Data Protection esté habilitado como un servicio integrado

De forma predeterminada, Sensitive Data Protection está habilitado en Security Command Center como un servicio integrado. Si Sensitive Data Protection aún no está habilitado, debes habilitarlo. Para obtener más información, consulta Cómo agregar un Google Cloud servicio integrado.

Configura los permisos

Para obtener los permisos que necesitas para configurar el descubrimiento de datos sensibles, pídele a tu administrador que te otorgue los siguientes roles de IAM en la organización:

Objetivo	Función predefinida	Permisos relevantes
Crea una configuración de análisis de descubrimiento y visualiza los perfiles de datos	Administrador de DLP (`roles/dlp.admin`)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Crea un proyecto para usarlo como contenedor de agente de servicio¹	Creador del proyecto (`roles/resourcemanager.projectCreator`)	resourcemanager.organizations.get resourcemanager.projects.create
Otorga acceso al descubrimiento²	Uno de los siguientes: Administrador de la organización (`roles/resourcemanager.organizationAdmin`) Administrador de seguridad (`roles/iam.securityAdmin`)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ Si no tienes el rol de creador de proyectos (roles/resourcemanager.projectCreator), puedes crear una configuración de análisis, pero el contenedor del agente de servicio que uses debe ser un proyecto existente.

² Si no tienes el rol de administrador de la organización (roles/resourcemanager.organizationAdmin) o administrador de seguridad (roles/iam.securityAdmin), puedes crear una configuración de análisis. Después de crear la configuración de análisis, alguien de tu organización que tenga uno de estos roles debe otorgar acceso de detección al agente de servicio.

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Habilita el descubrimiento con la configuración predeterminada

Para habilitar el descubrimiento, debes crear una configuración de descubrimiento para cada fuente de datos que desees analizar. Este procedimiento te permite crear esas configuraciones de descubrimiento automáticamente con la configuración predeterminada. Puedes personalizar la configuración en cualquier momento después de realizar este procedimiento.

Si quieres personalizar la configuración desde el principio, consulta las siguientes páginas:

Para habilitar el descubrimiento con la configuración predeterminada, sigue estos pasos:

En la consola de Google Cloud , ve a la página Habilitar el descubrimiento de Sensitive Data Protection.

Ir a Habilitar el descubrimiento
Verifica que estás viendo la organización en la que activaste Security Command Center.
En el campo Contenedor del agente de servicio, configura el proyecto para que se use como un contenedor del agente de servicio. Dentro de este proyecto, el sistema crea un agente de servicio y le otorga automáticamente los permisos de descubrimiento necesarios.

Si antes usabas el servicio de detección para tu organización, es posible que ya tengas un proyecto de contenedor del agente de servicio que puedas reutilizar.
- Para crear automáticamente un proyecto que se usará como contenedor del agente de servicio, revisa el ID del proyecto sugerido y edítalo según sea necesario. Luego, haz clic en Crear. Es posible que los permisos tarden algunos minutos en otorgarse al agente de servicio del proyecto nuevo.
- Para seleccionar un proyecto existente, haz clic en el campo Contenedor de agente de servicio y selecciona el proyecto.
Para revisar la configuración predeterminada, haz clic en el ícono de expansión .
En la sección Habilitar el descubrimiento, haz clic en Habilitar para cada tipo de descubrimiento que quieras habilitar. Habilitar un tipo de descubrimiento hace lo siguiente:
- BigQuery: Crea una configuración de detección para generar perfiles de las tablas de BigQuery en toda la organización. La Protección de datos sensibles comienza a generar perfiles de tus datos de BigQuery y los envía a Security Command Center.
- Cloud SQL: Crea una configuración de detección para generar perfiles de las tablas de Cloud SQL en toda la organización. Sensitive Data Protection comienza a crear conexiones predeterminadas para cada una de tus instancias de Cloud SQL. Este proceso puede tardar algunas horas. Cuando las conexiones predeterminadas estén listas, debes actualizar cada conexión con las credenciales de usuario de base de datos adecuadas para otorgar acceso a Sensitive Data Protection a tus instancias de Cloud SQL.
- Vulnerabilidades de secretos o credenciales: Crea una configuración de descubrimiento para detectar y registrar secretos sin encriptar en las variables de entorno de Cloud Run. Sensitive Data Protection comienza a analizar tus variables de entorno.
- Cloud Storage: Crea una configuración de descubrimiento para generar perfiles de los buckets de Cloud Storage en toda la organización. La protección de datos sensibles comienza a generar perfiles de tus datos de Cloud Storage y los envía a Security Command Center.
- Conjuntos de datos de Vertex AI: Crea una configuración de descubrimiento para generar perfiles de los conjuntos de datos de Vertex AI en toda la organización. La Protección de datos sensibles comienza a generar perfiles de tus conjuntos de datos de Vertex AI y los envía a Security Command Center.
- Amazon S3: Crea una configuración de detección para generar perfiles de todos los datos de Amazon S3 a los que tiene acceso tu conector de AWS.
  
  Nota: Esta función requiere que primero crees un conector de AWS que tenga los permisos de AWS necesarios para el descubrimiento de Sensitive Data Protection.
- Azure Blob Storage: Crea una configuración de detección para generar perfiles de todos los datos de Azure Blob Storage a los que tiene acceso tu conector de Azure.
  
  Nota: Esta función requiere que primero crees un conector de Azure que tenga los permisos de Azure necesarios para la detección de Sensitive Data Protection.
Para ver las configuraciones de detección creadas recientemente, haz clic en Ir a la configuración de detección.

Si habilitaste el descubrimiento de Cloud SQL, la configuración de descubrimiento se crea en modo pausado con errores que indican la ausencia de credenciales. Consulta Administra las conexiones para usarlas con el descubrimiento para otorgar los roles de IAM requeridos a tu agente de servicio y proporcionar credenciales de usuario de la base de datos para cada instancia de Cloud SQL.
Cerrar el panel

Para ver los hallazgos que genera Sensitive Data Protection, consulta Revisa los hallazgos de Sensitive Data Protection en la consola deGoogle Cloud .

Usa las estadísticas de descubrimiento para identificar recursos valiosos

Puedes hacer que Security Command Center designe automáticamente un recurso que contenga datos de sensibilidad alta o media como un recurso de alto valor si habilitas la opción de estadísticas de descubrimiento de Sensitive Data Protection cuando crees una configuración de valor de recurso para la función de simulación de rutas de ataque.

En el caso de los recursos de alto valor, Security Command Center proporciona puntuaciones de exposición a ataques y visualizaciones de rutas de ataque, que puedes usar para priorizar la seguridad de tus recursos que contienen datos sensibles. Para obtener más información, consulta Cómo establecer valores de prioridad de recursos automáticamente según la sensibilidad de los datos .

Personaliza la configuración de análisis

Cada tipo de descubrimiento habilitado tiene una configuración de análisis de descubrimiento que puedes personalizar. Por ejemplo, puedes hacer lo siguiente:

Ajusta las frecuencias de análisis.
Especifica filtros para los activos de datos de los que no deseas volver a generar el perfil.
Cambia la plantilla de inspección, que define los tipos de información que busca Sensitive Data Protection.
Publicar los perfiles de datos generados en otros Google Cloud servicios
Cambia el contenedor del agente de servicio.

Asignación de capacidad de descubrimiento

Si tus necesidades de descubrimiento de datos sensibles superan la capacidad asignada a los clientes de Security Command Center Enterprise, es posible que la Protección de datos sensibles aumente tu capacidad de forma temporal. Sin embargo, este aumento no está garantizado y depende de si hay recursos de procesamiento disponibles. Si necesitas más capacidad de descubrimiento, comunícate con tu representante de cuenta o con un Google Cloud especialista en ventas. Para obtener más información, consulta Supervisa el uso en la documentación de Sensitive Data Protection.