Cette page a été traduite par l'API Cloud Translation.

Activer la découverte des données sensibles dans l'édition Enterprise

Cette page explique comment activer la découverte des données sensibles à l'aide des paramètres par défaut. Vous pouvez personnaliser les paramètres à tout moment après avoir activé la découverte.

Si vous êtes client Security Command Center Enterprise, le service de découverte de la protection des données sensibles est inclus dans votre abonnement Enterprise. Pour en savoir plus, consultez la section Allocation de la capacité de découverte sur cette page.

Lors du processus d'activation du niveau Security Command Center Enterprise, le service de découverte de la protection des données sensibles est automatiquement activé pour tous les types de ressources compatibles. Ce processus d'activation automatique est une opération ponctuelle qui ne s'applique qu'aux types de ressources compatibles au moment de l'activation du niveau Enterprise. Si Sensitive Data Protection ajoute ultérieurement la prise en charge de la découverte pour de nouveaux types de ressources, vous devez activer manuellement ces types de découverte en suivant ces instructions.

Avantages

Cette fonctionnalité présente les avantages suivants :

Vous pouvez utiliser les résultats de la protection des données sensibles pour identifier et corriger les failles et les mauvaises configurations dans vos ressources qui peuvent exposer des données sensibles au public ou à des acteurs malveillants.
Vous pouvez utiliser ces résultats pour ajouter du contexte au processus de triage et hiérarchiser les menaces ciblant les ressources contenant des données sensibles.
Vous pouvez configurer Security Command Center pour qu'il attribue automatiquement une priorité aux ressources pour la fonctionnalité de simulation du chemin d'attaque en fonction de la sensibilité des données qu'elles contiennent. Pour en savoir plus, consultez Définir automatiquement les valeurs de priorité des ressources en fonction de la sensibilité des données.

Fonctionnement

Le service de découverte Sensitive Data Protection vous aide à protéger les données dans votre organisation en identifiant l'emplacement des données sensibles et à haut risque. Dans la protection des données sensibles, le service génère des profils de données qui fournissent des métriques et des insights sur vos données à différents niveaux de détail. Dans Security Command Center, le service effectue les opérations suivantes :

Générez des résultats d'observation dans Security Command Center qui indiquent les niveaux de sensibilité et de risque de données calculés pour vos données. Vous pouvez utiliser ces résultats pour orienter votre réponse lorsque vous rencontrez des menaces et des failles liées à vos composants de données. Pour obtenir la liste des types de résultats générés, consultez Résultats d'observation du service de découverte.

Ces résultats peuvent permettre de désigner automatiquement les ressources à forte valeur ajoutée en fonction de la sensibilité des données. Pour en savoir plus, consultez la section Utiliser les insights sur la découverte pour identifier les ressources à forte valeur sur cette page.
Générez des résultats sur les failles dans Security Command Center lorsque Sensitive Data Protection détecte la présence de données très sensibles non protégées. Pour obtenir la liste des types de résultats générés, consultez Résultats concernant les failles du service de découverte de la protection des données sensibles.

Latence de génération des résultats

Selon la taille de votre organisation, les résultats de Sensitive Data Protection peuvent commencer à s'afficher dans Security Command Center quelques minutes après l'activation de la découverte des données sensibles. Pour les grandes entreprises ou celles qui ont des configurations spécifiques affectant la génération de résultats, il peut s'écouler jusqu'à 12 heures avant que les premiers résultats n'apparaissent dans Security Command Center.

Ensuite, Sensitive Data Protection génère des résultats dans Security Command Center quelques minutes après que le service de découverte a analysé vos ressources.

Avant de commencer

Effectuez ces tâches avant de passer aux autres tâches de cette page.

Activer le niveau Security Command Center Enterprise

Suivez les étapes 1 et 2 du guide de configuration pour activer le niveau Security Command Center Enterprise. Pour en savoir plus, consultez Activer Security Command Center Enterprise Center.

Assurez-vous que Sensitive Data Protection est activé en tant que service intégré.

Par défaut, la protection des données sensibles est activée dans Security Command Center en tant que service intégré. Si Sensitive Data Protection n'est pas encore activé, vous devez l'activer. Pour en savoir plus, consultez Ajouter un service intégré. Google Cloud

Configurer les autorisations

Pour obtenir les autorisations nécessaires pour configurer la découverte des données sensibles, demandez à votre administrateur de vous accorder les rôles IAM suivants dans l'organisation :

Objectif	Rôle prédéfini	Autorisations pertinentes
Créer une configuration d'analyse de découverte et afficher des profils de données	Administrateur DLP (`roles/dlp.admin`)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Créez un projet à utiliser comme conteneur d'agent de service¹.	Créateur de projet (`roles/resourcemanager.projectCreator`)	resourcemanager.organizations.get resourcemanager.projects.create
Accorder l'accès à la découverte²	Choisissez l'une des options suivantes : Administrateur de l'organisation (`roles/resourcemanager.organizationAdmin`) Administrateur de sécurité (`roles/iam.securityAdmin`)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setiamPolicy

¹ Si vous ne disposez pas du rôle Créateur de projet (roles/resourcemanager.projectCreator), vous pouvez quand même créer une configuration d'analyse, mais le conteneur d'agent de service que vous utilisez doit être un projet existant.

² Si vous ne disposez pas du rôle Administrateur de l'organisation (roles/resourcemanager.organizationAdmin) ni du rôle Administrateur de sécurité (roles/iam.securityAdmin), vous pouvez quand même créer une configuration d'analyse. Une fois que vous avez créé la configuration d'analyse, un membre de votre organisation disposant de l'un de ces rôles doit accorder l'accès à la découverte à l'agent de service.

Pour en savoir plus sur l'attribution de rôles, consultez Gérer les accès.

Vous pouvez également obtenir les autorisations requises grâce aux rôles personnalisés ou à d'autres rôles prédéfinis.

Activer la découverte avec les paramètres par défaut

Pour activer la découverte, vous devez créer une configuration de découverte pour chaque source de données que vous souhaitez analyser. Cette procédure vous permet de créer automatiquement ces configurations de découverte à l'aide des paramètres par défaut. Vous pourrez personnaliser les paramètres à tout moment après avoir effectué cette procédure.

Si vous souhaitez personnaliser les paramètres dès le départ, consultez plutôt les pages suivantes :

Pour activer la découverte avec les paramètres par défaut, procédez comme suit :

Dans la console Google Cloud , accédez à la page Activer la découverte de Sensitive Data Protection.

Accéder à "Activer la détection"
Vérifiez que vous consultez l'organisation pour laquelle vous avez activé Security Command Center.
Dans le champ Conteneur d'agent de service, définissez le projet à utiliser comme conteneur d'agent de service. Dans ce projet, le système crée un agent de service et lui accorde automatiquement les autorisations de découverte requises.

Si vous avez déjà utilisé le service de découverte pour votre organisation, vous disposez peut-être déjà d'un projet de conteneur d'agent de service que vous pouvez réutiliser.
- Pour créer automatiquement un projet à utiliser comme conteneur d'agent de service, examinez l'ID de projet suggéré et modifiez-le si nécessaire. Ensuite, cliquez sur Créer. L'octroi des autorisations à l'agent de service du nouveau projet peut prendre quelques minutes.
- Pour sélectionner un projet existant, cliquez sur le champ Conteneur de l'agent de service, puis sélectionnez le projet.
Pour consulter les paramètres par défaut, cliquez sur l'icône de développement .
Dans la section Activer la découverte, cliquez sur Activer pour chaque type de découverte que vous souhaitez activer. L'activation d'un type de découverte a les effets suivants :
- BigQuery : crée une configuration de découverte pour profiler les tables BigQuery dans l'ensemble de l'organisation. La protection des données sensibles commence à profiler vos données BigQuery et envoie les profils à Security Command Center.
- Cloud SQL : crée une configuration de découverte pour profiler les tables Cloud SQL dans l'ensemble de l'organisation. Sensitive Data Protection commence à créer des connexions par défaut pour chacune de vos instances Cloud SQL. Ce processus peut prendre quelques heures. Une fois les connexions par défaut prêtes, vous devez accorder à Sensitive Data Protection l'accès à vos instances Cloud SQL en mettant à jour chaque connexion avec les identifiants appropriés de l'utilisateur de la base de données.
- Failles liées aux secrets et aux identifiants : crée une configuration de découverte pour détecter et signaler les secrets non chiffrés dans les variables d'environnement Cloud Run. La protection des données sensibles commence à analyser vos variables d'environnement.
- Cloud Storage : crée une configuration de découverte pour profiler les buckets Cloud Storage dans l'ensemble de l'organisation. Le service de protection des données sensibles commence à profiler vos données Cloud Storage et envoie les profils à Security Command Center.
- Ensembles de données Vertex AI : crée une configuration de découverte pour profiler les ensembles de données Vertex AI dans l'ensemble de l'organisation. La protection des données sensibles commence à profiler vos ensembles de données Vertex AI et envoie les profils à Security Command Center.
- Amazon S3 : crée une configuration de découverte pour profiler toutes les données Amazon S3 auxquelles votre connecteur AWS a accès.
  
  Remarque : Pour utiliser cette fonctionnalité, vous devez d'abord créer un connecteur AWS disposant des autorisations AWS nécessaires pour la découverte Sensitive Data Protection.
- Azure Blob Storage : crée une configuration de découverte pour profiler toutes les données Azure Blob Storage auxquelles votre connecteur Azure a accès.
  
  Remarque : Pour utiliser cette fonctionnalité, vous devez d'abord créer un connecteur Azure disposant des autorisations Azure nécessaires pour la découverte Sensitive Data Protection.
Pour afficher les configurations de découverte que vous venez de créer, cliquez sur Accéder à la configuration de découverte.

Si vous avez activé la découverte Cloud SQL, la configuration de la découverte est créée en mode suspendu avec des erreurs indiquant l'absence d'identifiants. Consultez Gérer les connexions à utiliser avec la découverte pour attribuer les rôles IAM requis à votre agent de service et fournir les identifiants utilisateur de la base de données pour chaque instance Cloud SQL.
Fermez le volet.

Pour afficher les résultats générés par la protection des données sensibles, consultez Examiner les résultats de la protection des données sensibles dans la consoleGoogle Cloud .

Utiliser les insights sur la découverte pour identifier les ressources à fort potentiel

Vous pouvez demander à Security Command Center de désigner automatiquement une ressource contenant des données à sensibilité élevée ou moyenne comme ressource à forte valeur en activant l'option "Insights de découverte Sensitive Data Protection" lorsque vous créez une configuration de valeur de ressource pour la fonctionnalité de simulation de chemin d'attaque.

Pour les ressources à forte valeur, Security Command Center fournit des scores d'exposition aux attaques et des visualisations de chemins d'attaque. Vous pouvez les utiliser pour hiérarchiser la sécurité de vos ressources contenant des données sensibles. Pour en savoir plus, consultez Définir automatiquement les valeurs de priorité des ressources en fonction de la sensibilité des données .

Personnaliser les configurations d'analyse

Chaque type de découverte activé possède une configuration d'analyse de découverte que vous pouvez personnaliser. Par exemple, vous pouvez effectuer les opérations suivantes :

Ajustez les fréquences d'analyse.
Spécifiez des filtres pour les composants de données que vous ne souhaitez pas reprofiler.
Modifiez le modèle d'inspection, qui définit les types d'informations que le service Sensitive Data Protection recherche.
Publiez les profils de données générés dans d'autres services Google Cloud .
Modifiez le conteneur d'agent de service.

Allocation de la capacité de découverte

Si vos besoins en matière de découverte des données sensibles dépassent la capacité allouée aux clients Security Command Center Enterprise, Sensitive Data Protection peut augmenter temporairement votre capacité. Toutefois, cette augmentation n'est pas garantie et dépend de la disponibilité des ressources de calcul. Si vous avez besoin de plus de capacité de découverte, contactez votre responsable de compte ou un spécialiste des ventesGoogle Cloud . Pour en savoir plus, consultez Surveiller l'utilisation dans la documentation de Sensitive Data Protection.