En esta sección, se describe cómo especificar las acciones que deseas que realice la Protección de datos sensibles después de generar el perfil de un recurso. Estas acciones son útiles si deseas enviar estadísticas recopiladas a partir de los perfiles de datos a otros servicios deGoogle Cloud .
Para habilitar las acciones de descubrimiento, crea o edita una configuración de análisis de descubrimiento. En las siguientes secciones, se describen las diferentes acciones que puedes habilitar en la sección Agregar acciones de la configuración de la exploración.No todas las acciones de esta página están disponibles para cada tipo de descubrimiento. Por ejemplo, no puedes vincular etiquetas a los recursos si configuras el descubrimiento para los recursos de otro proveedor de servicios en la nube. Para obtener más información, consulta Acciones admitidas en esta página.
Para obtener más información sobre el descubrimiento de datos sensibles, consulta Perfiles de datos.
Las operaciones de inspección y análisis de riesgos tienen un conjunto diferente de acciones. Para obtener más información, consulta Cómo habilitar acciones de inspección o análisis de riesgos.
Publicar en Google Security Operations
Las métricas recopiladas de los perfiles de datos pueden agregar contexto a los resultados de Google Security Operations. El contexto adicional puede ayudarte a determinar los problemas de seguridad más importantes que debes abordar.
Por ejemplo, si investigas un agente de servicio en particular, Google Security Operations puede determinar a qué recursos accedió el agente de servicio y si alguno de esos recursos tiene datos de alta sensibilidad.
Para enviar tus perfiles de datos a tu instancia de Google Security Operations, activa la opción Publicar en Google Security Operations.
Si tu organización no tiene habilitada una instancia de Google Security Operations (a través del producto independiente o de Security Command Center Enterprise), activar esta opción no tendrá ningún efecto.
Publicar en Security Command Center
Los resultados de los perfiles de datos proporcionan contexto cuando clasificas y desarrollas planes de respuesta para los resultados de vulnerabilidades y amenazas en Security Command Center.
Para usar esta acción, se debe activar Security Command Center a nivel de la organización. Activar Security Command Center a nivel de la organización permite el flujo de resultados de servicios integrados, como la Protección de datos sensibles. Sensitive Data Protection funciona con Security Command Center en todos los niveles de servicio.Si Security Command Center no está activado a nivel de la organización, los hallazgos de Protección de datos sensibles no aparecerán en Security Command Center. Para obtener más información, consulta Verifica el nivel de activación de Security Command Center.
Para enviar los resultados de tus perfiles de datos a Security Command Center, asegúrate de que la opción Publicar en Security Command Center esté activada.
Para obtener más información, consulta Publica perfiles de datos en Security Command Center.
Guardar copias de los perfiles de datos en BigQuery
La Protección de datos sensibles guarda una copia de cada perfil de datos generado en una tabla de BigQuery. Si no proporcionas los detalles de tu tabla preferida, Sensitive Data Protection crea un conjunto de datos y una tabla en el contenedor del agente de servicio.
De forma predeterminada, el conjunto de datos se llama sensitive_data_protection_discovery y la tabla se llama discovery_profiles.
Esta acción te permite mantener un historial de todos los perfiles que generaste. Este historial puede ser útil para crear informes de auditoría y visualizar perfiles de datos. También puedes cargar esta información en otros sistemas.
Además, esta opción te permite ver todos tus perfiles de datos en una sola vista, independientemente de la región en la que residan tus datos. Si bien también puedes ver los perfiles de datos a través de laGoogle Cloud consola, esta muestra los perfiles de una sola región a la vez.
Cuando la Protección de datos sensibles no puede crear un perfil de un recurso, vuelve a intentarlo periódicamente. Para minimizar el ruido en los datos exportados, Sensitive Data Protection solo exporta a BigQuery los perfiles que se generaron correctamente.
Sensitive Data Protection comienza a exportar perfiles desde el momento en que activas esta opción. Los perfiles que se generaron antes de que activaras la exportación no se guardan en BigQuery.
Para ver ejemplos de consultas que puedes usar cuando analices perfiles de datos, consulta Cómo analizar perfiles de datos.
Guardar los hallazgos de descubrimiento de muestra en BigQuery
La Protección de datos sensibles puede agregar muestras de hallazgos a una tabla de BigQuery de tu elección. Los hallazgos de la muestra representan un subconjunto de todos los hallazgos y es posible que no representen todos los infoTypes que se descubrieron. Normalmente, el sistema genera alrededor de 10 muestras de hallazgos por recurso, pero esta cantidad puede variar para cada ejecución de descubrimiento.
Cada hallazgo incluye la cadena real (también llamada cita) que se detectó y su ubicación exacta.
Esta acción es útil si deseas evaluar si tu configuración de inspección coincide correctamente con el tipo de información que deseas marcar como sensible. Con los perfiles de datos exportados y los hallazgos de muestra exportados, puedes ejecutar consultas para obtener más información sobre los elementos específicos que se marcaron, los infoTypes con los que coincidieron, sus ubicaciones exactas, sus niveles de sensibilidad calculados y otros detalles.
Ejemplo de búsqueda: Muestra ejemplos de hallazgos relacionados con los perfiles de datos del almacén de archivos
En este ejemplo, se deben habilitar las opciones Guardar copias de los perfiles de datos en BigQuery y Guardar los hallazgos de descubrimiento de muestra en BigQuery.
La siguiente consulta usa una operación INNER JOIN en la tabla de perfiles de datos exportados y en la tabla de muestras de hallazgos exportados. En la tabla resultante, cada registro muestra la cita del hallazgo, el Infotipo con el que coincidió, el recurso que contiene el hallazgo y el nivel de sensibilidad calculado del recurso.
SELECT findings_table.quote, findings_table.infotype.name, findings_table.location.container_name, profiles_table.file_store_profile.file_store_path as bucket_name, profiles_table.file_store_profile.sensitivity_score as bucket_sensitivity_score FROM `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table INNER JOIN `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table ON findings_table.data_profile_resource_name=profiles_table.file_store_profile.name
Ejemplo de búsqueda: Muestra hallazgos de muestra relacionados con los perfiles de datos de la tabla
En este ejemplo, se deben habilitar las opciones Guardar copias de los perfiles de datos en BigQuery y Guardar los hallazgos de descubrimiento de muestra en BigQuery.
La siguiente consulta usa una operación INNER JOIN en la tabla de perfiles de datos exportados y en la tabla de muestras de hallazgos exportados. En la tabla resultante, cada registro muestra la cita del hallazgo, el Infotipo con el que coincidió, el recurso que contiene el hallazgo y el nivel de sensibilidad calculado del recurso.
SELECT findings_table.quote, findings_table.infotype.name, findings_table.location.container_name, findings_table.location.data_profile_finding_record_location.field.name AS field_name, profiles_table.table_profile.dataset_project_id AS project_id, profiles_table.table_profile.dataset_id AS dataset_id, profiles_table.table_profile.table_id AS table_id, profiles_table.table_profile.sensitivity_score AS table_sensitivity_score FROM `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table INNER JOIN `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table ON findings_table.data_profile_resource_name=profiles_table.table_profile.name
Para guardar los hallazgos de muestra en una tabla de BigQuery, sigue estos pasos:
Activa Guardar los hallazgos de descubrimiento de muestra en BigQuery.
Ingresa los detalles de la tabla de BigQuery en la que deseas guardar los hallazgos de muestra.
La tabla que especifiques para esta acción debe ser diferente de la tabla que se usa para la acción Guardar copias de los perfiles de datos en BigQuery.
En ID del proyecto, ingresa el ID de un proyecto existente al que deseas exportar los hallazgos.
En ID de conjunto de datos, ingresa el nombre de un conjunto de datos existente en el proyecto.
En ID de tabla, ingresa el nombre de la tabla de BigQuery en la que deseas guardar los hallazgos. Si esta tabla no existe, Sensitive Data Protection la crea automáticamente con el nombre que proporcionas.
Para obtener información sobre el contenido de cada hallazgo que se guarda en la tabla de BigQuery, consulta DataProfileFinding.
Adjunta etiquetas a los recursos
Activar Adjuntar etiquetas a los recursos indica a Sensitive Data Protection que etiquete automáticamente tus datos según el nivel de sensibilidad calculado. En esta sección, primero debes completar las tareas de Controla el acceso de IAM a los recursos según la sensibilidad de los datos.
Para etiquetar automáticamente un recurso según su nivel de sensibilidad calculado, sigue estos pasos:
- Activa la opción Etiquetar recursos.
Para cada nivel de sensibilidad (alto, moderado, bajo y desconocido), ingresa la ruta de acceso del valor de la etiqueta que creaste para el nivel de sensibilidad determinado.
Si omites un nivel de sensibilidad, no se adjuntará ninguna etiqueta para ese nivel.
Para reducir automáticamente el nivel de riesgo de los datos de un recurso cuando la etiqueta de nivel de sensibilidad está presente, selecciona Cuando se aplica una etiqueta a un recurso, reduce el riesgo de los datos de su perfil a BAJO. Esta opción te ayuda a medir la mejora en tu postura de seguridad y privacidad de los datos.
Selecciona una o ambas opciones:
- Etiquetar un recurso cuando se genera un perfil por primera vez
Etiquetar un recurso cuando se actualiza su perfil. Selecciona esta opción si quieres que Sensitive Data Protection anule el valor de la etiqueta de nivel de sensibilidad en las ejecuciones de descubrimiento posteriores. Por lo tanto, el acceso de un principal a un recurso cambia automáticamente a medida que aumenta o disminuye el nivel de sensibilidad de los datos calculado para ese recurso.
No selecciones esta opción si planeas actualizar manualmente los valores de las etiquetas de nivel de sensibilidad que el servicio de descubrimiento adjuntó a tus recursos. Si seleccionas esta opción, Sensitive Data Protection puede reemplazar tus actualizaciones manuales.
Publicar en Pub/Sub
Si activas la opción Publicar en Pub/Sub, podrás realizar acciones de forma programática según los resultados de la generación de perfiles. Puedes usar las notificaciones de Pub/Sub para desarrollar un flujo de trabajo que permita detectar y corregir los hallazgos con un riesgo o una sensibilidad de datos significativos.
Para enviar notificaciones a un tema de Pub/Sub, sigue estos pasos:
Activa Publicar en Pub/Sub.
Aparecerá una lista de opciones. Cada opción describe un evento que hace que la Protección de datos sensibles envíe una notificación a Pub/Sub.
Selecciona los eventos que deberían activar una notificación de Pub/Sub.
Si seleccionas Enviar una notificación de Pub/Sub cada vez que se actualiza un perfil, la Protección de datos sensibles enviará una notificación cuando haya un cambio en el nivel de sensibilidad, el nivel de riesgo de los datos, los infoTypes detectados, el acceso público y otras métricas importantes del perfil.
Para cada evento que selecciones, sigue estos pasos:
Ingresa el nombre del tema. El nombre debe tener el siguiente formato:
projects/PROJECT_ID/topics/TOPIC_IDReemplaza lo siguiente:
- PROJECT_ID: Es el ID del proyecto asociado al tema de Pub/Sub.
- TOPIC_ID: Es el ID del tema de Pub/Sub.
Especifica si se debe incluir el perfil completo del recurso en la notificación o solo el nombre completo del recurso del que se generó el perfil.
Establece los niveles mínimos de riesgo y sensibilidad de los datos que se deben cumplir para que Sensitive Data Protection envíe una notificación.
Especifica si se debe cumplir solo una o ambas condiciones de riesgo y sensibilidad de los datos. Por ejemplo, si eliges
AND, se deben cumplir las condiciones de riesgo de datos y de sensibilidad antes de que Sensitive Data Protection envíe una notificación.
Enviar a Data Catalog como etiquetas
Esta función está obsoleta.
Esta acción te permite crear etiquetas de Data Catalog en Dataplex Universal Catalog en función de las estadísticas de los perfiles de datos. Esta acción solo se aplica a los perfiles nuevos y actualizados. Los perfiles existentes que no se actualicen no se enviarán a Dataplex Universal Catalog.
Data Catalog es un servicio de administración de metadatos escalable y completamente administrado. Cuando habilitas esta acción, las tablas que generas como perfil se etiquetan automáticamente en Data Catalog según las estadísticas recopiladas de los perfiles de datos. Luego, puedes usar Dataplex Universal Catalog para buscar en tu organización y en tus proyectos tablas con valores de etiquetas específicos.
Para enviar los perfiles de datos a Dataplex Universal Catalog como etiquetas de Data Catalog, asegúrate de que la opción Enviar a Dataplex como etiquetas esté activada.
Para obtener más información, consulta Etiqueta tablas en Data Catalog según las estadísticas de los perfiles de datos.
Enviar a Dataplex Universal Catalog como aspectos
Esta acción te permite agregar aspectos de Dataplex Universal Catalog a los recursos con perfil según las estadísticas de los perfiles de datos. Esta acción solo se aplica a los perfiles nuevos y actualizados. Los perfiles existentes que no se actualicen no se enviarán a Dataplex Universal Catalog.
Cuando habilitas esta acción, la Protección de datos sensibles adjunta el aspecto Sensitive Data Protection profile a la entrada de Dataplex Universal Catalog para cada recurso nuevo o actualizado del que creas un perfil. Los aspectos generados contienen estadísticas recopiladas de los perfiles de datos. Luego, puedes buscar en tu organización y en tus proyectos entradas con valores de aspecto Sensitive Data Protection profile específicos.
Para enviar los perfiles de datos a Dataplex Universal Catalog, asegúrate de que la opción Enviar a Dataplex Catalog como aspectos esté activada.
Para obtener más información, consulta Agrega aspectos de Dataplex Universal Catalog según las estadísticas de los perfiles de datos.
Acciones admitidas
En la siguiente tabla, se muestran las acciones admitidas para cada tipo de descubrimiento.
| Publicar en Google Security Operations | Publicar en Security Command Center | Guardar copias de los perfiles de datos en BigQuery | Guardar los hallazgos de descubrimiento de muestra en BigQuery | Adjunta etiquetas a los recursos | Publicar en Pub/Sub | Enviar a Dataplex Universal Catalog como etiquetas de Data Catalog (Obsoleto) | Enviar a Dataplex Universal Catalog como aspectos | |
|---|---|---|---|---|---|---|---|---|
| Amazon S3 | ✓ | ✓ | ✓ | ✓ | ✓ | |||
| Azure Blob Storage | ✓ | ✓ | ✓ | ✓ | ✓ | |||
| BigQuery | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Cloud SQL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Cloud Storage | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| Vertex AI | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
¿Qué sigue?
- Obtén más información para usar los datos de contexto de los perfiles de datos en Google Security Operations.
- Obtén información sobre los hallazgos que Sensitive Data Protection puede generar en Security Command Center.
- Aprende a analizar perfiles de datos en BigQuery y Looker Studio.
- Obtén información para controlar el acceso de IAM a los recursos según la sensibilidad de los datos.
- Obtén más información para recibir y analizar mensajes de Pub/Sub sobre perfiles de datos.
- Obtén más información para agregar aspectos de Dataplex Universal Catalog basados en estadísticas de los perfiles de datos.