Nesta seção, descrevemos como especificar as ações que você quer que a Proteção de dados sensíveis realize depois de criar um perfil de um recurso. Essas ações são úteis se você quiser enviar insights coletados de perfis de dados para outros serviços doGoogle Cloud .
Para ativar as ações de descoberta, crie ou edite uma configuração de verificação de descoberta. As seções a seguir descrevem as diferentes ações que você pode ativar na seção Adicionar ações da configuração de verificação.Nem todas as ações nesta página estão disponíveis para cada tipo de descoberta. Por exemplo, não é possível anexar tags a recursos se você estiver configurando a descoberta de recursos de outro provedor de nuvem. Para mais informações, consulte Ações compatíveis nesta página.
Para mais informações sobre a descoberta de dados sensíveis, consulte Perfis de dados.
As operações de inspeção e análise de risco têm um conjunto diferente de ações. Para mais informações, consulte Ativar ações de inspeção ou análise de risco.
Publicar no Google Security Operations
As métricas coletadas dos perfis de dados podem adicionar contexto às descobertas do Google Security Operations. O contexto adicional pode ajudar você a determinar os problemas de segurança mais importantes a serem resolvidos.
Por exemplo, se você estiver investigando um agente de serviço específico, o Google Security Operations poderá determinar a quais recursos ele acessou e se algum deles tem dados altamente sensíveis.
Para enviar seus perfis de dados à instância do Google Security Operations, ative a opção Publicar no Google Security Operations.
Se você não tiver uma instância do Google Security Operations ativada para sua organização (pelo produto independente ou pelo Security Command Center Enterprise), ativar essa opção não terá efeito.
Publicar no Security Command Center
As descobertas dos perfis de dados fornecem contexto ao fazer a triagem e desenvolver planos de resposta para suas descobertas de vulnerabilidade e ameaças no Security Command Center.
Antes de usar essa ação, o Security Command Center precisa ser ativado no nível da organização. Ao ativar o Security Command Center no nível da organização, o fluxo de descobertas de serviços integrados, como a proteção de dados sensíveis, é ativado. A Proteção de dados sensíveis funciona com o Security Command Center em todos os níveis de serviço.Se o Security Command Center não estiver ativado no nível da organização, as descobertas da proteção de dados sensíveis não vão aparecer no Security Command Center. Para mais informações, consulte Verificar o nível de ativação do Security Command Center.
Para enviar os resultados dos seus perfis de dados ao Security Command Center, verifique se a opção Publicar no Security Command Center está ativada.
Para mais informações, consulte Publicar perfis de dados no Security Command Center.
Salvar cópias do perfil de dados no BigQuery
A Proteção de Dados Sensíveis salva uma cópia de cada perfil de dados gerado
em uma tabela do BigQuery. Se você não fornecer os detalhes da sua
tabela preferida, a Proteção de Dados Sensíveis vai criar um conjunto de dados e uma tabela no
contêiner do agente de serviço.
Por padrão, o conjunto de dados é chamado de sensitive_data_protection_discovery e a tabela de discovery_profiles.
Essa ação permite manter um histórico de todos os perfis gerados. Esse histórico pode ser útil para criar relatórios de auditoria e visualizar perfis de dados. Também é possível carregar essas informações em outros sistemas.
Além disso, essa opção permite ver todos os perfis de dados em uma única visualização, independentemente da região dos dados. Embora também seja possível ver os perfis de dados no console doGoogle Cloud , ele mostra os perfis em apenas uma região por vez.
Quando a Proteção de dados sensíveis não cria um perfil de um recurso, ela tenta de novo periodicamente. Para minimizar o ruído nos dados exportados, a proteção de dados sensíveis exporta apenas os perfis gerados com êxito para o BigQuery.
A Proteção de Dados Sensíveis começa a exportar perfis a partir do momento em que você ativa essa opção. Os perfis gerados antes da ativação da exportação não são salvos no BigQuery.
Para ver exemplos de consultas que podem ser usadas ao analisar perfis de dados, consulte Analisar perfis de dados.
Salvar as descobertas de amostra no BigQuery
A Proteção de Dados Sensíveis pode adicionar exemplos de descobertas a uma tabela do BigQuery de sua escolha. As descobertas de amostra representam um subconjunto de todas as descobertas e podem não representar todos os infoTypes descobertos. Normalmente, o sistema gera cerca de 10 exemplos de descobertas por recurso, mas esse número pode variar em cada execução.
Cada descoberta inclui a string real (também chamada de citação) que foi detectada e o local exato dela.
Essa ação é útil se você quiser avaliar se a configuração de inspeção está correspondendo corretamente ao tipo de informação que você quer sinalizar como sensível. Usando os perfis de dados e as descobertas de amostra exportados, você pode executar consultas para receber mais informações sobre os itens específicos sinalizados, os infoTypes correspondentes, os locais exatos, os níveis de sensibilidade calculados e outros detalhes.
Exemplo de consulta: mostrar exemplos de descobertas relacionadas a perfis de dados de armazenamento de arquivos
Este exemplo exige que as opções Salvar cópias do perfil de dados no BigQuery e Salvar as descobertas de amostra no BigQuery estejam ativadas.
A consulta a seguir usa uma operação INNER JOIN nas duas tabelas: de perfis de dados exportados e de exemplos de descobertas exportadas. Na tabela resultante, cada registro mostra a citação da descoberta, o infoType correspondente, o recurso que contém a descoberta e o nível de sensibilidade calculado do recurso.
SELECT findings_table.quote, findings_table.infotype.name, findings_table.location.container_name, profiles_table.file_store_profile.file_store_path as bucket_name, profiles_table.file_store_profile.sensitivity_score as bucket_sensitivity_score FROM `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table INNER JOIN `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table ON findings_table.data_profile_resource_name=profiles_table.file_store_profile.name
Exemplo de consulta: mostrar descobertas de amostra relacionadas a perfis de dados de tabela
Este exemplo exige que as opções Salvar cópias do perfil de dados no BigQuery e Salvar as descobertas de amostra no BigQuery estejam ativadas.
A consulta a seguir usa uma operação INNER JOIN nas duas tabelas: de perfis de dados exportados e de exemplos de descobertas exportadas. Na tabela resultante, cada registro mostra a citação da descoberta, o infoType correspondente, o recurso que contém a descoberta e o nível de sensibilidade calculado do recurso.
SELECT findings_table.quote, findings_table.infotype.name, findings_table.location.container_name, findings_table.location.data_profile_finding_record_location.field.name AS field_name, profiles_table.table_profile.dataset_project_id AS project_id, profiles_table.table_profile.dataset_id AS dataset_id, profiles_table.table_profile.table_id AS table_id, profiles_table.table_profile.sensitivity_score AS table_sensitivity_score FROM `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table INNER JOIN `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table ON findings_table.data_profile_resource_name=profiles_table.table_profile.name
Para salvar descobertas de amostra em uma tabela do BigQuery, siga estas etapas:
Ative a opção Salvar as descobertas de amostra no BigQuery.
Insira os detalhes da tabela do BigQuery em que você quer salvar os resultados da amostra.
A tabela especificada para essa ação precisa ser diferente da tabela usada para a ação Salvar cópias do perfil de dados no BigQuery.
Em ID do projeto, digite o ID de um projeto em que você quer exportar os resultados.
Em ID do conjunto de dados, insira o nome de um conjunto de dados existente no projeto.
Em ID da tabela, insira o nome da tabela do BigQuery em que você quer salvar as descobertas. Se ela não existir, a Proteção de Dados Sensíveis a criará automaticamente usando o nome fornecido.
Para informações sobre o conteúdo de cada descoberta salva na tabela do BigQuery, consulte
DataProfileFinding.
Anexar tags a recursos
Ao ativar a opção Anexar tags a recursos, você instrui a Proteção de dados sensíveis a marcar automaticamente seus dados de acordo com o nível de sensibilidade calculado. Nesta seção, primeiro conclua as tarefas em Controlar o acesso do IAM a recursos com base na sensibilidade dos dados.
Para adicionar uma tag automática a um recurso de acordo com o nível de sensibilidade calculado, siga estas etapas:
- Ative a opção Marcar recursos.
Para cada nível de sensibilidade (alto, moderado, baixo e desconhecido), insira o caminho do valor da tag que você criou para o nível de sensibilidade em questão.
Se você pular um nível de sensibilidade, nenhuma tag será anexada a ele.
Para diminuir automaticamente o nível de risco de dados de um recurso quando a tag de nível de sensibilidade estiver presente, selecione Quando uma tag é aplicada a um recurso, diminua o risco de dados do perfil para BAIXO. Essa opção ajuda a medir a melhoria na sua postura de segurança e privacidade de dados.
Selecione uma ou ambas as opções a seguir:
- Aplicar tag a um recurso quando ele recebe um perfil pela primeira vez.
Aplicar tag a um recurso quando o perfil é atualizado. Selecione esta opção se quiser que a Proteção de Dados Sensíveis substitua o valor da tag de nível de sensibilidade nas execuções de descoberta subsequentes. Como resultado, o acesso de um principal a um recurso muda automaticamente à medida que o nível de sensibilidade dos dados calculado para esse recurso aumenta ou diminui.
Não selecione essa opção se você planeja atualizar manualmente os valores de tag de nível de sensibilidade que o serviço de descoberta anexou aos seus recursos. Se você selecionar essa opção, a Proteção de Dados Sensíveis poderá substituir suas atualizações manuais.
Publicar no Pub/Sub
Ao ativar a opção Publicar no Pub/Sub, você pode realizar ações programáticas com base nos resultados do perfil. É possível usar as notificações do Pub/Sub para desenvolver um fluxo de trabalho de detecção e correção de descobertas com risco ou sensibilidade de dados significativos.
Para enviar notificações a um tópico do Pub/Sub, siga estas etapas:
Ative a opção Publicar no Pub/Sub.
Uma lista de opções vai aparecer. Cada opção descreve um evento que faz com que a Proteção de dados sensíveis envie uma notificação ao Pub/Sub.
Selecione os eventos que devem acionar uma notificação do Pub/Sub.
Se você selecionar Enviar uma notificação do Pub/Sub sempre que um perfil for atualizado, a Proteção de dados sensíveis vai enviar uma notificação quando houver uma mudança no nível de sensibilidade, no nível de risco de dados, nos infoTypes detectados, no acesso público e em outras métricas importantes do perfil.
Para cada evento selecionado, siga estas etapas:
Insira o nome do tópico. O nome precisa estar no seguinte formato:
projects/PROJECT_ID/topics/TOPIC_IDSubstitua:
- PROJECT_ID: o ID do projeto associado ao tópico do Pub/Sub.
- TOPIC_ID: o ID do tópico do Pub/Sub.
Especifique se você quer incluir o perfil completo do recurso na notificação ou apenas o nome completo do recurso que foi analisado.
Defina os níveis mínimos de risco e sensibilidade dos dados que precisam ser atendidos para que a Proteção de Dados Sensíveis envie uma notificação.
Especifique se apenas uma ou ambas as condições de risco e sensibilidade dos dados precisam ser atendidas. Por exemplo, se você escolher
AND, as condições de risco de dados e sensibilidade precisarão ser atendidas antes que a Proteção de Dados Sensíveis envie uma notificação.
Enviar para o Data Catalog como tags
Esse recurso está descontinuado.
Com essa ação, é possível criar tags do Data Catalog no Dataplex Universal Catalog com base em insights de perfis de dados. Essa ação só é aplicada a perfis novos e atualizados. Os perfis que não forem atualizados não serão enviados para o Catálogo Universal do Dataplex.
O Data Catalog é um serviço de gerenciamento de metadados totalmente gerenciado e escalonável. Quando você ativa essa ação, as tabelas que você cria são automaticamente marcadas no Data Catalog de acordo com os insights coletados dos perfis de dados. Em seguida, use o Dataplex Universal Catalog para pesquisar tabelas com valores de tag específicos na sua organização e nos projetos.
Para enviar os perfis de dados ao Dataplex Universal Catalog como tags do Data Catalog, verifique se a opção Enviar para o Dataplex como tags está ativada.
Para mais informações, consulte Marcar tabelas no Data Catalog com base em insights de perfis de dados.
Enviar como aspectos para o Dataplex Universal Catalog
Com essa ação, é possível adicionar aspectos do Dataplex Universal Catalog aos recursos com perfil com base em insights dos perfis de dados. Essa ação só é aplicada a perfis novos e atualizados. Os perfis que não forem atualizados não serão enviados para o Catálogo Universal do Dataplex.
Quando você ativa essa ação, a proteção de dados sensíveis anexa o aspecto Sensitive Data Protection profile à entrada do Dataplex Universal Catalog de cada recurso novo ou atualizado que você cria um perfil. Os aspectos gerados contêm insights coletados dos perfis de dados. Em seguida, pesquise na sua organização e nos projetos entradas com valores de aspecto Sensitive Data Protection profile específicos.
Para enviar os perfis de dados ao Dataplex Universal Catalog, verifique se a opção Enviar como aspectos para o Dataplex Catalog está ativada.
Para mais informações, consulte Adicionar aspectos do Dataplex Universal Catalog com base em insights de perfis de dados.
Ações compatíveis
A tabela a seguir mostra quais ações são compatíveis com cada tipo de descoberta.
| Publicar no Google Security Operations | Publicar no Security Command Center | Salvar cópias do perfil de dados no BigQuery | Salvar as descobertas de amostra no BigQuery | Anexar tags a recursos | Publicar no Pub/Sub | Enviar para o Dataplex Universal Catalog como tags do Data Catalog (descontinuado) | Enviar como aspectos para o Dataplex Universal Catalog | |
|---|---|---|---|---|---|---|---|---|
| Amazon S3 | ✓ | ✓ | ✓ | ✓ | ✓ | |||
| Armazenamento de blobs do Azure | ✓ | ✓ | ✓ | ✓ | ✓ | |||
| BigQuery | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Cloud SQL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Cloud Storage | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| Vertex AI | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
A seguir
- Saiba como usar dados de contexto dos perfis de dados no Google Security Operations.
- Saiba mais sobre as descobertas que a Proteção de dados sensíveis pode gerar no Security Command Center.
- Saiba como analisar perfis de dados no BigQuery e no Looker Studio.
- Saiba como controlar o acesso do IAM aos recursos com base na sensibilidade dos dados.
- Saiba como receber e analisar mensagens do Pub/Sub sobre perfis de dados.
- Saiba como adicionar aspectos do Dataplex Universal Catalog com base em insights de perfis de dados.