O Cloud Data Loss Prevention (Cloud DLP) agora faz parte da Proteção de dados sensíveis. O nome da API continua o mesmo: API Cloud Data Loss Prevention (DLP). Para saber mais sobre os serviços que compõem a Proteção de dados sensíveis, consulte Visão geral da Proteção de dados sensíveis.

Esta página foi traduzida pela API Cloud Translation.

Criar perfis de dados do Azure Blob Storage

Esta página descreve como configurar a descoberta da Proteção de Dados Sensíveis para o Armazenamento de Blobs do Azure. Esse recurso está disponível apenas para clientes que ativaram o Security Command Center no nível Enterprise.

A descoberta da proteção de dados sensíveis ajuda você a saber mais sobre os tipos de dados armazenados no Blob Storage e os níveis de sensibilidade deles. Ao criar perfis dos seus dados do Armazenamento de blobs, você gera perfis de dados do armazenamento de arquivos, que fornecem insights e metadados sobre seus contêineres do Armazenamento de blobs. Para cada contêiner do Blob Storage, um perfil de dados do repositório de arquivos inclui as seguintes informações:

Os tipos de arquivos que você está armazenando no contêiner, categorizados em clusters de arquivos.
O nível de sensibilidade dos dados no contêiner.
Um resumo sobre cada cluster de arquivos detectado, incluindo os tipos de informações sensíveis encontradas

Para uma lista completa de insights e metadados em cada perfil de dados do repositório de arquivos, consulte Perfis de dados do repositório de arquivos.

Para mais informações sobre o serviço de descoberta, consulte Perfis de dados.

Fluxo de trabalho

O fluxo de trabalho de alto nível para criação de perfis de dados do Azure Blob Storage é o seguinte:

No Security Command Center, crie um conector para o Microsoft Azure. Selecione Conceder permissões para o serviço de descoberta de Proteção de Dados Sensíveis.
Crie um modelo de inspeção na região global ou na região em que você planeja armazenar a configuração de verificação de descoberta e todos os perfis de dados gerados.
Crie uma configuração de verificação de descoberta para o Armazenamento de Blobs do Azure.

A Proteção de dados sensíveis cria perfis dos seus dados de acordo com a programação especificada.

Considerações sobre a residência de dados

Considere o seguinte ao planejar a criação de perfis de dados de outros provedores de nuvem:

Os perfis de dados são armazenados junto com a configuração da verificação de descoberta. Por outro lado, quando você cria um perfil de dados do Google Cloud , os perfis são armazenados na mesma região dos dados que serão criados.
Se você armazenar o modelo de inspeção na região global, uma cópia na memória desse modelo será lida na região em que você armazenar a configuração de verificação de descoberta.
Seus dados não são modificados. Uma cópia na memória dos seus dados é lida na região em que você armazena a configuração da verificação de descoberta. No entanto, a Proteção de Dados Sensíveis não oferece garantias sobre onde os dados passam depois de chegarem à Internet pública. Os dados são criptografados com SSL.

Arquivos e contêineres vazios

A descoberta não verifica arquivos e contêineres vazios do Blob Storage e não os considera ao listar as extensões de arquivo encontradas. Um contêiner que tem apenas arquivos vazios também é considerado vazio.

Antes de começar

No Security Command Center, crie um conector para o Microsoft Azure. Para mais informações, consulte Conectar-se ao Microsoft Azure para configuração e coleta de dados de recursos na documentação do Security Command Center.
Confirme se você tem as permissões do IAM necessárias para configurar perfis de dados no nível da organização.

Se você não tiver o papel de Administrador da organização (roles/resourcemanager.organizationAdmin) ou Administrador de segurança (roles/iam.securityAdmin), ainda poderá criar uma configuração de verificação. No entanto, depois de criar a configuração de verificação, alguém com um desses papéis precisa conceder acesso de criação de perfil de dados ao seu agente de serviço.
Confirme se você tem um modelo de inspeção na região global ou na região em que planeja armazenar a configuração de verificação de descoberta e todos os perfis de dados gerados.

Com essa tarefa, você pode criar automaticamente um modelo de inspeção apenas na região global. Se as políticas organizacionais impedirem a criação de um modelo de inspeção na região global, antes de realizar essa tarefa, crie um modelo de inspeção na região em que você planeja armazenar a configuração de verificação de descoberta.
Para enviar notificações do Pub/Sub a um tópico quando determinados eventos ocorrerem, como quando a proteção de dados sensíveis cria um perfil de um novo contêiner, crie um tópico do Pub/Sub antes de realizar essa tarefa.

Para gerar perfis de dados, você precisa de um contêiner e um agente de serviço dentro dele. Com essa tarefa, é possível criá-los automaticamente.

Criar uma configuração de verificação

Acesse a página Criar configuração de verificação.

Acessar "Criar configuração de verificação"
Acesse sua organização. Na barra de ferramentas, clique no seletor de projetos e selecione sua organização.

As seções a seguir fornecem mais informações sobre as etapas na página Criar configuração de verificação. No final de cada seção, clique em Continuar.

Selecione um tipo de descoberta

Selecione Armazenamento de Blobs do Azure.

Selecionar escopo

Escolha uma destas opções:

Para verificar todos os recursos do Armazenamento de Blobs a que seu conector do Azure tem acesso, selecione Verificar todos os recursos do Azure disponíveis pelo conector.
Para verificar os dados do Armazenamento de Blobs em uma única assinatura do Azure, selecione Verificar uma assinatura do Azure. Insira o ID da assinatura.
Para verificar um único contêiner do Armazenamento de Blobs, selecione Verificar um contêiner do Armazenamento de Blobs do Azure. Insira os detalhes do contêiner que você quer verificar.

Gerenciar programações

Se a frequência de criação de perfil padrão atender às suas necessidades, pule esta seção da página Criar configuração de verificação.

Configure esta seção pelos seguintes motivos:

Para fazer ajustes refinados na frequência de criação de perfis de todos os seus dados ou de determinados subconjuntos.
Para especificar os contêineres que você não quer criar perfil.
Para especificar os contêineres que você não quer criar perfis mais de uma vez.

Para fazer ajustes refinados na frequência de criação de perfil, siga estas etapas:

Clique em Adicionar programação.

Observação: se você selecionou um único contêiner como o escopo dessa configuração, não é possível adicionar uma programação. Você só pode editar a programação catch-all. Além disso, não é possível especificar filtros. Só é possível editar a frequência e as condições da criação de perfis.
Na seção Filtros, defina um ou mais filtros que especificam quais contêineres estão no escopo da programação. Um contêiner é considerado no escopo da programação se corresponder a pelo menos um dos filtros definidos.

Para configurar um filtro, especifique pelo menos uma das seguintes opções:
- Um ID de assinatura ou uma expressão regular que especifica um ou mais IDs de assinatura
- Um nome de contêiner ou uma expressão regular que especifica um ou mais contêineres
As expressões regulares precisam seguir a sintaxe RE2.

Por exemplo, se você quiser que todos os contêineres de uma conta sejam incluídos no filtro, insira o ID da assinatura no campo ID da assinatura.

Para corresponder a um filtro, um contêiner precisa atender a todas as expressões regulares especificadas nele.

Para adicionar mais filtros, clique em Adicionar filtro e repita esta etapa.
Clique em Frequência.
Na seção Frequência, especifique se os contêineres selecionados serão analisados e, em caso afirmativo, com que frequência:
- Se você não quiser que os contêineres sejam analisados, desative a opção Analisar esses dados.
- Se você quiser que os contêineres sejam analisados pelo menos uma vez, deixe a opção Criar perfil desses dados ativada.
  
  Especifique se é necessário criar um novo perfil dos seus dados e quais eventos devem acionar uma operação de recriação de perfil. Para mais informações, consulte Frequência de geração de perfis de dados.
  1. Em Em uma programação, especifique a frequência com que você quer que os contêineres sejam reprofilados. Os contêineres são reformulados, independente de terem passado por alguma mudança.
  2. Para Quando o modelo de inspeção muda, especifique se você quer que os dados sejam reformulados quando o modelo de inspeção associado for atualizado e, em caso afirmativo, com que frequência.
    Observação:os modelos de inspeção a serem usados são especificados na etapa Selecionar modelo de inspeção desta página.
    
    Uma mudança no modelo de inspeção é detectada quando ocorre uma destas situações:
    - O nome de um modelo de inspeção muda na sua configuração de verificação.
    - O updateTime de um modelo de inspeção muda.
Opcional: clique em Condições.

Na seção Condições, especifique as condições que os contêineres definidos nos filtros precisam atender antes que a Proteção de Dados Sensíveis crie um perfil deles.

Por padrão, a proteção de dados sensíveis verifica todos os objetos em um contêiner. Se você quiser verificar apenas os objetos em um determinado nível de acesso a blobs, selecione esses níveis. Para incluir blobs que não têm um nível de acesso, selecione Não aplicável.
Clique em Concluído.
Opcional: para adicionar mais programações, clique em Adicionar programação e repita as etapas anteriores.
Para especificar a precedência entre as programações, reordene-as usando as setas para cima e para baixo .

A ordem dos horários especifica como os conflitos entre eles são resolvidos. Se um contêiner corresponder aos filtros de duas programações diferentes, a que estiver mais acima na lista vai determinar a frequência de criação de perfil para esse contêiner.

Observação: se o modo de preços de descoberta for assinatura, a taxa em que a Proteção de Dados Sensíveis cria perfis dos seus dados é afetada pela capacidade que você comprou. Para determinar sua capacidade diária de criação de perfis, consulte Monitorar a utilização. Se você tiver capacidade subprovisionada, as frequências de criação de perfis definidas nas programações poderão não ser seguidas. Se houver um backlog de dados a serem analisados, a ordem de programação não vai determinar a ordem em que a Proteção de Dados Sensíveis cria o perfil dos dados no backlog. Em vez disso, todos os recursos de dados no escopo recebem um slot atribuído aleatoriamente na fila.
Opcional: edite ou desative a Programação geral.

A última programação na lista é a programação geral. Essa programação abrange os contêineres no escopo selecionado que não correspondem a nenhuma das programações criadas. A programação de captura geral segue a frequência padrão de criação de perfis do sistema.
- Para ajustar a programação de tudo, clique em Editar programação e ajuste as configurações conforme necessário.
- Para evitar que a Proteção de Dados Sensíveis crie um perfil de qualquer recurso coberto pela programação geral, desative a opção Criar perfil dos recursos que não correspondem a nenhuma programação personalizada.

Selecionar um modelo de inspeção

Dependendo de como você quer fornecer uma configuração de inspeção, escolha uma das seguintes opções. Independentemente da opção escolhida, a Proteção de dados sensíveis verifica seus dados na região em que eles estão armazenados. Ou seja, seus dados não saem da região de origem.

Opção 1: criar um modelo de inspeção

Escolha essa opção se quiser criar um modelo de inspeção na região global.

Clique em Criar novo modelo de inspeção.
Opcional: para modificar a seleção padrão de infoTypes, clique em Gerenciar infoTypes.

Para mais informações sobre como gerenciar infoTypes integrados e personalizados, consulte Gerenciar infoTypes no console doGoogle Cloud .

É necessário selecionar pelo menos um infoType para continuar.
Opcional: configure o modelo de inspeção ainda mais adicionando conjuntos de regras e definindo um limite de confiança. Para mais informações, consulte Configurar detecção.

Quando a proteção de dados sensíveis cria a configuração de verificação, ela armazena esse novo modelo de inspeção na região global.

Opção 2: usar um modelo de inspeção existente

Escolha essa opção se você tiver modelos de inspeção que quer usar.

Clique em Selecionar modelo de inspeção existente.
Insira o nome completo do recurso do modelo de inspeção que você quer usar. O campo Região é preenchido automaticamente com o nome da região em que o modelo de inspeção está armazenado.
O modelo de inspeção inserido precisa estar na mesma região em que você planeja armazenar essa configuração de verificação de descoberta e todos os perfis de dados gerados.

Para respeitar a residência de dados, a Proteção de Dados Sensíveis não usa um modelo de inspeção fora da região em que ele está armazenado.

Para encontrar o nome completo do recurso de um modelo de inspeção, siga estas etapas:
1. Acesse a lista de modelos de inspeção. Essa página é aberta em uma guia separada.
  
  Acessar modelos de inspeção
2. Mude para o projeto que contém o modelo de inspeção que você quer usar.
3. Na guia Modelos, clique no ID do modelo que você quer usar.
4. Na página exibida, copie o nome completo do recurso do modelo. O nome completo do recurso segue este formato:
```
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
```
5. Na página Criar configuração de verificação, no campo Nome do modelo, cole o nome completo do recurso do modelo.

Adicionar ações

Nesta seção, descrevemos como especificar as ações que você quer que a Proteção de dados sensíveis realize depois de criar um perfil de um contêiner. Essas ações são úteis se você quiser enviar insights coletados de perfis de dados para outros serviços doGoogle Cloud .

Publicar no Google Security Operations

As métricas coletadas dos perfis de dados podem adicionar contexto às descobertas do Google Security Operations. O contexto adicional pode ajudar você a determinar os problemas de segurança mais importantes a serem resolvidos.

Por exemplo, se você estiver investigando um agente de serviço específico, o Google Security Operations poderá determinar a quais recursos ele acessou e se algum deles tem dados altamente sensíveis.

Para enviar seus perfis de dados à instância do Google Security Operations, ative a opção Publicar no Google Security Operations.

Se você não tiver uma instância do Google Security Operations ativada para sua organização (pelo produto independente ou pelo Security Command Center Enterprise), ativar essa opção não terá efeito.

Publicar no Security Command Center

As descobertas dos perfis de dados fornecem contexto ao fazer a triagem e desenvolver planos de resposta para suas descobertas de vulnerabilidade e ameaças no Security Command Center.

Para enviar os resultados dos seus perfis de dados ao Security Command Center, verifique se a opção Publicar no Security Command Center está ativada.

Para mais informações, consulte Publicar perfis de dados no Security Command Center.

Salvar cópias do perfil de dados no BigQuery

A Proteção de Dados Sensíveis salva uma cópia de cada perfil de dados gerado em uma tabela do BigQuery. Se você não fornecer os detalhes da tabela preferida, a Proteção de Dados Sensíveis vai criar um conjunto de dados e uma tabela no contêiner do agente de serviço. Por padrão, o conjunto de dados é chamado de sensitive_data_protection_discovery e a tabela de discovery_profiles.

Essa ação permite manter um histórico de todos os perfis gerados. Esse histórico pode ser útil para criar relatórios de auditoria e visualizar perfis de dados. Também é possível carregar essas informações em outros sistemas.

Além disso, essa opção permite ver todos os perfis de dados em uma única visualização, independentemente da região dos dados. Embora também seja possível ver os perfis de dados no console doGoogle Cloud , ele mostra os perfis em apenas uma região por vez.

Quando a Proteção de dados sensíveis não cria um perfil de um contêiner, ela tenta de novo periodicamente. Para minimizar o ruído nos dados exportados, a proteção de dados sensíveis exporta apenas os perfis gerados com êxito para o BigQuery.

A Proteção de Dados Sensíveis começa a exportar perfis a partir do momento em que você ativa essa opção. Os perfis gerados antes da ativação da exportação não são salvos no BigQuery.

Para exemplos de consultas que podem ser usadas ao analisar perfis de dados, consulte Analisar perfis de dados.

Salvar as descobertas de amostra no BigQuery

A Proteção de Dados Sensíveis pode adicionar exemplos de descobertas a uma tabela do BigQuery de sua escolha. As descobertas de amostra representam um subconjunto de todas as descobertas e podem não representar todos os infoTypes descobertos. Normalmente, o sistema gera cerca de 10 exemplos de descobertas por contêiner, mas esse número pode variar em cada execução.

Cada descoberta inclui a string real (também chamada de citação) que foi detectada e o local exato dela.

Essa ação é útil se você quiser avaliar se a configuração de inspeção está correspondendo corretamente ao tipo de informação que você quer sinalizar como sensível. Usando os perfis de dados e as descobertas de amostra exportados, você pode executar consultas para receber mais informações sobre os itens específicos sinalizados, os infoTypes correspondentes, os locais exatos, os níveis de sensibilidade calculados e outros detalhes.

Este exemplo exige que as opções Salvar cópias do perfil de dados no BigQuery e Salvar as descobertas de amostra no BigQuery estejam ativadas.

A consulta a seguir usa uma operação INNER JOIN nas tabelas de perfis de dados exportados e de descobertas de amostra exportadas. Na tabela resultante, cada registro mostra a citação da descoberta, o infoType correspondente, o recurso que contém a descoberta e o nível de sensibilidade calculado do recurso.

SELECT
 findings_table.quote,
 findings_table.infotype.name,
 findings_table.location.container_name,
 profiles_table.file_store_profile.file_store_path as bucket_name,
 profiles_table.file_store_profile.sensitivity_score as bucket_sensitivity_score
FROM
 `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table
INNER JOIN
 `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table
ON
 findings_table.data_profile_resource_name=profiles_table.file_store_profile.name

Para salvar descobertas de amostra em uma tabela do BigQuery, siga estas etapas:

Ative a opção Salvar as descobertas de amostra no BigQuery.
Insira os detalhes da tabela do BigQuery em que você quer salvar os resultados da amostra.

A tabela especificada para essa ação precisa ser diferente da tabela usada para a ação Salvar cópias do perfil de dados no BigQuery.
- Em ID do projeto, digite o ID de um projeto em que você quer exportar os resultados.
- Em ID do conjunto de dados, insira o nome de um conjunto de dados existente no projeto.
- Em ID da tabela, insira o nome da tabela do BigQuery em que você quer salvar as descobertas. Se ela não existir, a Proteção de Dados Sensíveis a criará automaticamente usando o nome fornecido.

Para informações sobre o conteúdo de cada descoberta salva na tabela do BigQuery, consulte DataProfileFinding.

Publicar no Pub/Sub

Ao ativar a opção Publicar no Pub/Sub, você pode realizar ações programáticas com base nos resultados do perfil. É possível usar as notificações do Pub/Sub para desenvolver um fluxo de trabalho de detecção e correção de descobertas com risco ou sensibilidade de dados significativos.

Para enviar notificações a um tópico do Pub/Sub, siga estas etapas:

Ative a opção Publicar no Pub/Sub.

Uma lista de opções vai aparecer. Cada opção descreve um evento que faz com que a Proteção de dados sensíveis envie uma notificação ao Pub/Sub.
Selecione os eventos que devem acionar uma notificação do Pub/Sub.

Se você selecionar Enviar uma notificação do Pub/Sub sempre que um perfil for atualizado, a Proteção de dados sensíveis vai enviar uma notificação quando houver uma mudança no nível de sensibilidade, no nível de risco de dados, nos infoTypes detectados, no acesso público e em outras métricas importantes do perfil.
Para cada evento selecionado, siga estas etapas:
1. Insira o nome do tópico. O nome precisa estar no seguinte formato:
```
projects/PROJECT_ID/topics/TOPIC_ID
```
  Substitua:
  - PROJECT_ID: o ID do projeto associado ao tópico do Pub/Sub.
  - TOPIC_ID: o ID do tópico do Pub/Sub.
2. Especifique se quer incluir o perfil completo do contêiner na notificação ou apenas o nome completo do recurso do contêiner que foi analisado.
3. Defina os níveis mínimos de risco e sensibilidade dos dados que precisam ser atendidos para que a Proteção de Dados Sensíveis envie uma notificação.
4. Especifique se apenas uma ou ambas as condições de risco e sensibilidade dos dados precisam ser atendidas. Por exemplo, se você escolher AND, as condições de risco de dados e sensibilidade precisarão ser atendidas antes que a Proteção de Dados Sensíveis envie uma notificação.

Observação : seu agente de serviço precisa ter acesso de publicação no tópico do Pub/Sub. Um exemplo de função com acesso de publicação é a função de Publicador do Pub/Sub (roles/pubsub.publisher). Se você ainda não tiver um agente de serviço, a Proteção de dados sensíveis permite criar um mais tarde na página Criar configuração de verificação. Se houver problemas de configuração ou permissão com o tópico do Pub/Sub, a Proteção de dados sensíveis vai tentar enviar a notificação do Pub/Sub por até duas semanas. Após duas semanas, a notificação é descartada.

Gerenciar o contêiner e o faturamento do agente de serviço

Nesta seção, especifique o projeto a ser usado como um contêiner de agente de serviço. A proteção de dados sensíveis pode criar automaticamente um novo projeto ou escolher um existente.

Não importa se você está usando um agente de serviço recém-criado ou reutilizando um existente, verifique se ele tem acesso de leitura aos dados a serem analisados.

Criar um projeto automaticamente

Se você não tiver as permissões necessárias para criar um projeto na organização, selecione um projeto atual ou obtenha as permissões necessárias. Para informações sobre as permissões necessárias, consulte Papéis necessários para trabalhar com perfis de dados no nível da organização ou da pasta.

Para criar automaticamente um projeto para usar como contêiner do agente de serviço, siga estas etapas:

No campo Contêiner do agente de serviço, revise o ID do projeto sugerido e edite-o conforme necessário.
Clique em Criar.
Opcional: atualize o nome padrão do projeto.
Selecione a conta para faturar todas as operações faturáveis relacionadas a esse novo projeto, incluindo operações não relacionadas à descoberta.

Observação: se você já tiver uma assinatura de descoberta no nível da organização, ainda vai precisar dessa conta de faturamento para criar o projeto. No entanto, para todas as operações de descoberta, você recebe cobranças pelo projeto associado à sua assinatura.
Clique em Criar.

A Proteção de Dados Sensíveis cria o novo projeto. O agente de serviço dentro desse projeto será usado para autenticar a Proteção de Dados Sensíveis e outras APIs.

Selecionar um projeto existente

Para selecionar um projeto atual como contêiner do agente de serviço, clique no campo Contêiner do agente de serviço e selecione o projeto.

Definir o local para armazenar a configuração

Clique na lista Local do recurso e selecione a região em que você quer armazenar essa configuração de verificação. Todas as configurações de verificação que você criar depois também serão armazenadas nesse local.

O local em que você decide armazenar a configuração da verificação não afeta os dados a serem verificados. Os dados são verificados na mesma região em que estão armazenados. Para mais informações, consulte Considerações sobre a residência de dados.

Revisar e criar a configuração

Se você quiser garantir que a criação de perfil não seja iniciada automaticamente depois de criar a configuração de verificação, selecione Criar verificação no modo pausado.
Essa opção é útil nos seguintes casos:
- Seu administrador do Google Cloud ainda precisa conceder acesso de criação de perfil de dados ao agente de serviço.
- Você quer criar várias configurações de verificação e quer que algumas substituam outras.
- Você optou por salvar perfis de dados no BigQuery e quer garantir que o agente de serviço tenha acesso de gravação à tabela do BigQuery em que as cópias do perfil de dados serão salvas.
- Você optou por salvar as descobertas de amostra no BigQuery e quer garantir que o agente de serviço tenha acesso de gravação à tabela do BigQuery em que as descobertas de amostra serão salvas.
- Você configurou as notificações do Pub/Sub e quer conceder acesso de publicação ao agente de serviço.
Revise suas configurações e clique em Criar.
A Proteção de Dados Sensíveis cria a configuração de verificação e a adiciona à lista de configurações de verificação de descoberta.

Para ver ou gerenciar as configurações de verificação, consulte Gerenciar configurações de verificação.

A seguir

Se você não tiver o papel de administrador da organização (roles/resourcemanager.organizationAdmin) ou administrador de segurança (roles/iam.securityAdmin), alguém com um desses papéis precisará conceder acesso à criação de perfil de dados ao seu agente de serviço.
Saiba como gerenciar perfis de dados.
Saiba como gerenciar configurações de verificação.
Saiba como receber e analisar mensagens do Pub/Sub publicadas pelo criador de perfil de dados.
Saiba como resolver problemas com perfis de dados.
Confira os limites da criação de perfil de dados.
Analise os clusters de arquivos que a descoberta de dados sensíveis pode verificar.