En esta página se ofrece una descripción general de las acciones que debe llevar a cabo si quiere que los perfiles de datos generen resultados en Security Command Center. En esta página también se proporcionan consultas de ejemplo que puedes usar para encontrar los resultados generados.
Si eres cliente de Security Command Center Enterprise, consulta el artículo Habilitar la detección de datos sensibles en el nivel Enterprise de la documentación de Security Command Center.
Acerca de los perfiles de datos
Puedes configurar Protección de Datos Sensibles para que genere automáticamente perfiles sobre los datos de una organización, una carpeta o un proyecto. Los perfiles de datos contienen métricas y metadatos sobre tus datos, y te ayudan a determinar dónde se encuentran los datos sensibles y de alto riesgo. Protección de Datos Sensibles genera informes de estas métricas con distintos niveles de detalle. Para obtener información sobre los tipos de datos que puede perfilar, consulte Recursos admitidos.
Ventajas de publicar perfiles de datos en Security Command Center
Esta función ofrece las siguientes ventajas en Security Command Center:
Puedes usar los resultados de Protección de Datos Sensibles para identificar y corregir vulnerabilidades y configuraciones incorrectas en tus recursos que puedan exponer datos sensibles al público o a agentes perniciosos.
Puedes usar estos resultados para añadir contexto al proceso de triaje y priorizar las amenazas dirigidas a recursos que contengan datos sensibles.
Puedes configurar Security Command Center para que priorice automáticamente los recursos de la simulación de ruta de ataque en función de la sensibilidad de los datos que contengan. Para obtener más información, consulta Definir automáticamente los valores de prioridad de los recursos según la sensibilidad de los datos.
Resultados generados por Security Command Center
Cuando configura el servicio de descubrimiento para publicar perfiles de datos en Security Command Center, cada perfil de datos de tabla o de archivo genera los siguientes resultados de Security Command Center.
Vulnerabilidades detectadas por el servicio de descubrimiento
El servicio de descubrimiento de Protección de Datos Sensibles te ayuda a determinar si almacenas datos altamente sensibles que no están protegidos.
| Categoría | Resumen |
|---|---|
|
Descripción del hallazgo: el recurso especificado tiene datos de alta sensibilidad a los que puede acceder cualquier usuario de Internet. Recursos admitidos:
Corrección: Para los datos de Google Cloud , quite En el caso de los datos de Amazon S3, configure los ajustes de bloqueo del acceso público o actualice la LCA del objeto para denegar el acceso de lectura público. Para obtener más información, consulta los artículos Configurar los ajustes de bloqueo del acceso público para los buckets de S3 y Configurar ACLs en la documentación de AWS. En el caso de los datos de Azure Blob Storage, elimina el acceso público al contenedor y a los blobs. Para obtener más información, consulta el artículo Información general: corregir el acceso de lectura anónimo a datos de blob de la documentación de Azure. Estándares de cumplimiento: no asignado |
|
Descripción del problema: hay secretos, como contraseñas, tokens de autenticación y Google Cloud credenciales, en variables de entorno. Para habilitar este detector, consulta el artículo Informar de secretos en variables de entorno a Security Command Center de la documentación de Protección de Datos Sensibles. Recursos admitidos: Corrección: En el caso de las variables de entorno de las funciones de Cloud Run, elimina el secreto de la variable de entorno y almacénalo en Secret Manager. En el caso de las variables de entorno de la revisión del servicio de Cloud Run, desvía todo el tráfico de la revisión y, a continuación, elimina la revisión. Estándares de cumplimiento:
|
|
Descripción del hallazgo: hay secretos, como contraseñas, tokens de autenticación y credenciales de nube, en el recurso especificado. Recursos admitidos:
Corrección:
Estándares de cumplimiento: no asignado |
Resultados de configuraciones erróneas del servicio de descubrimiento
El servicio de descubrimiento de Protección de Datos Sensibles te ayuda a determinar si tienes configuraciones incorrectas que puedan exponer datos sensibles.
| Categoría | Resumen |
|---|---|
|
Descripción de la detección: el recurso especificado tiene datos de alta o media sensibilidad y no usa una clave de encriptado gestionada por el cliente (CMEK). Recursos admitidos:
Corrección:
Estándares de cumplimiento: no asignado |
Resultados de las observaciones del servicio de descubrimiento
Data sensitivity- Indica el nivel de sensibilidad de los datos de un recurso de datos concreto. Los datos son sensibles si contienen IIP u otros elementos que pueden requerir controles o gestión adicionales. La gravedad de la detección es el nivel de sensibilidad que Protección de Datos Sensibles ha calculado al generar el perfil de datos.
Data risk- El riesgo asociado a los datos en su estado actual. Al calcular el riesgo de los datos, Protección de Datos Sensibles tiene en cuenta el nivel de sensibilidad de los datos del recurso de datos y la presencia de controles de acceso para proteger esos datos. La gravedad del hallazgo es el nivel de riesgo de los datos que Protección de Datos Sensibles ha calculado al generar el perfil de datos.
Buscar la latencia de generación
En función del tamaño de tu organización, los resultados de Protección de Datos Sensibles pueden empezar a aparecer en Security Command Center unos minutos después de habilitar la detección de datos sensibles. En el caso de las organizaciones más grandes o de las que tienen configuraciones específicas que afectan a la generación de resultados, pueden pasar hasta 12 horas antes de que aparezcan los primeros resultados en Security Command Center.
Después, Protección de Datos Sensibles genera resultados en Security Command Center unos minutos después de que el servicio de descubrimiento analice tus recursos.
Enviar perfiles de datos a Security Command Center
A continuación, se muestra un flujo de trabajo general para publicar perfiles de datos en Security Command Center.
Comprueba el nivel de activación de Security Command Center en tu organización. Para enviar perfiles de datos a Security Command Center, debes tener activado Security Command Center a nivel de organización, en cualquier nivel de servicio.
Si Security Command Center solo está activado a nivel de proyecto, los resultados de Protección de Datos Sensibles no aparecerán en Security Command Center.
Si Security Command Center no está activado en tu organización, debes activarlo. Para obtener más información, consulta uno de los siguientes artículos, en función de tu nivel de servicio de Security Command Center:
Confirma que Protección de datos sensibles esté habilitado como servicio integrado. Para obtener más información, consulta Añadir un servicio integrado. Google Cloud
Para habilitar el descubrimiento, cree una configuración de análisis de descubrimiento para cada fuente de datos que quiera analizar. En la configuración del análisis, asegúrate de que la opción Publicar en Security Command Center esté habilitada.
Si tienes una configuración de análisis de descubrimiento que no publica perfiles de datos en Security Command Center, consulta la sección Habilitar la publicación en Security Command Center en una configuración ya creada de esta página.
Habilitar el descubrimiento con los ajustes predeterminados
Para habilitar la detección, debe crear una configuración de detección para cada fuente de datos que quiera analizar. Este procedimiento te permite crear esas configuraciones de descubrimiento automáticamente con los ajustes predeterminados. Puedes personalizar los ajustes en cualquier momento después de realizar este procedimiento.
Si quieres personalizar los ajustes desde el principio, consulta las siguientes páginas:
- Crear perfiles de datos de BigQuery en una organización o carpeta
- Crear perfiles de datos de Cloud SQL en una organización o carpeta
- Crear perfiles de datos de Cloud Storage en una organización o carpeta
- Crear perfiles de datos de Vertex AI en una organización o carpeta
- Descubrimiento de datos sensibles en Amazon S3
- Informar de secretos en variables de entorno a Security Command Center
Para habilitar la detección con la configuración predeterminada, sigue estos pasos:
En la consola de Google Cloud , ve a la página Protección de datos sensibles Habilitar descubrimiento.
Comprueba que estás viendo la organización en la que has activado Security Command Center.
En el campo Contenedor de agente de servicio, define el proyecto que se va a usar como contenedor de agente de servicio. En este proyecto, el sistema crea un agente de servicio y le otorga automáticamente los permisos de descubrimiento necesarios.
Si ya has usado el servicio de descubrimiento en tu organización, es posible que ya tengas un proyecto de contenedor de agente de servicio que puedas reutilizar.
- Para crear automáticamente un proyecto que se usará como contenedor del agente de servicio, revisa el ID de proyecto sugerido y edítalo si es necesario. A continuación, haz clic en Crear. Los permisos pueden tardar unos minutos en concederse al agente de servicio del nuevo proyecto.
- Para seleccionar un proyecto, haz clic en el campo Contenedor del agente de servicio y selecciona el proyecto.
Para revisar la configuración predeterminada, haga clic en el icono de expansión.
En la sección Habilitar Discovery, haz clic en Habilitar junto a cada tipo de Discovery que quieras habilitar. Si habilitas un tipo de descubrimiento, ocurrirá lo siguiente:
- BigQuery crea una configuración de descubrimiento para crear perfiles de tablas de BigQuery en toda la organización. Protección de Datos Sensibles empieza a crear perfiles de tus datos de BigQuery y los envía a Security Command Center.
- Cloud SQL: crea una configuración de descubrimiento para crear perfiles de tablas de Cloud SQL en toda la organización. Protección de Datos Sensibles empieza a crear conexiones predeterminadas para cada una de tus instancias de Cloud SQL. Este proceso puede tardar unas horas. Cuando las conexiones predeterminadas estén listas, debes dar acceso a Protección de Datos Sensibles a tus instancias de Cloud SQL actualizando cada conexión con las credenciales de usuario de base de datos adecuadas.
- Vulnerabilidades de secretos o credenciales: crea una configuración de descubrimiento para detectar y registrar secretos sin cifrar en variables de entorno de Cloud Run. Protección de Datos Sensibles empieza a analizar tus variables de entorno.
- Cloud Storage: crea una configuración de descubrimiento para crear perfiles de segmentos de Cloud Storage en toda la organización. La protección de datos sensibles empieza a crear perfiles de tus datos de Cloud Storage y los envía a Security Command Center.
- Conjuntos de datos de Vertex AI: crea una configuración de descubrimiento para crear perfiles de conjuntos de datos de Vertex AI de toda la organización. Protección de Datos Sensibles empieza a crear perfiles de tus conjuntos de datos de Vertex AI y los envía a Security Command Center.
Amazon S3: crea una configuración de descubrimiento para crear perfiles de todos los datos de Amazon S3 a los que tiene acceso tu conector de AWS.
Azure Blob Storage: crea una configuración de detección para crear perfiles de todos los datos de Azure Blob Storage a los que tenga acceso tu conector de Azure.
Para ver las configuraciones de descubrimiento que acabas de crear, haz clic en Ir a la configuración de descubrimiento.
Si has habilitado la detección de Cloud SQL, la configuración de detección se crea en modo Pausado con errores que indican la ausencia de credenciales. Consulta Gestionar conexiones para usar con Discovery para asignar los roles de gestión de identidades y accesos necesarios a tu agente de servicio y proporcionar las credenciales de usuario de la base de datos de cada instancia de Cloud SQL.
Cierra el panel.
Habilitar la publicación en Security Command Center en una configuración
Si tienes una configuración de análisis de descubrimiento que no está configurada para publicar los resultados de descubrimiento en Security Command Center, sigue estos pasos:
En la sección Acciones, habilita Publicar en Security Command Center.
Haz clic en Guardar.
Consultar resultados de Security Command Center relacionados con perfiles de datos
A continuación, se muestran consultas de ejemplo que puede usar para encontrar resultados relevantes de Data
sensitivity y Data risk en Security Command Center. Puede introducir estas consultas en el campo Editor de consultas. Para obtener más información sobre el editor de consultas, consulta el artículo Editar una consulta de resultados en el panel de control de Security Command Center.
Lista todos los resultados de Data sensitivity y Data risk de una tabla de BigQuery concreta
Esta consulta es útil, por ejemplo, si Security Command Center detecta un evento en el que se ha guardado una tabla de BigQuery en otro proyecto. En este caso, se genera un resultado Exfiltration: BigQuery Data
Exfiltration, que contiene el nombre visible completo de la tabla que se ha filtrado. Puedes buscar cualquier Data sensitivity y Data risk
hallazgo relacionado con la tabla. Consulta los niveles de sensibilidad y riesgo de los datos calculados de la tabla y planifica tu respuesta en consecuencia.
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"
Haz los cambios siguientes:
- PROJECT_ID: el ID del proyecto que contiene la tabla de BigQuery
- DATASET_ID: el ID del conjunto de datos de la tabla
- TABLE_ID: el ID de la tabla
Lista de todos los resultados de Data sensitivity y Data risk de una instancia de Cloud SQL concreta
Esta consulta es útil, por ejemplo, si Security Command Center detecta un evento en el que se han exportado datos de una instancia de Cloud SQL activa a un segmento de Cloud Storage fuera de la organización. En este caso, se genera un Exfiltration: Cloud SQL Data
Exfiltration
resultado, que contiene el nombre completo del recurso de la instancia
que se ha filtrado. Puedes buscar cualquier Data sensitivity y Data risk
hallazgo relacionado con la instancia. Consulta los niveles de sensibilidad y riesgo de los datos calculados de la instancia y planifica tu respuesta en consecuencia.
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"
Haz los cambios siguientes:
- INSTANCE_NAME: una parte del nombre de la instancia de Cloud SQL
Mostrar todos los resultados de Data risk y Data sensitivity con un nivel de gravedad High
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"
Siguientes pasos
- Consulta cómo definir automáticamente los valores de prioridad de los recursos según la sensibilidad de los datos en Security Command Center.
- Consulta cómo informar de la presencia de secretos en variables de entorno a Security Command Center.