Cette page présente une vue d'ensemble des actions que vous devez effectuer si vous souhaitez que les profils de données génèrent des résultats dans Security Command Center. Cette page fournit également des exemples de requêtes que vous pouvez utiliser pour trouver les résultats générés.
Si vous êtes client Security Command Center Enterprise, consultez plutôt Activer la découverte des données sensibles au niveau de l'entreprise dans la documentation Security Command Center.
À propos des profils de données
Vous pouvez configurer la protection des données sensibles pour générer automatiquement des profils sur les données au sein d'une organisation, d'un dossier ou d'un projet. Les profils de données contiennent des métriques et des métadonnées sur vos données, et vous permettent de déterminer l'emplacement des données sensibles et à haut risque. La protection des données sensibles signale ces métriques à différents niveaux de détail. Pour en savoir plus sur les types de données que vous pouvez profiler, consultez la section Ressources compatibles.
Avantages de la publication de profils de données dans Security Command Center
Cette fonctionnalité offre les avantages suivants dans Security Command Center:
Vous pouvez utiliser les résultats de la protection des données sensibles pour identifier et corriger les vulnérabilités de vos ressources qui peuvent exposer des données sensibles au public ou à des acteurs malveillants.
Vous pouvez utiliser ces résultats pour ajouter du contexte au processus de tri et hiérarchiser les menaces qui ciblent des ressources contenant des données sensibles.
Vous pouvez configurer Security Command Center pour qu'il hiérarchise automatiquement les ressources de la fonctionnalité de simulation de chemin d'attaque en fonction de la sensibilité des données qu'elles contiennent. Pour en savoir plus, consultez la section Définir automatiquement les valeurs de priorité des ressources en fonction de la sensibilité des données.
Résultats générés par Security Command Center
Lorsque vous configurez le service de découverte pour publier des profils de données dans Security Command Center, chaque profil de données de table ou de stockage de fichiers génère les résultats Security Command Center suivants.
Résultats de failles du service de découverte
Le service de découverte Sensitive Data Protection vous aide à déterminer si vous stockez des données hautement sensibles qui ne sont pas protégées.
Catégorie | Résumé |
---|---|
Nom de la catégorie dans l'API:
|
Description du résultat: La ressource spécifiée contient des données hautement sensibles auxquelles n'importe qui peut accéder sur Internet. Composants compatibles:
Correction: Pour les données Google Cloud, supprimez Pour les données Amazon S3, configurez les paramètres de blocage de l'accès public ou mettez à jour la LCA de l'objet pour refuser l'accès en lecture public. Normes de conformité: non mappées |
Nom de la catégorie dans l'API:
|
Description du résultat: Des secrets (mots de passe, jetons d'authentification et identifiants Google Cloud, par exemple) sont présents dans les variables d'environnement. Pour activer ce détecteur, consultez la section Signaler les secrets dans les variables d'environnement à Security Command Center dans la documentation sur Sensitive Data Protection. Composants compatibles: Correction: Pour les variables d'environnement des fonctions Cloud Run, supprimez le secret de la variable d'environnement et stockez-le dans Secret Manager à la place. Pour les variables d'environnement de révision du service Cloud Run, déplacez tout le trafic hors de la révision, puis supprimez-la. Normes de conformité:
|
Nom de la catégorie dans l'API:
|
Description du résultat: la ressource spécifiée contient des secrets (mots de passe, jetons d'authentification et identifiants cloud, par exemple). Composants compatibles:
Correction:
Normes de conformité: non mappées |
Résultats des observations du service de découverte
Data sensitivity
- Indique le niveau de sensibilité des données d'un élément de données spécifique. Les données sont sensibles si elles contiennent des informations permettant d'identifier personnellement les utilisateurs ou d'autres éléments qui peuvent nécessiter un contrôle ou une gestion supplémentaires. La gravité de la découverte correspond au niveau de sensibilité calculé par Sensitive Data Protection lors de la génération du profil de données.
Data risk
- Risque associé aux données dans leur état actuel. Lors du calcul du risque de données, la protection des données sensibles tient compte du niveau de sensibilité des données de l'élément de données et de la présence de contrôles d'accès pour protéger ces données. La gravité de l'anomalie correspond au niveau de risque lié aux données calculé par Sensitive Data Protection lors de la génération du profil de données.
Latence de génération de résultats
À partir du moment où Sensitive Data Protection génère les profils de données, l'affichage des résultats associés dans Security Command Center peut prendre jusqu'à six heures.
Envoyer des profils de données à Security Command Center
Voici un workflow général pour publier des profils de données dans Security Command Center.
Vérifiez le niveau d'activation de Security Command Center pour votre organisation. Pour envoyer des profils de données à Security Command Center, vous devez activer Security Command Center au niveau de l'organisation, à n'importe quel niveau de service.
Si Security Command Center est activé au niveau du projet uniquement, les résultats de la protection des données sensibles n'apparaissent pas dans Security Command Center.
Si Security Command Center n'est pas activé pour votre organisation, vous devez l'activer. Pour en savoir plus, consultez l'un des articles suivants, en fonction de votre niveau de service Security Command Center:
Vérifiez que la protection des données sensibles est activée en tant que service intégré. Pour en savoir plus, consultez Ajouter un service intégré Google Cloud.
Activez la découverte en créant une configuration d'analyse de découverte pour chaque source de données que vous souhaitez analyser. Dans la configuration de l'analyse, veillez à laisser l'option Publier dans Security Command Center activée.
Si vous disposez d'une configuration d'analyse de découverte existante qui ne publie pas de profils de données dans Security Command Center, consultez la section Activer la publication dans Security Command Center dans une configuration existante sur cette page.
Activer la découverte avec les paramètres par défaut
Pour activer la découverte, vous devez créer une configuration de découverte pour chaque source de données que vous souhaitez analyser. Cette procédure vous permet de créer automatiquement ces configurations de découverte à l'aide des paramètres par défaut. Vous pouvez personnaliser les paramètres à tout moment après avoir effectué cette procédure.
Si vous souhaitez personnaliser les paramètres dès le départ, consultez plutôt les pages suivantes:
- Profiler les données BigQuery d'une organisation ou d'un dossier
- Profiler les données Cloud SQL d'une organisation ou d'un dossier
- Profiler les données Cloud Storage d'une organisation ou d'un dossier
- Profiler les données Vertex AI d'une organisation ou d'un dossier (Preview)
- Détection de données sensibles pour Amazon S3
- Signaler des secrets dans des variables d'environnement à Security Command Center
Pour activer la découverte avec les paramètres par défaut, procédez comme suit:
Dans la console Google Cloud, accédez à la page Activer la découverte de la protection des données sensibles.
Vérifiez que vous consultez l'organisation pour laquelle vous avez activé Security Command Center.
Dans le champ Conteneur d'agent de service, définissez le projet à utiliser en tant que conteneur d'agent de service. Dans ce projet, le système crée un agent de service et lui accorde automatiquement les autorisations de découverte requises.
Si vous avez déjà utilisé le service de découverte pour votre organisation, vous disposez peut-être déjà d'un projet de conteneur d'agent de service que vous pouvez réutiliser.
- Pour créer automatiquement un projet à utiliser comme conteneur d'agent de service, examinez l'ID de projet suggéré et modifiez-le si nécessaire. Cliquez ensuite sur Créer. L'octroi des autorisations à l'agent de service du nouveau projet peut prendre quelques minutes.
- Pour sélectionner un projet existant, cliquez sur le champ Service agent container (Conteneur de l'agent de service) et sélectionnez le projet.
Pour consulter les paramètres par défaut, cliquez sur l'icône de développement
.Dans la section Activer la découverte, cliquez sur Activer pour chaque type de découverte que vous souhaitez activer. L'activation d'un type de découverte a les effets suivants:
- BigQuery: crée une configuration de découverte pour le profilage des tables BigQuery dans l'ensemble de l'organisation. La protection des données sensibles commence à profiler vos données BigQuery et envoie les profils à Security Command Center.
- Cloud SQL: crée une configuration de découverte pour le profilage des tables Cloud SQL dans l'ensemble de l'organisation. Sensitive Data Protection commence à créer des connexions par défaut pour chacune de vos instances Cloud SQL. Ce processus peut prendre quelques heures. Lorsque les connexions par défaut sont prêtes, vous devez autoriser Sensitive Data Protection à accéder à vos instances Cloud SQL en mettant à jour chaque connexion avec les identifiants de l'utilisateur de la base de données appropriés.
- Failles liées aux secrets et aux identifiants: crée une configuration de découverte pour détecter et signaler les secrets non chiffrés dans les variables d'environnement Cloud Run. La protection des données sensibles commence à analyser vos variables d'environnement.
- Cloud Storage: crée une configuration de découverte pour le profilage des buckets Cloud Storage dans l'ensemble de l'organisation. La protection des données sensibles commence à profiler vos données Cloud Storage et envoie les profils à Security Command Center.
- Ensembles de données Vertex AI: crée une configuration de découverte pour le profilage des ensembles de données Vertex AI dans l'ensemble de l'organisation. Le service de protection des données sensibles commence à profiler vos ensembles de données Vertex AI et envoie les profils à Security Command Center.
Amazon S3: crée une configuration de découverte pour le profilage des données Amazon S3 dans l'organisation, un seul compte S3 ou un seul bucket.
Pour afficher les configurations de découverte nouvellement créées, cliquez sur Accéder à la configuration de découverte.
Si vous avez activé la découverte Cloud SQL, la configuration de découverte est créée en mode suspendu avec des erreurs indiquant l'absence d'identifiants. Consultez la section Gérer les connexions à utiliser avec la découverte pour attribuer les rôles IAM requis à votre agent de service et fournir des identifiants utilisateur de base de données pour chaque instance Cloud SQL.
Fermez le volet.
Activer la publication dans Security Command Center dans une configuration existante
Si vous disposez d'une configuration d'analyse de découverte existante qui n'est pas définie pour publier les résultats de la découverte dans Security Command Center, procédez comme suit:
Dans la section Actions, activez Publier dans Security Command Center.
Cliquez sur Enregistrer.
Interroger les résultats de Security Command Center liés aux profils de données
Vous trouverez ci-dessous des exemples de requêtes que vous pouvez utiliser pour trouver des résultats Data
sensitivity
et Data risk
pertinents dans Security Command Center. Vous pouvez saisir ces requêtes dans le champ Query editor (Éditeur de requête). Pour en savoir plus sur l'éditeur de requêtes, consultez Modifier une requête de résultats dans le tableau de bord Security Command Center.
Lister tous les résultats Data sensitivity
et Data risk
pour une table BigQuery spécifique
Cette requête est utile, par exemple, si Security Command Center détecte un événement où une table BigQuery a été enregistrée dans un autre projet. Dans ce cas, un résultat Exfiltration: BigQuery Data
Exfiltration
est généré et contient le nom à afficher complet de la table qui a été exfiltrée. Vous pouvez rechercher tous les résultats Data sensitivity
et Data risk
liés au tableau. Consultez les niveaux de sensibilité et de risque liés aux données calculés pour la table, puis planifiez votre réponse en conséquence.
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"
Remplacez les éléments suivants :
- PROJECT_ID: ID du projet contenant la table BigQuery
- DATASET_ID: ID de l'ensemble de données de la table
- TABLE_ID : ID de la table
Lister toutes les observations Data sensitivity
et Data risk
pour une instance Cloud SQL spécifique
Cette requête est utile, par exemple, si Security Command Center détecte un événement où des données d'instance Cloud SQL en direct ont été exportées vers un bucket Cloud Storage en dehors de l'organisation. Dans ce cas, une découverte Exfiltration: Cloud SQL Data
Exfiltration
est générée et contient le nom complet de la ressource de l'instance qui a été exfiltrée. Vous pouvez rechercher toutes les découvertes Data sensitivity
et Data risk
liées à l'instance. Consultez les niveaux de sensibilité et de risque liés aux données calculés pour l'instance, puis planifiez votre réponse en conséquence.
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"
Remplacez les éléments suivants :
- INSTANCE_NAME: partie du nom de l'instance Cloud SQL
Lister tous les résultats Data risk
et Data sensitivity
avec un niveau de gravité High
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"
Étape suivante
- Découvrez comment définir automatiquement les valeurs de priorité des ressources en fonction de la sensibilité des données dans Security Command Center.
- Découvrez comment signaler la présence de secrets dans les variables d'environnement à Security Command Center.