Pubblicare i profili di dati in Security Command Center

Questa pagina fornisce una panoramica generale delle azioni che devi intraprendere se vuoi che i profili di dati generino risultati in Security Command Center. Questa pagina fornisce inoltre query di esempio che puoi utilizzare per trovare i risultati generati.

Se sei un cliente di Security Command Center Enterprise, consulta Abilitare il rilevamento dei dati sensibili nel livello Enterprise nella documentazione di Security Command Center.

Informazioni sui profili di dati

Puoi configurare Sensitive Data Protection in modo che generi automaticamente profili dei dati in un'organizzazione, una cartella o un progetto. I profili di dati contengono metriche e metadati sui tuoi dati e ti aiutano a determinare dove si trovano i dati sensibili e ad alto rischio. Sensitive Data Protection genera report su queste metriche a vari livelli di dettaglio. Per informazioni sui tipi di dati che puoi profilare, consulta Risorse supportate.

Vantaggi della pubblicazione dei profili di dati in Security Command Center

Questa funzionalità offre i seguenti vantaggi in Security Command Center:

Risultati di Security Command Center generati

Quando configuri il servizio di rilevamento per pubblicare i profili di dati in Security Command Center, ogni profilo di dati di tabella o profilo di dati del repository di file genera i seguenti risultati di Security Command Center.

Risultati relativi alle vulnerabilità del servizio di discovery

Il servizio di rilevamento Sensitive Data Protection ti aiuta a determinare se stai archiviando dati altamente sensibili non protetti.

Categoria Riepilogo

Public sensitive data

Nome della categoria nell'API:

PUBLIC_SENSITIVE_DATA

Descrizione del rilevamento: la risorsa specificata contiene dati con sensibilità elevata a cui chiunque può accedere su internet.

Asset supportati:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3

Correzione:

Per i dati di Google Cloud, rimuovi allUsers e allAuthenticatedUsers dal criterio IAM della risorsa dati.

Per i dati di Amazon S3, configura le impostazioni di blocco dell'accesso pubblico o aggiorna l'ACL dell'oggetto per negare l'accesso in lettura pubblico.

Standard di conformità: non mappato

Secrets in environment variables

Nome della categoria nell'API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Descrizione del problema: nelle variabili di ambiente sono presenti secret, come passwords, token di autenticazione e credenziali Google Cloud.

Per attivare questo rilevatore, consulta Segnalare i secret nelle variabili di ambiente a Security Command Center nella documentazione di Sensitive Data Protection.

Asset supportati:

Correzione:

Per le variabili di ambiente delle funzioni Cloud Run, rimuovi il secret dalla variabile di ambiente e memorizzalo in Secret Manager.

Per le variabili di ambiente della revisione del servizio Cloud Run, sposta tutto il traffico dalla revisione ed eliminala.

Standard di conformità:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Secrets in storage

Nome della categoria nell'API:

SECRETS_IN_STORAGE

Descrizione del problema: nella risorsa specificata sono presenti secret, come password, token di autenticazione e credenziali cloud.

Asset supportati:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3

Correzione:

  1. Per i dati di Google Cloud, utilizza Sensitive Data Protection per eseguire una scansione approfondita della risorsa specificata per identificare tutte le risorse interessate. Per i dati Cloud SQL, esportali in un file CSV o Avro in un bucket Cloud Storage ed esegui una scansione approfondita del bucket.

    Per i dati Amazon S3, controlla manualmente il bucket specificato.

  2. Rimuovi gli secret rilevati.
  3. Valuta la possibilità di reimpostare le credenziali.
  4. Per i dati di Google Cloud, ti consigliamo di archiviare gli secret rilevati in Secret Manager.

Standard di conformità: non mappato

Risultati dell'osservazione del servizio di discovery

Data sensitivity
Un'indicazione del livello di sensibilità dei dati in una determinata risorsa di dati. I dati sono sensibili se contengono PII o altri elementi che potrebbero richiedere un controllo o una gestione aggiuntivi. La gravità del rilevamento corrisponde al livello di sensibilità calcolato da Sensitive Data Protection durante la generazione del profilo dei dati.
Data risk
Il rischio associato ai dati nel loro stato attuale. Durante il calcolo del rischio per i dati, la funzionalità Protezione dei dati sensibili prende in considerazione il livello di sensibilità dei dati nell'asset dati e la presenza di controlli di accesso per proteggerli. La gravità del rilevamento corrisponde al livello di rischio dei dati calcolato da Sensitive Data Protection durante la generazione del profilo dei dati.

Trovare la latenza di generazione

Dal momento in cui Sensitive Data Protection genera i profili dei dati, possono essere necessarie fino a sei ore prima che i risultati associati vengano visualizzati in Security Command Center.

Inviare i profili di dati a Security Command Center

Di seguito è riportato un flusso di lavoro di alto livello per la pubblicazione dei profili di dati in Security Command Center.

  1. Controlla il livello di attivazione di Security Command Center per la tua organizzazione. Per inviare i profili di dati a Security Command Center, devi avere attivato Security Command Center a livello di organizzazione, in qualsiasi livello di servizio.

    Se Security Command Center è attivato solo a livello di progetto, i risultati di Sensitive Data Protection non verranno visualizzati in Security Command Center.

  2. Se Security Command Center non è attivato per la tua organizzazione, devi attivarlo. Per ulteriori informazioni, consulta una delle seguenti risorse, a seconda del livello di servizio di Security Command Center:

  3. Verifica che Sensitive Data Protection sia attivato come servizio integrato. Per ulteriori informazioni, vedi Aggiungere un servizio integrato di Google Cloud.

  4. Attiva il rilevamento creando una configurazione di scansione del rilevamento per ogni origine dati che vuoi scansionare. Nella configurazione della scansione, assicurati di mantenere attiva l'opzione Pubblica su Security Command Center.

    Se hai già una configurazione di scansione di rilevamento che non pubblica i profili di dati in Security Command Center, consulta Abilitare la pubblicazione in Security Command Center in una configurazione esistente in questa pagina.

Attivare il rilevamento con le impostazioni predefinite

Per attivare il rilevamento, devi creare una configurazione di rilevamento per ogni origine dati che vuoi analizzare. Questa procedura ti consente di creare automaticamente queste configurazioni di visibilità utilizzando le impostazioni predefinite. Puoi personalizzare le impostazioni in qualsiasi momento dopo aver eseguito questa procedura.

Se vuoi personalizzare le impostazioni fin dall'inizio, consulta invece le seguenti pagine:

Per attivare il rilevamento con le impostazioni predefinite:

  1. Nella console Google Cloud, vai alla pagina Abilita il rilevamento di Sensitive Data Protection.

    Vai ad Abilita rilevamento

  2. Verifica di visualizzare l'organizzazione in cui hai attivato Security Command Center.

  3. Nel campo Container dell'agente di servizio, imposta il progetto da utilizzare come container dell'agente di servizio. All'interno di questo progetto, il sistema crea un agente di servizio e gli concede automaticamente le autorizzazioni di rilevamento richieste.

    Se in precedenza hai utilizzato il servizio di rilevamento per la tua organizzazione, potresti già avere un progetto di contenitore dell'agente di servizio che puoi riutilizzare.

    • Per creare automaticamente un progetto da utilizzare come contenitore dell'agente di servizio, esamina l'ID progetto suggerito e modificalo in base alle tue esigenze. Quindi, fai clic su Crea. L'assegnazione delle autorizzazioni all'agente di servizio del nuovo progetto potrebbe richiedere alcuni minuti.
    • Per selezionare un progetto esistente, fai clic sul campo Container dell'agente di servizio e seleziona il progetto.
  4. Per rivedere le impostazioni predefinite, fai clic sull'icona di espansione .

  5. Nella sezione Attiva la scoperta, fai clic su Attiva per ogni tipo di scoperta che vuoi attivare. L'attivazione di un tipo di rilevamento comporta quanto segue:

    • BigQuery: crea una configurazione di rilevamento per il profiling delle tabelle BigQuery nell'intera organizzazione. Sensitive Data Protection inizia a creare il profilo dei tuoi dati BigQuery e invia i profili a Security Command Center.
    • Cloud SQL: crea una configurazione di rilevamento per il profiling delle tabelle Cloud SQL nell'organizzazione. Sensitive Data Protection inizia a creare connessioni predefinite per ciascuna delle tue istanze Cloud SQL. Questa procedura può richiedere alcune ore. Quando le connessioni predefinite sono pronte, devi concedere a Sensitive Data Protection l'accesso alle tue istanze Cloud SQL aggiornando ogni connessione con le credenziali utente del database appropriate.
    • Vulnerabilità di secret/credenziali: crea una configurazione di rilevamento per rilevare e segnalare i secret non criptati nelle variabili di ambiente Cloud Run. Sensitive Data Protection inizia a eseguire la scansione delle variabili di ambiente.
    • Cloud Storage: crea una configurazione di rilevamento per il profiling dei bucket Cloud Storage nell'intera organizzazione. Sensitive Data Protection inizia a creare il profilo dei tuoi dati di Cloud Storage e invia i profili a Security Command Center.
    • Set di dati Vertex AI: crea una configurazione di rilevamento per il profiling dei set di dati Vertex AI nell'organizzazione. Sensitive Data Protection inizia a creare il profilo dei set di dati Vertex AI e invia i profili a Security Command Center.
    • Amazon S3: crea una configurazione di rilevamento per creare il profilo dei dati di Amazon S3 nell'intera organizzazione, in un singolo account S3 o in un singolo bucket.

  6. Per visualizzare le configurazioni di rilevamento appena create, fai clic su Vai alla configurazione del rilevamento.

    Se hai attivato il rilevamento Cloud SQL, la configurazione del rilevamento viene creata in modalità in pausa con errori che indicano l'assenza di credenziali. Consulta Gestire le connessioni per l'utilizzo con la scoperta per concedere i ruoli IAM richiesti all'agente di servizio e per fornire le credenziali utente del database per ogni istanza Cloud SQL.

  7. Chiudi il riquadro.

Attivare la pubblicazione in Security Command Center in una configurazione esistente

Se hai già una configurazione di scansione di rilevamento che non è impostata per pubblicare i risultati di rilevamento in Security Command Center, segui questi passaggi:

  1. Apri la configurazione della ricerca per modificarla.

  2. Nella sezione Azioni, abilita Pubblica su Security Command Center.

  3. Fai clic su Salva.

Esegui query sui risultati di Security Command Center relativi ai profili di dati

Di seguito sono riportate alcune query di esempio che puoi utilizzare per trovare risultati Data sensitivity e Data risk pertinenti in Security Command Center. Puoi inserire queste query nel campo Editor di query. Per ulteriori informazioni sull'editor di query, vedi Modificare una query sui risultati nella dashboard di Security Command Center.

Elenca tutti i risultati Data sensitivity e Data risk per una determinata tabella BigQuery

Questa query è utile, ad esempio, se Security Command Center rileva un evento in cui una tabella BigQuery è stata salvata in un altro progetto. In questo caso viene generato un Exfiltration: BigQuery Data Exfiltration risultato che contiene il nome visualizzato completo della tabella che è stata esfiltrata. Puoi cercare eventuali risultati Data sensitivity e Data risk correlati alla tabella. Visualizza i livelli di sensibilità e rischio per i dati calcolati per la tabella e pianifica la tua risposta di conseguenza.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto che contiene la tabella BigQuery
  • DATASET_ID: l'ID set di dati della tabella
  • TABLE_ID: l'ID della tabella

Elenca tutti i risultati Data sensitivity e Data risk per una determinata istanza Cloud SQL

Questa query è utile, ad esempio, se Security Command Center rileva un evento in cui i dati delle istanze Cloud SQL in tempo reale sono stati esportati in un bucket Cloud Storage esterno all'organizzazione. In questo caso, viene generato un Exfiltration: Cloud SQL Data Exfiltration risultato che contiene il nome completo della risorsa dell'istanza che è stata esfiltrata. Puoi cercare eventuali risultati Data sensitivity e Data risk correlati all'istanza. Visualizza i livelli di sensibilità e rischio per i dati calcolati per l'istanza e pianifica la tua risposta di conseguenza.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"

Sostituisci quanto segue:

  • INSTANCE_NAME: una parte del nome dell'istanza Cloud SQL

Elenca tutti i risultati Data risk e Data sensitivity con un livello di gravità High

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"

Passaggi successivi