Publique perfis de dados no Security Command Center

Esta página oferece uma vista geral de nível elevado das ações que tem de realizar se quiser que os perfis de dados gerem resultados no Security Command Center. Esta página também oferece exemplos de consultas que pode usar para encontrar as conclusões geradas.

Se for cliente do Security Command Center Enterprise, consulte o artigo Ative a deteção de dados confidenciais no nível Enterprise na documentação do Security Command Center.

Acerca dos perfis de dados

Pode configurar a proteção de dados confidenciais para gerar automaticamente perfis sobre dados numa organização, pasta ou projeto. Os perfis de dados contêm métricas e metadados sobre os seus dados e ajudam a determinar onde residem os dados confidenciais e de alto risco. A proteção de dados confidenciais comunica estas métricas a vários níveis de detalhe. Para obter informações sobre os tipos de dados que pode criar perfis, consulte o artigo Recursos suportados.

Vantagens da publicação de perfis de dados no Security Command Center

Esta funcionalidade oferece as seguintes vantagens no Security Command Center:

Resultados do Security Command Center gerados

Quando configura o serviço de deteção para publicar perfis de dados no Security Command Center, cada perfil de dados de tabela ou perfil de dados de arquivo gera as seguintes conclusões do Security Command Center.

Resultados de vulnerabilidades do serviço de deteção

O serviço de deteção da Proteção de dados confidenciais ajuda a determinar se está a armazenar dados altamente confidenciais que não estão protegidos.

Categoria Resumo

Nome da categoria na API:

PUBLIC_SENSITIVE_DATA

Descrição da descoberta: o recurso especificado tem dados de alta sensibilidade que podem ser acedidos por qualquer pessoa na Internet.

Recursos suportados:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Contentor do Amazon S3
  • Contentor do armazenamento de blobs do Azure

Remediação:

Para os dados, remova allUsers e allAuthenticatedUsers da política IAM do recurso de dados. Google Cloud

Para dados do Amazon S3, configure as definições de bloqueio do acesso público ou atualize a ACL do objeto para negar o acesso público de leitura. Para mais informações, consulte os artigos Configurar definições de bloqueio de acesso público para os seus contentores S3 e Configurar ACLs na documentação da AWS.

Para dados do Azure Blob Storage, remova o acesso público ao contentor e aos blobs. Para mais informações, consulte a Vista geral: Corrigir o acesso de leitura anónimo aos dados de blobs na documentação do Azure.

Normas de conformidade: não mapeadas

Nome da categoria na API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Descrição da localização: existem segredos, como palavras-passe, tokens de autenticação e Google Cloud credenciais, nas variáveis de ambiente.

Para ativar este detetor, consulte o artigo Comunique segredos em variáveis de ambiente ao Security Command Center na documentação do Sensitive Data Protection.

Recursos suportados:

Remediação:

Para as variáveis de ambiente das funções do Cloud Run, remova o segredo da variável de ambiente e armazene-o no Secret Manager.

Para as variáveis de ambiente da revisão do serviço do Cloud Run, mova todo o tráfego da revisão e, em seguida, elimine a revisão.

Normas de conformidade:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Nome da categoria na API:

SECRETS_IN_STORAGE

Descrição da descoberta: existem segredos, como palavras-passe, tokens de autenticação e credenciais da nuvem, no recurso especificado.

Recursos suportados:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Contentor do Amazon S3
  • Contentor do armazenamento de blobs do Azure

Remediação:

  1. Para Google Cloud dados, use a proteção de dados confidenciais para executar uma análise de inspeção detalhada do recurso especificado para identificar todos os recursos afetados. Para dados do Cloud SQL, exporte esses dados para um ficheiro CSV ou AVRO num contentor do Cloud Storage e execute uma análise de inspeção detalhada do contentor.

    Para dados de outros fornecedores de nuvem, inspecione manualmente o contentor ou o bucket especificado.

  2. Remova os segredos detetados.
  3. Considere repor as credenciais.
  4. Para os Google Cloud dados, considere armazenar os segredos detetados no Secret Manager.

Normas de conformidade: não mapeadas

Resultados de configuração incorreta do serviço de deteção

O serviço de deteção da proteção de dados confidenciais ajuda a determinar se tem configurações incorretas que possam expor dados confidenciais.

Categoria Resumo

Nome da categoria na API:

SENSITIVE_DATA_CMEK_DISABLED

Descrição da descoberta: o recurso especificado tem dados de sensibilidade elevada ou moderada e não está a usar uma chave de encriptação gerida pelo cliente (CMEK).

Recursos suportados:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Contentor do Amazon S3
  • Contentor do armazenamento de blobs do Azure

Remediação:

Normas de conformidade: não mapeadas

Conclusões de observação do serviço de deteção

Data sensitivity
Uma indicação do nível de sensibilidade dos dados num recurso de dados específico. Os dados são confidenciais se contiverem PII ou outros elementos que possam exigir controlo ou gestão adicionais. A gravidade da descoberta é o nível de sensibilidade que a proteção de dados confidenciais calculou ao gerar o perfil de dados.
Data risk
O risco associado aos dados no respetivo estado atual. Ao calcular o risco de dados, a Proteção de dados confidenciais considera o nível de sensibilidade dos dados no recurso de dados e a presença de controlos de acesso para proteger esses dados. A gravidade da descoberta é o nível de risco de dados que a Proteção de dados confidenciais calculou ao gerar o perfil de dados.

Latência de geração de resultados da pesquisa

Consoante a dimensão da sua organização, as conclusões da Proteção de dados confidenciais podem começar a ser apresentadas no Security Command Center alguns minutos após ativar a deteção de dados confidenciais. Para organizações maiores ou organizações com configurações específicas que afetam a geração de resultados, pode demorar até 12 horas antes de os resultados iniciais aparecerem no Security Command Center.

Posteriormente, a Proteção de dados confidenciais gera resultados no Security Command Center alguns minutos após o serviço de deteção analisar os seus recursos.

Envie perfis de dados para o Security Command Center

Segue-se um fluxo de trabalho de nível elevado para publicar perfis de dados no Security Command Center.

  1. Verifique o nível de ativação do Security Command Center para a sua organização. Para enviar perfis de dados para o Security Command Center, tem de ter o Security Command Center ativado ao nível da organização, em qualquer nível de serviço.

    Se o Security Command Center estiver ativado apenas ao nível do projeto, as conclusões da Proteção de dados confidenciais não aparecem no Security Command Center.

  2. Se o Security Command Center não estiver ativado para a sua organização, tem de o ativar. Para mais informações, consulte um dos seguintes artigos, consoante o seu nível de serviço do Security Command Center:

  3. Confirme se a proteção de dados confidenciais está ativada como um serviço integrado. Para mais informações, consulte o artigo Adicione um serviço integrado. Google Cloud

  4. Ative a descoberta criando uma configuração de procura de descoberta para cada origem de dados que quer procurar. Na configuração da análise, certifique-se de que mantém a opção Publicar no Security Command Center ativada.

    Se tiver uma configuração de análise de deteção existente que não publique perfis de dados no Security Command Center, consulte a secção Ative a publicação no Security Command Center numa configuração existente nesta página.

Ative a descoberta com as predefinições

Para ativar a descoberta, cria uma configuração de descoberta para cada origem de dados que quer analisar. Este procedimento permite-lhe criar essas configurações de descoberta automaticamente através das definições predefinidas. Pode personalizar as definições em qualquer altura após realizar este procedimento.

Se quiser personalizar as definições desde o início, consulte as seguintes páginas:

Para ativar a deteção com as predefinições, siga estes passos:

  1. Na Google Cloud consola, aceda à página de proteção de dados confidenciais Ativar deteção.

    Aceda a Ativar descoberta

  2. Verifique se está a ver a organização na qual ativou o Security Command Center.

  3. No campo Contentor do agente de serviço, defina o projeto a usar como um contentor do agente de serviço. Neste projeto, o sistema cria um agente de serviço e concede-lhe automaticamente as autorizações de deteção necessárias.

    Se usou anteriormente o serviço de deteção para a sua organização, pode já ter um projeto de contentor do agente de serviço que pode reutilizar.

    • Para criar automaticamente um projeto para usar como contentor do agente de serviço, reveja o ID do projeto sugerido e edite-o conforme necessário. Em seguida, clique em Criar. Pode demorar alguns minutos até que as autorizações sejam concedidas ao agente do serviço do novo projeto.
    • Para selecionar um projeto existente, clique no campo Contentor do agente de serviço e selecione o projeto.

  4. Para rever as predefinições, clique no ícone para expandir.

  5. Na secção Ativar descoberta, para cada tipo de descoberta que quer ativar, clique em Ativar. A ativação de um tipo de descoberta faz o seguinte:

    • BigQuery: cria uma configuração de deteção para a criação de perfis de tabelas do BigQuery na organização. A proteção de dados confidenciais começa a criar perfis dos seus dados do BigQuery e envia os perfis para o Security Command Center.
    • Cloud SQL: cria uma configuração de deteção para a criação de perfis de tabelas do Cloud SQL na organização. A Proteção de dados confidenciais começa a criar ligações predefinidas para cada uma das suas instâncias do Cloud SQL. Este processo pode demorar algumas horas. Quando as associações predefinidas estiverem prontas, tem de conceder ao Sensitive Data Protection acesso às suas instâncias do Cloud SQL atualizando cada associação com as credenciais de utilizador da base de dados adequadas.
    • Vulnerabilidades de informações secretas/credenciais: cria uma configuração de deteção para detetar e comunicar informações secretas não encriptadas nas variáveis de ambiente do Cloud Run. A Proteção de dados confidenciais começa a analisar as variáveis de ambiente.
    • Cloud Storage: cria uma configuração de descoberta para a criação de perfis de contentores do Cloud Storage em toda a organização. A proteção de dados confidenciais começa a criar perfis dos seus dados do Cloud Storage e envia os perfis para o Security Command Center.
    • Conjuntos de dados do Vertex AI: cria uma configuração de deteção para a criação de perfis de conjuntos de dados do Vertex AI em toda a organização. A proteção de dados confidenciais começa a criar perfis dos seus conjuntos de dados do Vertex AI e envia os perfis para o Security Command Center.

    • Amazon S3: cria uma configuração de deteção para criar perfis de todos os dados do Amazon S3 aos quais o conector da AWS tem acesso.

    • Armazenamento de blobs do Azure: cria uma configuração de deteção para a criação de perfis de todos os dados do armazenamento de blobs do Azure aos quais o conetor do Azure tem acesso.

  6. Para ver as configurações de descoberta recém-criadas, clique em Aceder à configuração de descoberta.

    Se ativou a deteção do Cloud SQL, a configuração de deteção é criada no modo pausado com erros que indicam a ausência de credenciais. Consulte o artigo Gerir ligações para utilização com a deteção para conceder as funções do IAM necessárias ao seu agente de serviço e para fornecer credenciais de utilizador da base de dados para cada instância do Cloud SQL.

  7. Feche o painel.

Ative a publicação no Security Command Center numa configuração existente

Se tiver uma configuração de análise de deteção existente que não esteja definida para publicar os resultados da deteção no Security Command Center, siga estes passos:

  1. Abra a configuração da análise para edição.

  2. Na secção Ações, ative a opção Publicar no Security Command Center.

  3. Clique em Guardar.

Consulte as conclusões do Security Command Center relacionadas com perfis de dados

Seguem-se exemplos de consultas que pode usar para encontrar resultados relevantes de Data sensitivity e Data risk no Security Command Center. Pode introduzir estas consultas no campo Editor de consultas. Para mais informações sobre o editor de consultas, consulte o artigo Edite uma consulta de resultados no painel de controlo do Security Command Center.

Liste todas as descobertas Data sensitivity e Data risk para uma tabela específica do BigQuery

Esta consulta é ��til, por exemplo, se o Security Command Center detetar um evento em que uma tabela do BigQuery foi guardada num projeto diferente. Neste caso, é gerada uma descoberta Exfiltration: BigQuery Data Exfiltration e contém o nome a apresentar completo da tabela que foi exfiltrada. Pode pesquisar quaisquer Data sensitivity e Data risk descobertas relacionadas com a tabela. Veja os níveis de sensibilidade e risco de dados calculados para a tabela e planeie a sua resposta em conformidade.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"

Substitua o seguinte:

  • PROJECT_ID: o ID do projeto que contém a tabela do BigQuery
  • DATASET_ID: o ID do conjunto de dados da tabela
  • TABLE_ID: o ID da tabela

Liste todas as descobertas de Data sensitivity e Data risk para uma instância específica do Cloud SQL

Esta consulta é útil, por exemplo, se o Security Command Center detetar um evento em que os dados da instância do Cloud SQL em direto foram exportados para um contentor do Cloud Storage fora da organização. Neste caso, é gerada uma descoberta Exfiltration: Cloud SQL Data Exfiltration e contém o nome completo do recurso da instância que foi exfiltrada. Pode pesquisar quaisquer Data sensitivity e Data risk descobertas relacionadas com a instância. Veja os níveis de sensibilidade e risco de dados calculados para a instância e planeie a sua resposta em conformidade.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"

Substitua o seguinte:

  • INSTANCE_NAME: uma parte do nome da instância do Cloud SQL

Liste todas as conclusões Data risk e Data sensitivity com um nível de gravidade High

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"

O que se segue?