Los datos confidenciales, como los números de tarjetas de crédito, las claves de API, las direcciones IP y la información personal identificable (PII), a menudo se filtran de forma no intencionada, y esto puede exponer tu organización a riesgos de seguridad y de cumplimiento. Los datos confidenciales pueden encontrarse en tus datos de telemetría, como los logs de aplicación, los tramos (spans) APM, los eventos de RUM y los eventos de Event Management. También pueden trasladarse de forma no intencionada a recursos de almacenamiento en la nube cuando los equipos de ingeniería trasladan sus cargas de trabajo a la nube. Datadog Sensitive Data Scanner puede ayudar a evitar fugas de datos confidenciales y a limitar los riesgos de incumplimiento detectando, clasificando y, opcionalmente, ocultando datos confidenciales.
Nota: Consulta Cumplimiento de PCI DSS para obtener información sobre la creación de una organización de Datadog que cumpla con PCI.
Analizar datos de telemetría
Sensitive Data Scanner puede analizar tus datos en la nube o en tu entorno.
En la nube
Con Sensitive Data Scanner en la nube, envías logs y eventos al backend Datadog, por lo que los datos salen de tu entorno antes de ser redactados. Los logs y eventos se analizan y redactan en el backend Datadog durante su procesamiento, por lo que los datos confidenciales se ocultan antes de que los eventos se indexen y se muestren en la interfaz de usuario de Datadog.
Los datos que pueden analizarse y redactarse son:
- Logs: todo el contenido estructurado y no estructurado de los logs, incluyendo los valores de mensajes y atributos de logs.
- APM: sólo valores de atributos de tramo.
- RUM: sólo valores de atributos de eventos.
- Eventos: sólo valores de atributos de eventos.
Join the Preview!
El desenmascaramiento de los datos confidenciales en logs está en Vista previa. Para inscribirte, haz clic en Request Access (Solicitar acceso).
Request AccessPara utilizar Sensitive Data Scanner, configura un grupo de análisis para definir qué datos analizar y luego configura reglas de análisis para determinar qué información confidencial debe coincidir en los datos. Para las reglas de análisis puedes:
Para obtener más información, consulta Configurar Sensitive Data Scanner para datos de telemetría.
En tu entorno
Utiliza Observability Pipelines para recopilar y procesar tus logs de tu entorno y luego envía los datos a tus integraciones posteriores. Cuando configures un pipeline en Observability Pipelines, añade el procesador Sensitive Data Scanner para redactar los datos confidenciales de tus logs antes de que salgan de tus instalaciones. Puedes añadir reglas de análisis predefinidas de la biblioteca de reglas, como direcciones de correo electrónico, números de tarjetas de crédito, claves de API, tokens de autorización, direcciones IP, etc. También puedes crear tus propias reglas utilizando patrones de expresiones regulares (regex).
Para obtener más información, consulta Configurar pipelines.
Analizar el almacenamiento en la nube
Disponibilidad limitada
La compatibilidad del análisis de buckets de Amazon S3 e instancias RDS está en Disponibilidad limitada. Para inscribirte, haz clic en Request Access (Solicitar acceso).
Request AccessSi tienes Sensitive Data Scanner activado, puedes catalogar y clasificar datos confidenciales en tus buckets de Amazon S3 e instancias de RDS. Nota: Sensitive Data Scanner no redacta datos confidenciales en tus recursos de almacenamiento en la nube.
Sensitive Data Scanner analiza en busca de datos confidenciales, desplegando analizadores agentless en tus entornos en la nube. Estas instancias de análisis recuperan una lista de todos los buckets de S3 e instancias de RDS mediante configuración remota y tienen instrucciones configuradas para analizar archivos de texto (como CSV y JSON) y tablas en cada almacén de datos a lo largo del tiempo.
Sensitive Data Scanner aprovecha tu biblioteca de reglas completa para encontrar coincidencias. Cuando se encuentra una coincidencia, la instancia de análisis envía la ubicación de la coincidencia a Datadog. Nota: Los almacenes de datos y sus archivos sólo se leen en tu entorno. No se envía a Datadog ningún dato confidencial que haya sido analizado.
Además de mostrar las coincidencias de datos confidenciales, Sensitive Data Scanner muestra cualquier problema de seguridad detectado por Cloud Security que afecte a los almacenes de datos confidenciales. Puedes hacer clic en cualquier problema para continuar con la clasificación y la corrección dentro de Cloud Security.
Para obtener información sobre la configuración, consulta Configurar Sensitive Data Scanner para el almacenamiento en la nube.
Investigar problemas de datos confidenciales
Utiliza la página de resumen para ver los detalles de problemas de datos confidenciales identificados por tus reglas de análisis. Estos detalles incluyen:
- La regla de análisis específica que detectó las coincidencias, para que puedas determinar qué reglas modificar, según sea necesario.
- El grupo de análisis en el que se produjo el problema, para que puedas determinar el radio de explosión de cualquier fuga.
- El número de incidentes asociados al problema, para ayudarte a calibrar tu contexto y gravedad.
- Un gráfico de los eventos asociados al problema, para ayudarte a determinar con precisión cuándo comenzó un problema y ver cómo evolucionó.
- Casos relacionados creados para el problema.
Consulta Investigar problemas de datos confidenciales para obtener más información sobre cómo utilizar la página de resumen para clasificar problemas de datos confidenciales.
Revisar las tendencias de los datos confidenciales
Cuando se activa Sensitive Data Scanner, en tu cuenta se instala automáticamente un dashboard predefinido que resume los problemas de datos confidenciales. Para acceder a este dashboard, ve a Dashboards > Lista de dashboards y busca “Información general de Sensitive Data Scanner”.
Referencias adicionales
Más enlaces, artículos y documentación útiles:
