Profildaten in einer Organisation oder einem Ordner speichern

Auf dieser Seite wird beschrieben, wie Sie die Profilerstellung auf der Ebene einer Organisation oder eines Ordners konfigurieren. Informationen zum Profil eines Projekts finden Sie unter Profildaten für ein einzelnes Projekt erstellen.

Weitere Informationen zu Datenprofilen finden Sie unter Datenprofile für BigQuery-Daten.

Erstellen Sie eine Scankonfiguration, um Profildaten zu erstellen.

Hinweis

  1. Prüfen Sie, ob Sie die IAM-Berechtigungen haben, die Sie zum Konfigurieren von Datenprofilen auf Organisationsebene benötigen.

    Wenn Sie die Rolle „Organisationsadministrator“ (roles/resourcemanager.organizationAdmin) oder Sicherheitsadministrator (roles/iam.securityAdmin) nicht haben, können Sie trotzdem eine Scankonfiguration erstellen. Nachdem Sie die Scankonfiguration erstellt haben, muss Ihr Dienst-Agent anschließend Personen mit einer dieser Rollen Zugriff auf Datenprofile gewähren.

  2. Sie können Cloud DLP so konfigurieren, dass Benachrichtigungen an Cloud Pub/Sub gesendet werden, wenn bestimmte Ereignisse eintreten, z. B. wenn eine neue Tabelle von Cloud DLP erstellt wird. Wenn Sie dieses Feature verwenden möchten, müssen Sie zuerst ein Pub/Sub-Thema erstellen.

Scankonfiguration erstellen

Führen Sie die Schritte in den folgenden Abschnitten aus, um eine Scankonfiguration zu erstellen. Klicken Sie auf den jeweiligen Abschnitt am Ende auf Weiter.

  1. Rufen Sie die Seite Scankonfiguration erstellen auf.

    Zur Seite „Scankonfiguration erstellen”

  2. Rufen Sie gegebenenfalls Ihre Organisation auf. Klicken Sie in der Symbolleiste auf die Projektauswahl und wählen Sie Ihre Organisation aus.

    Screenshot der Projektauswahl in der Symbolleiste

In den folgenden Abschnitten finden Sie weitere Informationen zu den Schritten auf der Seite Scankonfiguration erstellen.

Zu scannende Ressource auswählen

Führen Sie einen der folgenden Schritte aus:

  • Wählen Sie zum Konfigurieren der Profilerstellung auf Organisationsebene die Option Gesamte Organisation scannen aus.
  • Wenn Sie die Profilerstellung auf Ebene eines Ordners konfigurieren möchten, wählen Sie Ausgewählten Ordner scannen aus. Klicken Sie dann auf Durchsuchen und wählen Sie den Ordner aus.

Zeitpläne verwalten

Wenn die Standardprofilhäufigkeit Ihren Anforderungen entspricht, können Sie diesen Abschnitt der Seite Scankonfiguration erstellen überspringen. Dieser Abschnitt ist hilfreich, wenn Sie die Häufigkeit der Profilerstellung für alle Ihre Daten oder bestimmte Teilmengen von Daten präzise anpassen möchten. Es ist auch dann nützlich, wenn für bestimmte Tabellen nie ein Profil erstellt werden soll oder wenn für sie immer wieder ein Profil erstellt werden soll.

In diesem Abschnitt erstellen Sie Filter, um bestimmte Teilmengen Ihrer Daten anzugeben, die für Sie von Interesse sind. Für diese Teilmengen legen Sie fest, ob und wie oft Cloud DLP die Tabellen profilieren soll. Hier geben Sie auch die Arten von Änderungen an, die zum Erstellen einer Tabelle mit einer Tabelle führen sollen. Abschließend geben Sie alle Bedingungen an, die jede Tabelle in den Teilmengen erfüllen muss, bevor Cloud DLP die Profilerstellung für die Tabelle beginnt.

So können Sie die Häufigkeit der Profilerstellung präzise anpassen:

  1. Klicken Sie auf Zeitplan hinzufügen.
  2. Im Abschnitt Filter definieren Sie einen oder mehrere Filter, die angeben, welche Tabellen im Zeitplanbereich sind.

    Geben Sie mindestens eine der folgenden Optionen an:

    • Eine Projekt-ID oder ein regulärer Ausdruck, der ein oder mehrere Projekte angibt.
    • Eine Dataset-ID oder ein regulärer Ausdruck, der ein oder mehrere Datasets angibt.
    • Eine Tabellen-ID oder ein regulärer Ausdruck, der eine oder mehrere Tabellen angibt.

    Reguläre Ausdrücke müssen der RE2-Syntax entsprechen.

    Sollen beispielsweise alle Tabellen in einem Projekt in den Filter aufgenommen werden, geben Sie die Projekt-ID an und lassen Sie die beiden anderen Felder leer.

    Wenn Sie weitere Filter hinzufügen möchten, klicken Sie auf Filter hinzufügen und wiederholen Sie diesen Schritt.

  3. Klicken Sie auf Häufigkeit.

  4. Geben Sie im Abschnitt Häufigkeit an, ob Cloud DLP die Tabellen definieren soll, die Sie in Ihren Filtern definiert haben, und wie oft:

    • Wenn Sie nie möchten, dass für die Tabellen ein Profil erstellt wird, deaktivieren Sie Profil erstellen.

    • Wenn Sie möchten, dass für die Tabellen mindestens ein Profil erstellt wird, lassen Sie Tabellenprofil erstellen aktiviert und gehen Sie so vor:

      1. Geben Sie im Feld Wann Schemaänderungen vorgenommen werden an, wann die Tabellen umstrukturiert werden sollen, wenn sie nach dem letzten Profilprofil Änderungen vornehmen.

        • Nicht mehr neu erstellen: Nachdem die ersten Profile erstellt wurden, ist keine erneute Profilerstellung erforderlich.
        • Tägliche Neuprofilerstellung: Alle 24 Stunden wird die Aufzeichnung neu erstellt.
        • Monatliche Neuprofilerstellung: Alle 30 Tage wird ein neues Profil erstellt.
      2. Geben Sie unter Arten von Schemaänderungen an, bei welchen Arten von Schemaänderungen ein Reprofile-Vorgang ausgelöst werden soll:

        • Neue Spalten: Erstellen Sie ein neues Profil der Tabellen, für die neue Spalten generiert wurden.
        • Entfernte Spalten: Erstellen Sie ein neues Profil für die Tabellen, aus denen Spalten entfernt wurden.

        Angenommen, Sie möchten Reprofile-Vorgänge alle 24 Stunden ausführen. Außerdem sollten Sie nur die Tabellen neu umbenennen, die mit dem letzten Profil neue Spalten gewonnen haben. Setzen Sie in diesem Fall Wenn das Schema geändert wird auf Tägliches Profil neu definieren und legen Sie als Arten von Schemaänderungen die Option Neue Spalten fest.

      3. Geben Sie im Feld Wann Tabellenänderungen vorgenommen werden an, wann die Tabellen umbenannt werden sollen, wenn sie nach dem letzten Profil noch geändert werden. Beispiele für Tabellenänderungen sind das Löschen von Zeilen und Schemaänderungen.

        • Nicht mehr neu erstellen: Nachdem die ersten Profile erstellt wurden, ist keine erneute Profilerstellung erforderlich.
        • Tägliche Neuprofilerstellung: Alle 24 Stunden wird die Aufzeichnung neu erstellt.
        • Monatliche Neuprofilerstellung: Alle 30 Tage wird ein neues Profil erstellt.

      Der Wert muss mit dem Wert übereinstimmen oder übereinstimmen, der unter Wenn Schema geändert wird festgelegt ist.

  5. Klicken Sie auf Bedingungen.

  6. Geben Sie im Abschnitt Bedingungen alle Bedingungen an, die die in Ihren Filtern definierten Tabellen erfüllen müssen, bevor Cloud DLP-Profile dafür erstellt werden. Wenn Sie Mindestbedingungen und die Zeitbedingung festlegen, erstellt Cloud DLP nur Tabellen von Profilen, die beide Bedingungstypen erfüllen.

    • Mindestbedingungen: Diese Bedingungen sind hilfreich, wenn Sie das Profil einer Tabelle so lange verschieben möchten, bis genügend Zeilen vorhanden sind oder ein bestimmtes Alter erreicht wurde. Aktivieren Sie die Bedingungen, die Sie anwenden möchten, und geben Sie die Mindestanzahl der Zeilen oder die Dauer an.
    • Zeitbedingung: Diese Bedingung ist nützlich, wenn Sie nicht möchten, dass alte Tabellen mit einem Profil verknüpft werden. Aktivieren Sie die Zeitbedingung und wählen Sie ein Datum und eine Uhrzeit aus. Alle an oder vor diesem Datum erstellten Tabellen werden aus dem Profil ausgeschlossen.

    Angenommen, Sie haben folgende Konfiguration:

    • Mindestbedingungen

      • Mindestanzahl an Zeilen: 10 Zeilen
      • Mindestdauer: 24 Stunden
    • Zeitbedingung

      • Zeitstempel: 04.05.2022, 23:59 Uhr

    In diesem Fall schließt Cloud DLP alle Tabellen aus, die am oder vor dem 4. Mai 2022, 23:59 Uhr erstellt wurden. Unter den Tabellen, die nach diesem Datum und dieser Uhrzeit erstellt wurden, sind Cloud DLP-Profile nur für Tabellen mit zehn Zeilen oder mindestens 24 Stunden verfügbar.

  7. Klicken Sie auf Fertig.

  8. Wenn Sie weitere Zeitpläne hinzufügen möchten, klicken Sie auf Zeitplan hinzufügen und wiederholen Sie die vorherigen Schritte.

  9. Wenn Sie die Zeitpläne nach Priorität sortieren möchten, verwenden Sie den -auf- und den -Abwärtspfeil. Wenn beispielsweise die Filter in zwei verschiedenen Zeitplänen mit Tabelle A übereinstimmen, hat der Zeitplan in der Prioritätsliste Vorrang.

    Der letzte Zeitplan in der Liste ist immer der mit Standardzeitplan. Dieser Standardzeitplan deckt die Tabellen in der ausgewählten Ressource (Organisation oder Ordner) ab, die mit keinem der von Ihnen erstellten Zeitpläne übereinstimmen. Dieser Standardzeitplan entspricht der Standardprofilhäufigkeit für das System.

  10. Wenn Sie den Standardzeitplan anpassen möchten, klicken Sie auf Zeitplan bearbeiten und passen Sie die Einstellungen nach Bedarf an.

Inspektionsvorlage auswählen

Wählen Sie je nachdem, wie Sie eine Inspektionskonfiguration bereitstellen möchten, eine der folgenden Optionen aus. Unabhängig von der ausgewählten Option scannt Cloud DLP Ihre Daten in der Region, in der Sie BigQuery zum Speichern dieser Daten konfiguriert haben. Ihre BigQuery-Daten behalten die Herkunftsregion.

Option 1: Inspektionsvorlage erstellen

Wählen Sie diese Option aus, wenn Sie eine neue Inspektionsvorlage in der Region global erstellen möchten.

  1. Klicken Sie auf Neue Inspektionsvorlage erstellen.
  2. Optional: Klicken Sie auf infoTypes verwalten, um die Standardauswahl von infoTypes zu ändern. Verwenden Sie den Filter, um infoTypes auszuwählen und auszuwählen. Klicken Sie dann auf Fertig.

  3. Optional: Konfigurieren Sie die Inspektionsvorlage weiter, indem Sie Regelsätze hinzufügen und einen Konfidenzschwellenwert festlegen. Weitere Informationen finden Sie unter Erkennung konfigurieren.

    Wenn Cloud DLP die Scankonfiguration erstellt, wird diese neue Inspektionsvorlage in der global-Region gespeichert.

Option 2: Vorhandene Inspektionsvorlage verwenden

Wählen Sie diese Option aus, wenn Sie bereits Inspektionsvorlagen verwenden möchten.

  1. Klicken Sie auf Vorhandene Inspektionsvorlage wählen.

  2. Geben Sie den vollständigen Ressourcennamen der Inspektionsvorlage ein, die Sie verwenden möchten. Das Feld Region wird automatisch mit dem Namen der Region ausgefüllt, in der Ihre Inspektionsvorlage gespeichert ist.

    Die von Ihnen eingegebene Inspektionsvorlage muss sich in derselben Region wie die Daten befinden, für die ein Profil erstellt werden soll. Cloud DLP verwendet eine Inspektionsvorlage außerhalb der eigenen Region, um den Datenstandort zu respektieren.

    So ermitteln Sie den vollständigen Ressourcennamen einer Inspektionsvorlage:

    1. Rufen Sie die Liste der Inspektionsvorlagen auf. Diese Seite wird in einem separaten Tab geöffnet.

      Inspektionsvorlagen aufrufen

    2. Wechseln Sie bei Bedarf zu dem Projekt, das die zu verwendende Inspektionsvorlage enthält.

    3. Klicken Sie auf dem Tab Vorlagen auf die Vorlagen-ID der Vorlage, die Sie verwenden möchten.

    4. Kopieren Sie auf der daraufhin angezeigten Seite den vollständigen Ressourcennamen der Vorlage. Der vollständige Ressourcenname hat folgendes Format:

      projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
    5. Fügen Sie auf der Seite Scankonfiguration erstellen in das Feld Vorlagenname den vollständigen Ressourcennamen der Vorlage ein.

  3. Wenn Sie Daten in einer anderen Region haben und eine Inspektionsvorlage haben, die Sie für diese Region verwenden möchten, gehen Sie so vor:

    1. Klicken Sie auf Inspektionsvorlage hinzufügen.
    2. Geben Sie den vollständigen Ressourcennamen der Inspektionsvorlage ein.

    Wiederholen Sie diese Schritte für jede Region, in der Sie eine spezielle Inspektionsvorlage haben.

  4. Optional: Fügen Sie eine Inspektionsvorlage hinzu, die in der Region global gespeichert ist. Cloud DLP verwendet diese Vorlage automatisch für Daten in Regionen, in denen Sie keine spezielle Inspektionsvorlage haben.

Scanergebnis verwalten

In den folgenden Abschnitten geben Sie Aktionen an, die Cloud DLP ausführen soll, nachdem die Datenprofile generiert wurden.

In Chronicle veröffentlichen

Messwerte aus Datenprofilen können Kontext zu Ihren Chronicle-Ergebnissen hinzufügen. Der hinzugefügte Kontext kann dir dabei helfen, die wichtigsten Sicherheitsprobleme zu ermitteln. Wenn Sie beispielsweise einen bestimmten Dienst-Agent in Chronicle untersuchen, können Sie mithilfe von Datenprofilen sehen, ob dieser Dienst-Agent Zugriff auf Tabellen mit hohen Datenrisikostufen hat.

Wenn Sie Ihre Datenprofile an Ihr Chronicle-Konto senden möchten, aktivieren Sie In Chronicle veröffentlichen.

Wenn Chronicle für Ihre Organisation aktiviert ist, hat das Aktivieren dieser Option keine Auswirkungen.

Datenprofilkopien in BigQuery speichern

Wenn Sie Datenprofilkopien in BigQuery speichern aktivieren, können Sie eine Kopie oder den Verlauf aller generierten Profile speichern. Dies kann nützlich sein, um Prüfberichte zu erstellen und Datenprofile zu visualisieren. Sie können diese Informationen auch in andere Systeme laden.

Mit dieser Option können Sie außerdem alle Ihre Datenprofile in einer einzigen Ansicht anzeigen, unabhängig davon, in welcher Region sich Ihre Daten befinden. Wenn Sie diese Option deaktivieren, können Sie die Datenprofile weiterhin in Ihrem Dashboard aufrufen. In Ihrem Dashboard wählen Sie jedoch jeweils eine Region aus und sehen nur die Datenprofile für diese Region.

So exportieren Sie Kopien der Datenprofile in eine BigQuery-Tabelle:

  1. Aktivieren Sie die Option Datenprofilkopien in BigQuery speichern.

  2. Geben Sie die Details der BigQuery-Tabelle ein, in der die Datenprofile gespeichert werden sollen:

    • Geben Sie unter Projekt-ID die ID eines vorhandenen Projekts ein, in das Sie Datenprofile exportieren möchten.

    • Geben Sie unter Dataset-ID den Namen eines vorhandenen Datasets in dem Projekt ein, in das Datenprofile exportiert werden sollen.

    • Geben Sie unter Tabellen-ID einen Namen für die BigQuery-Tabelle ein, in die die Datenprofile exportiert werden. Wenn Sie diese Tabelle nicht erstellt haben, wird sie von Cloud DLP automatisch mit dem von Ihnen angegebenen Namen erstellt.

Cloud DLP beginnt ab dem Zeitpunkt, an dem Sie diese Option aktivieren, Profile zu exportieren. Profile, die vor dem Aktivieren generiert wurden, werden nicht in BigQuery gespeichert.

In Pub/Sub veröffentlichen

Wenn Sie In Pub/Sub veröffentlichen aktivieren, können Sie programmatische Aktionen ausführen, die auf Profilergebnissen basieren. Sie können Pub/Sub-Benachrichtigungen verwenden, um einen Workflow zum Erfassen und Korrigieren von Ergebnissen mit erheblichem Datenrisiko oder erheblicher Vertraulichkeit zu entwickeln.

So senden Sie Benachrichtigungen an ein Pub/Sub-Thema:

  1. Aktivieren Sie In Pub/Sub veröffentlichen.

    Eine Liste mit Optionen wird angezeigt. Jede Option beschreibt ein Ereignis, das Cloud DLP dazu führt, dass eine Benachrichtigung an Pub/Sub gesendet wird.

  2. Wählen Sie die Ereignisse aus, die eine Pub/Sub-Benachrichtigung auslösen sollen.

    Wenn Sie Bei jeder Aktualisierung eines Profils eine Pub/Sub-Benachrichtigung senden auswählen, sendet Cloud DLP eine Benachrichtigung, wenn eine Änderung der folgenden Messwerte auf Tabellenebene vorgenommen wird:

    • Datenrisiko
    • Vertraulichkeit
    • Vorhergesagte infoTypes
    • Andere infoTypes
    • Öffentlich
    • Verschlüsselung
  3. Gehen Sie für jedes ausgewählte Ereignis so vor:

    1. Geben Sie den Namen des Themas ein. Der Name muss das folgende Format haben:

      projects/PROJECT_ID/topics/TOPIC_ID
      

      Ersetzen Sie Folgendes:

      • PROJECT_ID: Die ID des Projekts, das mit dem Pub/Sub-Thema verknüpft ist.
      • TOPIC_ID: Die ID des Pub/Sub-Themas.
    2. Geben Sie an, ob das vollständige Tabellenprofil in die Benachrichtigung aufgenommen werden soll oder nur der vollständige Ressourcenname der Tabelle, für die ein Profil erstellt wurde.

    3. Legen Sie das Mindestrisiko für Daten und die Vertraulichkeit fest, die erfüllt sein müssen, damit Cloud DLP eine Benachrichtigung senden kann.

    4. Geben Sie an, ob nur eine oder beide der Datenrisiko- und Sensitivitätsbedingungen erfüllt werden müssen. Wenn Sie beispielsweise AND auswählen, müssen sowohl das Datenrisiko als auch die Vertraulichkeitsbedingungen erfüllt sein, bevor Cloud DLP eine Benachrichtigung sendet.

Dienst-Agent-Container und Abrechnung verwalten

In diesem Abschnitt geben Sie das Projekt an, das als Dienst-Agent-Container verwendet werden soll. Sie können entweder von Cloud DLP automatisch ein neues Projekt erstellen oder ein vorhandenes auswählen.

  • Wenn Sie zum ersten Mal eine Scankonfiguration erstellen, klicken Sie auf Neues Projekt als Dienst-Agent-Container erstellen.

    Cloud DLP erstellt ein neues Projekt namens DLP Service Agent Container. Dieses Projekt ist ein reguläres Google Cloud-Projekt, das einen neuen Dienst-Agent enthält. Sie werden aufgefordert, das Konto auszuwählen, über das alle abrechenbaren Vorgänge im Zusammenhang mit diesem Projekt abgerechnet werden sollen. Dazu gehören auch Vorgänge, die nicht mit der Datenprofilerstellung zusammenhängen.

  • Wenn Sie einen Dienst-Agent-Container haben, den Sie wiederverwenden möchten, klicken Sie auf Vorhandenen Dienst-Agent-Container auswählen. Klicken Sie dann auf Durchsuchen, um die Projekt-ID des Dienst-Agents auszuwählen.

Unabhängig davon, ob Sie einen neu erstellten Dienst-Agent verwenden oder einen vorhandenen verwenden, muss dieser Lesezugriff auf die Daten haben, für die ein Profil erstellt wird. Achten Sie beim Exportieren von Profilen auf BigQuery darauf, dass Sie auch Schreibzugriff auf die Ausgabetabelle haben.

Speicherort für Konfiguration festlegen

Klicken Sie auf die Liste Ressourcenstandort und wählen Sie die Region aus, in der Sie diese Scankonfiguration speichern möchten. Alle Scankonfigurationen, die Sie später erstellen, werden auch an diesem Speicherort gespeichert.

Der Speicherort, an dem Sie die Scankonfiguration speichern, hat keinen Einfluss auf die zu scannenden Daten. Außerdem wirkt sich dies nicht darauf aus, wo die Datenprofile gespeichert werden. Die Daten werden in derselben Region gescannt, in der sie gespeichert sind (wie in BigQuery festgelegt). Weitere Informationen finden Sie unter Überlegungen zum Datenstandort.

Überprüfen und erstellen

  1. Wenn Sie die Profilerstellung nicht kurz nach dem Erstellen der Scankonfiguration starten möchten, wählen Sie Scan im pausierten Modus erstellen.

    Diese Option ist in folgenden Fällen nützlich:

    • Ihr Google Cloud-Administrator muss dem Dienst-Agent immer noch Zugriff auf Datenprofile gewähren.
    • Sie möchten mehrere Scankonfigurationen erstellen und andere sollen andere überschreiben.
    • Sie haben sich dafür entschieden, Datenprofile in BigQuery zu speichern und möchten sicherstellen, dass der Dienst-Agent Schreibzugriff auf Ihre Ausgabetabelle hat.
    • Sie haben Pub/Sub-Benachrichtigungen konfiguriert und Sie möchten dem Dienst-Agent Veröffentlichungszugriff gewähren.
  2. Prüfen Sie Ihre Einstellungen und klicken Sie auf Erstellen.

    Cloud DLP erstellt die Scankonfiguration und fügt sie der Liste der Konfigurationen hinzu.

Rufen Sie die Liste der Datenprofilkonfigurationen auf, um Ihre Scankonfigurationen aufzurufen oder zu verwalten.

Datenprofilkonfigurationen aufrufen

Wenn Ihr Dienst-Agent die Rollen hat, die für den Zugriff und die Profilerstellung für Ihre Daten erforderlich sind, beginnt Cloud DLP mit dem Scannen Ihrer Daten kurz nach dem Erstellen der Scankonfiguration. Andernfalls zeigt Cloud DLP einen Fehler an, wenn Sie die Details zur Scankonfiguration aufrufen.

Weitere Informationen