Auf dieser Seite finden Sie eine allgemeine Übersicht über die erforderlichen Maßnahmen, damit Datenprofile Ergebnisse in Security Command Center generieren. Auf dieser Seite finden Sie auch Beispielabfragen, mit denen Sie die generierten Ergebnisse finden können.
Wenn Sie Security Command Center Enterprise-Kunde sind, lesen Sie stattdessen den Hilfeartikel Erkennung sensibler Daten in der Enterprise-Ebene aktivieren.
Datenprofile
Sie können den Schutz sensibler Daten so konfigurieren, dass automatisch Profile für Daten in einer Organisation, einem Ordner oder einem Projekt generiert werden. Datenprofile enthalten Messwerte und Metadaten zu Ihren Daten und können ermitteln, wo sich sensible und risikoreiche Daten befinden. Der Schutz sensibler Daten meldet diese Messwerte auf verschiedenen Detailebenen. Informationen zu den Datentypen, die Sie profilieren können, finden Sie unter Unterstützte Ressourcen.
Vorteile der Veröffentlichung von Datenprofilen in Security Command Center
Diese Funktion bietet folgende Vorteile in Security Command Center:
Anhand der Ergebnisse des Schutzes sensibler Daten können Sie Sicherheitslücken in Ihren Ressourcen erkennen und beheben, die sensible Daten der Öffentlichkeit oder böswilligen Akteuren zugänglich machen.
Anhand dieser Informationen können Sie dem Triage-Prozess Kontext hinzufügen und Bedrohungen priorisieren, die auf Ressourcen mit vertraulichen Daten abzielen.
Sie können Security Command Center so konfigurieren, dass Ressourcen für die Simulation von Angriffspfaden automatisch priorisiert werden, je nach Vertraulichkeit der Daten, die die Ressourcen enthalten. Weitere Informationen finden Sie unter Prioritätswerte für Ressourcen automatisch anhand der Vertraulichkeit von Daten festlegen.
Erstellte Security Command Center-Ergebnisse
Wenn Sie den Discovery-Dienst so konfigurieren, dass Datenprofile in Security Command Center veröffentlicht werden, werden für jedes Tabellendatenprofil oder Dateispeicherdatenprofil die folgenden Security Command Center-Ergebnisse generiert.
Ergebnisse zu Sicherheitslücken vom Discovery-Dienst
Mit dem Sensitive Data Protection-Erkennungsdienst können Sie feststellen, ob Sie höchst sensible Daten speichern, die nicht geschützt sind.
| Kategorie | Fazit |
|---|---|
|
Kategoriename in der API:
|
Ergebnisbeschreibung: Die angegebene Ressource enthält Daten mit hoher Vertraulichkeit, auf die jeder im Internet zugreifen kann. Unterstützte Assets:
Behebung: Entfernen Sie für Google Cloud-Daten Für Amazon S3-Daten: Konfigurieren Sie die Einstellungen für den Blockieren des öffentlichen Zugriffs oder aktualisieren Sie die ACL des Objekts, um den öffentlichen Lesezugriff zu verweigern. Compliance-Standards: Nicht zugeordnet |
|
Kategoriename in der API:
|
Ergebnisbeschreibung: In Umgebungsvariablen befinden sich Geheimnisse, z. B. Passwörter, Authentifizierungstokens und Google Cloud-Anmeldedaten. Informationen zum Aktivieren dieses Detektors finden Sie in der Dokumentation zum Schutz sensibler Daten unter Geheimnisse in Umgebungsvariablen an Security Command Center melden. Unterstützte Assets: Behebung: Entfernen Sie das Secret aus der Umgebungsvariablen für Cloud Run-Funktionen und speichern Sie es stattdessen in Secret Manager. Verschieben Sie bei Umgebungsvariablen für Cloud Run-Dienstüberarbeitungen den gesamten Traffic von der Überarbeitung und löschen Sie sie dann. Compliance-Standards:
|
|
Kategoriename in der API:
|
Ergebnisbeschreibung: In der angegebenen Ressource befinden sich Secrets wie Passwörter, Authentifizierungstokens und Cloud-Anmeldedaten. Unterstützte Assets:
Behebung:
Compliance-Standards: Nicht zugeordnet |
Beobachtungsergebnisse vom Discovery-Dienst
Data sensitivity- Eine Angabe zur Vertraulichkeitsstufe der Daten in einem bestimmten Daten-Asset. Daten sind vertraulich, wenn sie personenidentifizierbare Informationen oder andere Elemente enthalten, die unter Umständen eine zusätzliche Steuerung oder Verwaltung erfordern. Die Schwere des Ergebnisses ist die Vertraulichkeitsstufe, die vom Sensitive Data Protection-Dienst beim Generieren des Datenprofils berechnet wurde.
Data risk- Das Risiko, das mit den Daten in ihrem aktuellen Zustand verbunden ist. Bei der Berechnung des Datenrisikos berücksichtigt Sensitive Data Protection die Vertraulichkeitsstufe der Daten im Daten-Asset und das Vorhandensein von Zugriffssteuerungen zum Schutz dieser Daten. Der Schweregrad des Ergebnisses ist die Datenrisikostufe, die vom Sensitive Data Protection-System beim Erstellen des Datenprofils berechnet wurde.
Latenz der Ergebnisgenerierung
Nach dem Erstellen der Datenprofile durch den Schutz sensibler Daten kann es bis zu sechs Stunden dauern, bis die zugehörigen Ergebnisse im Security Command Center angezeigt werden.
Datenprofile an Security Command Center senden
Im Folgenden finden Sie einen allgemeinen Workflow für die Veröffentlichung von Datenprofilen in Security Command Center.
Prüfen Sie die Aktivierungsstufe von Security Command Center für Ihre Organisation. Wenn Sie Datenprofile an das Security Command Center senden möchten, muss Security Command Center auf Organisationsebene und auf jeder Dienstebene aktiviert sein.
Wenn Security Command Center nur auf Projektebene aktiviert ist, werden Ergebnisse zum Schutz sensibler Daten nicht im Security Command Center angezeigt.
Wenn Security Command Center für Ihre Organisation noch nicht aktiviert ist, müssen Sie dies nachholen. Weitere Informationen finden Sie je nach Security Command Center-Dienststufe unter einem der folgenden Links:
Prüfen Sie, ob der Schutz sensibler Daten als integrierter Dienst aktiviert ist. Weitere Informationen finden Sie unter Integrierten Google Cloud-Dienst hinzufügen.
Aktivieren Sie die Erkennung, indem Sie für jede Datenquelle, die Sie scannen möchten, eine Scankonfiguration für die Erkennung erstellen. Achten Sie darauf, dass in Ihrer Scankonfiguration die Option In Security Command Center veröffentlichen aktiviert ist.
Wenn Sie eine vorhandene Konfiguration für den Discovery-Scan haben, bei der keine Datenprofile im Security Command Center veröffentlicht werden, lesen Sie auf dieser Seite den Abschnitt Veröffentlichung in Security Command Center in einer vorhandenen Konfiguration aktivieren.
Discovery mit Standardeinstellungen aktivieren
Wenn Sie die Erkennung aktivieren möchten, erstellen Sie eine Erkennungskonfiguration für jede Datenquelle, die Sie scannen möchten. Mit diesem Verfahren können Sie diese Discovery-Konfigurationen automatisch mit Standardeinstellungen erstellen. Sie können die Einstellungen nach diesem Vorgang jederzeit anpassen.
Wenn Sie die Einstellungen gleich zu Beginn anpassen möchten, lesen Sie stattdessen die folgenden Seiten:
- BigQuery-Daten in einer Organisation oder einem Ordner profilieren
- Cloud SQL-Daten in einer Organisation oder einem Ordner profilieren
- Cloud Storage-Daten in einer Organisation oder einem Ordner profilieren
- Vertex AI-Daten in einer Organisation oder einem Ordner profilieren (Vorabversion)
- Auffinden sensibler Daten in Amazon S3
- Secrets in Umgebungsvariablen an das Security Command Center melden
So aktivieren Sie die Erkennung mit den Standardeinstellungen:
Rufen Sie in der Google Cloud Console die Seite Erfassung für den Schutz sensibler Daten aktivieren auf.
Prüfen Sie, ob Sie sich die Organisation ansehen, für die Sie Security Command Center aktiviert haben.
Legen Sie im Feld Dienst-Agent-Container das Projekt fest, das als Dienst-Agent-Container verwendet werden soll. Innerhalb dieses Projekts erstellt das System einen Dienst-Agent und gewährt ihm automatisch die erforderlichen Berechtigungen für die Datenerhebung.
Wenn Sie den Discovery-Dienst bereits für Ihre Organisation verwendet haben, haben Sie möglicherweise bereits ein Dienst-Agent-Containerprojekt, das Sie wiederverwenden können.
- Wenn Sie automatisch ein Projekt erstellen möchten, das als Dienst-Agent-Container verwendet werden soll, prüfen Sie die vorgeschlagene Projekt-ID und bearbeiten Sie sie bei Bedarf. Klicken Sie dann auf Erstellen. Es kann einige Minuten dauern, bis die Berechtigungen dem Dienst-Agenten des neuen Projekts gewährt werden.
- Wenn Sie ein vorhandenes Projekt auswählen möchten, klicken Sie auf das Feld Dienst-Agent-Container und wählen Sie das Projekt aus.
Klicken Sie auf das Symbol , um die Standardeinstellungen aufzurufen.
Klicken Sie im Bereich Discovery aktivieren für jeden Discovery-Typ, den Sie aktivieren möchten, auf Aktivieren. Wenn Sie einen Erkennungstyp aktivieren, geschieht Folgendes:
- BigQuery: Erstellt eine Discovery-Konfiguration zum Profilieren von BigQuery-Tabellen in der gesamten Organisation. Der Schutz sensibler Daten beginnt mit der Erstellung von Profilen für Ihre BigQuery-Daten und sendet die Profile an Security Command Center.
- Cloud SQL: Erstellt eine Entdeckerkonfiguration zum Erstellen von Cloud SQL-Tabellenprofilen in der gesamten Organisation. Sensitive Data Protection beginnt damit, Standardverbindungen für jede Ihrer Cloud SQL-Instanzen zu erstellen. Dieser Vorgang kann einige Stunden dauern. Sobald die Standardverbindungen bereit sind, müssen Sie Sensitive Data Protection Zugriff auf Ihre Cloud SQL-Instanzen gewähren. Aktualisieren Sie dazu jede Verbindung mit den richtigen Datenbank-Nutzeranmeldedaten.
- Sicherheitslücken bei Secrets/Anmeldedaten: Hiermit wird eine Erkennungskonfiguration zum Erkennen und Melden nicht verschlüsselter Secrets in Cloud Run-Umgebungsvariablen erstellt. Der Schutz sensibler Daten beginnt mit dem Scannen Ihrer Umgebungsvariablen.
- Cloud Storage: Erstellt eine Discovery-Konfiguration zum Profilieren von Cloud Storage-Buckets in der gesamten Organisation. Der Schutz sensibler Daten beginnt mit der Erstellung von Profilen für Ihre Cloud Storage-Daten und sendet die Profile an Security Command Center.
- Vertex AI-Datasets: Hiermit wird eine Discovery-Konfiguration zum Profilieren von Vertex AI-Datasets in der gesamten Organisation erstellt. Der Schutz sensibler Daten beginnt mit der Erstellung von Profilen für Ihre Vertex AI-Datasets und sendet die Profile an Security Command Center.
Amazon S3: Hiermit wird eine Discovery-Konfiguration zum Erstellen von Amazon S3-Datenprofilen für die gesamte Organisation, ein einzelnes S3-Konto oder einen einzelnen Bucket erstellt.
Klicken Sie auf Zur Erkennungskonfiguration, um die neu erstellten Erkennungskonfigurationen aufzurufen.
Wenn Sie die Cloud SQL-Erkennung aktiviert haben, wird die Erkennungskonfiguration im Pausiermodus erstellt und es werden Fehler angezeigt, die auf fehlende Anmeldedaten hinweisen. Weitere Informationen finden Sie unter Verbindungen für die Verwendung mit der Erkennung verwalten. Dort erfahren Sie, wie Sie Ihrem Servicemitarbeiter die erforderlichen IAM-Rollen zuweisen und Anmeldedaten für Datenbanknutzer für jede Cloud SQL-Instanz angeben.
Schließen Sie den Bereich.
Veröffentlichung in Security Command Center in einer vorhandenen Konfiguration aktivieren
Wenn Sie eine vorhandene Konfiguration für Suchscans haben, bei der die Ergebnisse nicht im Security Command Center veröffentlicht werden, gehen Sie so vor:
Aktivieren Sie im Bereich Aktionen die Option In Security Command Center veröffentlichen.
Klicken Sie auf Speichern.
Ergebnisse im Security Command Center zu Datenprofilen abfragen
Im Folgenden finden Sie Beispielabfragen, mit denen Sie relevante Data
sensitivity- und Data risk-Ergebnisse in Security Command Center finden. Sie können diese Abfragen in das Feld Abfrageeditor eingeben. Weitere Informationen zum Abfrageeditor finden Sie unter Ergebnisabfrage im Dashboard von Security Command Center bearbeiten.
Alle Data sensitivity- und Data risk-Ergebnisse für eine bestimmte BigQuery-Tabelle auflisten
Diese Abfrage ist beispielsweise nützlich, wenn im Security Command Center ein Ereignis erkannt wird, bei dem eine BigQuery-Tabelle in einem anderen Projekt gespeichert wurde. In diesem Fall wird ein Exfiltration: BigQuery Data
Exfiltration-Ergebnis generiert, das den vollständigen angezeigten Namen der Tabelle enthält, die ausgeschleust wurde. Sie können nach allen Data sensitivity- und Data risk-Ergebnissen suchen, die sich auf die Tabelle beziehen. Sehen Sie sich die berechneten Vertraulichkeits- und Datenrisikostufen für die Tabelle an und planen Sie Ihre Reaktion entsprechend.
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"
Ersetzen Sie Folgendes:
- PROJECT_ID: die ID des Projekts, das die BigQuery-Tabelle enthält
- DATASET_ID: die Dataset-ID der Tabelle
- TABLE_ID: Die ID der Tabelle
Alle Data sensitivity- und Data risk-Ergebnisse für eine bestimmte Cloud SQL-Instanz auflisten
Diese Abfrage ist beispielsweise nützlich, wenn Security Command Center ein Ereignis erkennt, bei dem Live-Daten einer Cloud SQL-Instanz in einen Cloud Storage-Bucket außerhalb der Organisation exportiert wurden. In diesem Fall wird ein Exfiltration: Cloud SQL Data
Exfiltration-Ereignis generiert, das den vollständigen Ressourcennamen der gehackten Instanz enthält. Sie können nach allen Data sensitivity- und Data risk-Ergebnissen suchen, die sich auf die Instanz beziehen. Sehen Sie sich die berechneten Vertraulichkeits- und Datenrisikostufen für die Instanz an und planen Sie Ihre Reaktion entsprechend.
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"
Ersetzen Sie Folgendes:
- INSTANCE_NAME: ein Teil des Namens der Cloud SQL-Instanz
Alle Data risk- und Data sensitivity-Ergebnisse mit dem Schweregrad High auflisten
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"
Nächste Schritte
- Weitere Informationen zum automatischen Festlegen von Prioritätswerten für Ressourcen anhand der Vertraulichkeit von Daten in Security Command Center
- Informationen zum Melden von Secrets in Umgebungsvariablen an Security Command Center