Wenn Sie den Datenstandort bei der Aktivierung von Security Command Center aktivieren möchten, finden Sie auf der Seite Informationen, die Sie wissen müssen.
Sie können die Unterstützung für den Datenstandort nur dann aktivieren, wenn Sie die Premium-Stufe von Security Command Center in einer Organisation zum ersten Mal aktivieren. Die Enterprise-Stufe unterstützt den Datenstandort nicht.
Nachdem der Datenstandort aktiviert wurde, kann er nicht mehr deaktiviert werden.
Wenn Sie den Datenstandort in Security Command Center aktivieren, speichert Security Command Center die Ergebnisse, die Ihre Daten enthalten oder darauf verweisen können, automatisch an dem Speicherort von Security Command Center, der dem Standort der Ressourcen entspricht.
Ebenso werden kontinuierliche Export-, BigQuery-Exporte und Ausblendungsregelkonfigurationen, die Ihre Daten in ihre Filter enthalten können, an dem Security Command Center-Speicherort gespeichert, an dem sie erstellt wurden, wo sie nur für die Ergebnisse an diesem Standort gelten.
Ein Ergebnis ist ein Datensatz eines Sicherheitsproblems, das einer der Security Command Center-Erkennungsdienste in Ihrer Umgebung erkannt hat. Ein Ergebniseintrag besteht aus Attributen, die das Sicherheitsproblem und die davon betroffenen Ressourcen beschreiben.
Ein Ergebnisfilter wählt Ergebnisse durch Verweis auf ihre Attribute und die Attributwerte aus. Ergebnisfilter werden in den Konfigurationen der kontinuierlichen Exporte (NotificationConfig) und der Ausblendungsregeln (muteConfig) verwendet und gespeichert.
Im Zusammenhang mit dem Datenstandort gelten die folgenden Definitionen:
- Ein Standort ist eine Google Cloud-Region oder ein Multiregion, die dem Standort entspricht, an dem Ihre Daten gespeichert sind.
- Die Bedeutung des Begriffs Ihre Daten entspricht der Bedeutung des Begriffs „Kundendaten“ im Element Speicherort der Daten in den allgemeinen Nutzungsbedingungen von Google Cloud.
Die Option zum Aktivieren des Datenstandorts ist sowohl in der Standard- als auch in der Premium-Stufe von Security Command Center verfügbar.
Unterstützte Speicherorte für Daten
Security Command Center unterstützt nur die folgenden multiregionalen Google Cloud-Regionen als Speicherort für Daten:
- Europäische Union (
eu) - Die Daten werden in jeder Google Cloud-Region innerhalb der Mitgliedstaaten der Europäischen Union gespeichert.
- Vereinigte Staaten (
us) - Die Daten werden in einer beliebigen Google Cloud-Region in den USA gespeichert.
- Landesweit (
global) - Daten können in jeder Google Cloud-Region gespeichert und verarbeitet werden. Wenn der Datenstandort nicht aktiviert ist, wird nur Global unterstützt.
Weitere Informationen zu Security Command Center-Standorten finden Sie unter Nach Standort verfügbare Produkte.
Wenn Sie einen Standardspeicherort für Datenstandort angeben müssen, der von Security Command Center nicht unterstützt wird, wenden Sie sich an Ihren Kundenbetreuer oder an einen Google Cloud-Vertriebsexperten.
Datenstandort während der Aktivierung aktivieren
Sie können den Datenstandort nur aktivieren, wenn Sie Security Command Center zum ersten Mal in einer Organisation aktivieren.
Wenn Sie den Datenstandort nicht aktivieren, wird der Standort aller Security Command Center-Ressourcen auf global festgelegt und Security Command Center schränkt das Speichern Ihrer Daten nicht auf einen bestimmten Speicherort ein.
Eine Aktivierung auf Organisationsebene ist erforderlich.
Nachdem der Datenstandort aktiviert wurde, können Sie ihn nicht mehr deaktivieren oder Ihren Standardspeicherort ändern.
Wenn Sie Security Command Center auf Projekt- oder Organisationsebene aktivieren, ohne gleichzeitig den Datenstandort zu aktivieren, können Sie den Datenstandort später nicht mehr aktivieren. Sie müssen eine neue Google Cloud-Organisation erstellen, um Security Command Center mit Datenstandort zu aktivieren.
Standardspeicherort für Daten
Wenn Sie den Datenstandort von Security Command Center aktivieren, müssen Sie nur den Standardstandort von Security Command Center angeben. Das liegt daran, dass Security Command Center je nachdem, wo Ihre Ressourcen bereitgestellt werden, den Speicherort für Ihre Daten festlegt.
Security Command Center verwendet den Standardstandort von Security Command Center nur zum Speichern von Ergebnissen, die für die folgenden Ressourcentypen gelten:
- Ressourcen, die sich nicht an einem Standort befinden, der von Security Command Center unterstützt wird
- Ressourcen, deren Metadaten keine Standortangabe enthalten
Sie können jeden unterstützten Speicherort für Daten als Standardspeicherort auswählen.
Wenn Sie ein globales Unternehmen sind, das Google Cloud-Ressourcen an mehreren Standorten oder an mehreren Regionen bereitstellt, können Sie den globalen Standort als Standard festlegen.
Wenn Ihr Unternehmen nur an einem einzigen Standort tätig ist, können Sie diesen Standort als Standardstandort für Security Command Center auswählen.
Security Command Center API und Datenstandort
Für den Datenstandort ist die Security Command Center API v2 erforderlich.
Wenn Sie die Security Command Center API verwenden, wenn der Datenstandort aktiviert ist, ist v2 die einzige verfügbare API, die Sie verwenden können.
Security Command Center-Ressourcen und Datenstandort
In der folgenden Liste wird erläutert, wie Security Command Center Datenstandortkontrollen auf die Ressourcen anwendet, die Sie bei der Arbeit mit Security Command Center verwenden:
- Assets
Asset-Metadaten unterliegen nicht der Kontrolle des Datenstandorts. Asset-Metadaten werden global in Cloud Asset Inventory gespeichert.
Aus diesem Grund werden auf der Seite Assets von Security Command Center immer alle Ressourcen in Ihrer Organisation, Ihrem Ordner oder Ihrem Projekt angezeigt, unabhängig von ihrem Standort oder dem Standort, den Sie in der Google Cloud Console-Ansicht festgelegt haben. Wenn jedoch der Datenstandort aktiviert ist und Sie die Details eines Assets aufrufen, sind auf der Seite Assets keine Informationen zu Ergebnissen verfügbar, die sich auf das Asset auswirken könnten.
- Angriffsrisikobewertungen und Angriffspfade
Angriffsrisikobewertungen und Angriffspfade unterliegen nicht der Kontrolle des Datenstandorts und werden global gespeichert.
- BigQuery-Exporte
BigQuery-Exportkonfigurationen unterliegen Datenstandortkontrollen und werden an dem Ort gespeichert, an dem sie erstellt werden. Sie gelten nur für Ergebnisse, die sich am selben Standort befinden.
- Kontinuierliche Exporte
Konfigurationen für kontinuierliche Exporte unterliegen Datenstandortkontrollen und werden an dem Ort gespeichert, an dem sie erstellt wurden. Sie gelten nur für Ergebnisse, die sich am selben Standort befinden.
- Ergebnisse
Ergebnisse unterliegen Datenstandortkontrollen und werden am Security Command Center-Standort gespeichert, an dem sich die betroffene Ressource befindet. Wenn sich eine betroffene Ressource außerhalb eines unterstützten Standorts befindet oder keine Standort-ID hat, werden alle Ergebnisse für die Ressourceninstanz an Ihrem Standardspeicherort gespeichert.
- Ausblendungsregeln
Ausblendungsregelkonfigurationen unterliegen Datenstandortkontrollen und werden an dem Ort gespeichert, an dem sie erstellt wurden. Sie gelten nur für Ergebnisse, die am selben Standort vorhanden sind.
- Security Command Center-Einstellungen
Die meisten Security Command Center-Einstellungen, mit denen beispielsweise festgelegt wird, welche Dienste aktiviert oder welche Stufe aktiv ist, unterliegen keinen Datenstandortkontrollen und werden global gespeichert. Eine Ausnahme bilden die Konfigurationseinstellungen für BigQuery-Exporte, kontinuierliche Exporte nach Pub/Sub und Ausblendungsregeln. Diese Einstellungen gelten speziell für den Ort, an dem sie erstellt werden.
Standortdaten in der Google Cloud Console ansehen
Wenn der Datenstandort aktiviert ist und Sie einen Standort in der Google Cloud Console auswählen, werden auf jeder Security Command Center-Seite Ergebnisse, Ausblendungsregeln und kontinuierliche Exporte nur vom ausgewählten Standort angezeigt.
Wenn Sie beispielsweise die globale Ansicht auswählen, sehen Sie nur globale Daten. Wenn Sie Ergebnisse, Ausblendungsregeln oder kontinuierliche Exporte aus einem anderen Speicherort sehen möchten, müssen Sie die Ansicht der Google Cloud Console in den anderen Speicherort ändern.
Speicherort der Daten nach der Aktivierung bestimmen
Der Speicherort der Ergebnisse und Konfigurationen von Security Command Center, die Ihre Daten enthalten, wird an mehreren Punkten festgelegt, nachdem der Datenstandort aktiviert wurde:
- Wenn Sie oder Security Command Center ein Ergebnis oder eine Konfiguration generieren oder erstellen.
- Wenn Sie ein Ergebnis oder eine Konfiguration ansehen oder abrufen.
Standort beim Erstellen von Konfigurationen ermitteln
Wenn Sie einen kontinuierlichen Export, BigQuery-Export oder eine Ausblendungsregel erstellen, speichert Security Command Center die resultierende Konfiguration als Ressource. Die Konfiguration eines kontinuierlichen Exports wird als NotificationConfig-Ressource, eine BigQuery-Exportkonfiguration als BiqQueryExport-Ressource und die Konfiguration einer Ausblendungsregel als MuteConfig-Ressource gespeichert.
Bevor Sie eine Exportkonfiguration oder eine Ausblendungsregel erstellen, müssen Sie den Speicherort auswählen, an dem sie erstellt werden sollen. Der ausgewählte Speicherort ist der Standort, an dem sich die Ergebnisse befinden, die Sie exportieren oder ausblenden möchten.
Legen Sie in der Google Cloud Console den entsprechenden Speicherort für die Ansicht der Google Cloud Console fest, bevor Sie eine Regel für den kontinuierlichen Export oder die Stummschaltung erstellen.
Wenn Sie kontinuierliche Exporte oder eine Ausblendungsregel mit der Security Command Center API oder der Google Cloud CLI erstellen, geben Sie den Speicherort im API-Aufruf oder im gcloud-Befehl an, mit dem Sie die notificationConfig- oder muteConfig-Konfiguration erstellen.
Weitere Informationen zum Erstellen von Konfigurationen finden Sie unter:
- Erstellen Sie einen kontinuierlichen Export:
- Erstellen Sie eine Ausblendungsregel:
Standort ermitteln, wenn Ergebnisse generiert werden
Wenn einer der Security Command Center-Dienste ein Sicherheitsproblem in Ihrer Umgebung erkennt, bestimmt Security Command Center anhand des Standorts der betroffenen Ressource, wo das Ergebnis gespeichert werden soll.
Wenn sich die betroffene Ressource an einem Speicherort für Daten befindet, der von Security Command Center unterstützt wird, speichert Security Command Center das Ergebnis am selben Speicherort.
Wenn sich die betroffene Ressource nicht an einem unterstützten Speicherort für Daten befindet oder in ihren Metadaten kein Speicherort angegeben ist, speichert Security Command Center das Ergebnis an dem Standardspeicherort, den Sie bei der Aktivierung des Datenstandorts angegeben haben.
Standort beim Aufrufen von Security Command Center-Daten ermitteln
Damit Sie die Ergebnisse, Ausblendungsregeln und kontinuierliche Exporte eines bestimmten Standorts in der Google Cloud Console ansehen können, müssen Sie zuerst die Ansicht der Google Cloud Console auf diesen Speicherort festlegen.
Den Ansichtsort legen Sie auf den meisten Security Command Center-Seiten in der Google Cloud Console in der linken oberen Ecke direkt unter der Projektauswahl fest:
Wenn für die Ansicht der Google Cloud Console ein Standort festgelegt ist, werden in der Google Cloud Console nur die Ergebnisse, Ausblendungsregeln und die fortlaufenden Exporte angezeigt, die am Standort resistent sind.
Wenn Sie Ergebnisse oder Konfigurationen mithilfe der API oder der gcloud CLI abrufen möchten, müssen Sie den Standort angeben, an dem die Ergebnisse oder Konfigurationen gespeichert werden.
Unterstützung des Datenstandorts für Features und Integrationen
Wenn der Datenstandort aktiviert ist, werden die folgenden Features, Funktionen und Integrationen mit anderen Produkten nicht unterstützt:
- KI-Zusammenfassungen
- Web Security Scanner
- Rapid Vulnerability Detection
- Terraform
Nächste Schritte
Informationen zum Aktivieren von Security Command Center mit aktiviertem Datenstandort finden Sie unter Security Command Center zum ersten Mal für eine Organisation aktivieren.