Mit dem Datenstandort haben Sie mehr Kontrolle darüber, wo Ihre Security Command Center-Daten gespeichert werden. Diese Seite enthält wichtige Informationen dazu, wie Security Command Center unterstützt den Datenstandort.
Für diese Seite gelten folgende Definitionen:
- Ein Standort ist eine Region oder Multi-Region in Google Cloud, die dem Speicherort Ihrer Daten entspricht.
- Die Bedeutung des Begriffs Ihre Daten entspricht der Bedeutung des Begriffs „Kundendaten“ im Element Speicherort der Daten in der Google Cloud Allgemeine Nutzungsbedingungen.
Unterstützte Speicherorte für Daten
Security Command Center unterstützt nur die folgenden Google Cloud-Multiregionen als Speicherorte der Daten:
- Europäische Union (
eu) - Die Daten befinden sich in einer beliebigen Google Cloud-Region in Mitgliedsstaaten der Europäischen Union.
- Vereinigte Staaten (
us) - Die Daten befinden sich in einer beliebigen Google Cloud-Region in den USA.
- Saudi-Arabien (KSA) (
sa) - Die Daten befinden sich in einer beliebigen Google Cloud-Region in Saudi-Arabien.
- Landesweit (
global) - Daten können sich in jeder Google Cloud-Region befinden. Wenn der Datenstandort nicht
aktiviert ist, ist „Global (
global)“ der einzige unterstützte Standort.
Weitere Informationen zu Security Command Center-Standorten finden Sie unter Verfügbare Produkte nach Standort.
Wenn Sie einen Standardspeicherort für die Datenspeicherung angeben möchten, der vom Security Command Center nicht unterstützt wird, wenden Sie sich an Ihren Account Manager oder einen Google Cloud-Vertriebsexperten.
Anforderungen an den Datenstandort
Sie können den Datenstandort nur aktivieren, wenn Sie Standard- oder Premium-Stufe von Security Command Center in einer Organisation aktivieren zum ersten Mal. Die Enterprise-Stufe unterstützt den Datenstandort nicht.
Nachdem der Datenstandort aktiviert wurde, können Sie ihn nicht mehr deaktivieren oder den Standardwert ändern. Standort. Außerdem sind Gemini-Zusammenfassungen von Ergebnissen und Angriffspfaden nicht verfügbar.
Für den Datenstandort ist die Verwendung der Security Command Center v2 API erforderlich. Wenn die Datenspeicherorte aktiviert sind, können Sie keine älteren Versionen der Security Command Center API verwenden.
Wenn Sie den Datenstandort nicht aktivieren, wenn Sie Security Command Center aktivieren, werden Ihre Daten nicht auf einen bestimmten Speicherort beschränkt und gemäß den Nutzungsbedingungen für die Google Cloud Platform gespeichert.
Regionale URLs
Für das Königreich Saudi-Arabien (KSA) müssen Sie standortspezifische URLs verwenden, um auf die Google Cloud Console für die Gerichtsbarkeit zuzugreifen, sowie einige Methoden und Befehle in der gcloud CLI, den Cloud-Clientbibliotheken und der Security Command Center API:
Console
Greifen Sie über die Google Cloud Console für die Gerichtsbarkeit auf Security Command Center zu. https://console.sa.cloud.google.com/.
Über die Google Cloud Console für die jeweilige Gerichtsbarkeit können Sie auf Security Command Center-Daten in Saudi-Arabien und weltweit zugreifen.
gcloud
Für den Zugriff auf Daten am Standort in Saudi-Arabien wird die folgende gcloud CLI Befehlsgruppen erfordern die Verwendung der regionalen Dienstendpunkt für die Security Command Center API:
gcloud scc bqexports: verwaltet BigQuery-Exportkonfigurationengcloud scc findings: Verwaltet Ergebnissegcloud scc muteconfigs: Verwaltet Konfigurationen von Ausblendungsregelngcloud scc notifications: verwaltet Konfigurationen für den kontinuierlichen Export
Darüber hinaus enthält die gcloud scc operations
Befehlsgruppe ist für lang andauernde Vorgänge in der
Standort in Saudi-Arabien. Beispielsweise können Sie den Status einer
Ergebnisse im Bulk-Verfahren ausblenden.
Für alle anderen gcloud scc-Befehlsgruppen müssen Sie den Standarddienstendpunkt für die Security Command Center API verwenden.
Führen Sie den folgenden Befehl aus, um zum regionalen Dienstendpunkt zu wechseln:
gcloud config set api_endpoint_overrides/securitycenter \
https://securitycenter.me-central2.rep.googleapis.com/
Führen Sie den folgenden Befehl aus, um zum Standarddienstendpunkt zu wechseln:
gcloud config unset api_endpoint_overrides/securitycenter
Sie können auch eine
benannte Konfiguration für
gcloud CLI, die den regionalen Dienstendpunkt verwendet, und wechseln Sie dann zu
dieser Konfiguration, bevor Sie Security Command Center-Befehle in der
Standort in Saudi-Arabien. Führen Sie den Befehl gcloud config configurations activate aus, um zu einer benannten Konfiguration zu wechseln.
REST
Für den KSA-Standort verwendet die Security Command Center API den regionalen Dienstendpunkt
https://securitycenter.me-central2.rep.googleapis.com/
Für den Zugriff auf die folgenden REST API-Ressourcentypen am KSA-Standort müssen Sie Verwenden Sie den regionalen Dienstendpunkt für Security Command Center:
folders.locations.bigQueryExportsfolders.locations.findingsfolders.locations.muteConfigsfolders.locations.notificationConfigsorganizations.locations.bigQueryExportsorganizations.locations.findingsorganizations.locations.muteConfigsorganizations.locations.notificationConfigsprojects.locations.bigQueryExportsprojects.locations.findingsprojects.locations.muteConfigsprojects.locations.notificationConfigs
Außerdem können Sie keine Methoden für
organizations.operations
Ressourcen in Saudi-Arabien. So können Sie beispielsweise den Status eines lang andauernden Vorgangs nicht prüfen, um Ergebnisse im Bulk zu stummschalten.
Für alle anderen Ressourcentypen müssen Sie den Standarddienstendpunkt für den
Security Command Center API, https://securitycenter.googleapis.com/.
Clientbibliotheken
Zum Verwalten der folgenden Ressourcentypen am Standort in Saudi-Arabien müssen Sie Folgendes überschreiben: Standarddienstendpunkt, wenn Sie einen Client für Security Command Center erstellen:
- BigQuery-Exportkonfigurationen
- Konfigurationen für kontinuierliche Exporte
- Ergebnisse
- Ausblendungsregelkonfigurationen
Verwenden Sie den Endpunkt https://securitycenter.me-central2.rep.googleapis.com für diese Ressource
Typen.
Für alle anderen Ressourcentypen müssen Sie den Standarddienstendpunkt für den
Security Command Center API, https://securitycenter.googleapis.com.
Informationen zum Überschreiben des Dienstendpunkts in den Cloud-Clientbibliotheken finden Sie in den Anleitungen für Go und Java.
Wann wird der Datenstandort erzwungen?
Wenn Sie den Datenstandort für Security Command Center aktivieren, Daten an einem bestimmten Standort gespeichert werden, wenn sie sich an einem der folgenden Orte befinden Bundesländer:
- Inaktive Daten: Alle unterstützten Standorte
- In Verwendung: nur Saudi-Arabien (
sa) - Unterwegs: nur Saudi-Arabien (
sa)
Datenstandort (im Ruhezustand)
Inaktive Daten, wenn alle der folgenden Kriterien erfüllt sind:
- Die Daten beziehen sich auf einen Ressourcentyp, der Kontrollen für den Datenstandort unterliegt.
- Sie haben keinen Vorgang angefordert, bei dem der Zugriff auf die Daten erforderlich ist.
- Auf die Daten wird nicht so zugegriffen, dass Audit-Logs oder Access Transparency-Logs generiert werden.
Wenn Sie den Datenstandort aktivieren, führt Security Command Center folgende Schritte aus:
EU, USA und weltweit
Wenn die Ergebnisdaten inaktiv sind, speichert Security Command Center sie nach Möglichkeit in Die Multiregion Google Cloud, in der sich Ihre Ressourcen befinden befindet.
Andernfalls werden ruhende Ergebnisdaten im Standardstandort, den Sie auswählen.
Wenn bestimmte Arten von Konfigurationsressourcen inaktiv sind, Security Command Center speichert sie am von Ihnen ausgewählten Standardspeicherort.
Wenn in Security Command Center Daten gespeichert werden, die keine Kundendaten sind, wie im Abschnitt Speicherort von Daten in den Allgemeinen Nutzungsbedingungen für Google Cloud definiert, werden diese im Inaktivstatus gemäß den Nutzungsbedingungen für die Google Cloud Platform gespeichert.
KSA
- Wenn ein Befund für eine Ressource erstellt wird, die sich in Saudi-Arabien befindet, wird dieser Befund immer inaktiv in Saudi-Arabien gespeichert.
- Wenn ein Ergebnis für eine Ressource erstellt wird, die sich an einem anderen Standort befindet, am ruhenden Standort in Saudi-Arabien. Sie können jedoch kann sich das Ergebnis vorübergehend in einer anderen ruhenden Region befinden.
- Wenn Sie bestimmte Arten von Konfigurationsressourcen am Standort in Saudi-Arabien erstellen und diese Ressourcen inaktiv sind, befinden sie sich am Standort in Saudi-Arabien.
-
Wenn in Security Command Center Daten gespeichert werden, die keine Kundendaten sind, wie im Abschnitt Speicherort von Daten in den Allgemeinen Nutzungsbedingungen für Google Cloud definiert, werden diese im Inaktivstatus gemäß den Nutzungsbedingungen für die Google Cloud Platform gespeichert.
Datenstandort wird verwendet
Daten sind in Verwendung, wenn alle der folgenden Kriterien erfüllt sind:
- Die Daten beziehen sich auf einen Ressourcentyp, unterliegt Datenstandortkontrollen.
- Google Cloud führt gerade einen Vorgang aus, der in Ihrem -Anfrage gesendet werden, z. B. weil Ihre Anwendung die Methode Security Command Center API oder einen Vorgang, bei dem Audit-Logs oder Access Transparency-Logs.
- Google Cloud kann die Daten so verarbeiten, erfordert eine Kenntnis der Bedeutung der Daten, z. B. durch Aktualisieren in einer Konfigurationsressource beziehen. Dies gilt auch für Fälle, in denen ist im Arbeitsspeicher unverschlüsselt.
Wenn Sie den Datenstandort aktivieren, geschieht Folgendes in Security Command Center:
EU, USA und weltweit
In der EU, in den USA und weltweit unterliegen die verwendeten Daten keinen Kontrollen hinsichtlich des Datenstandorts.
KSA
- Wenn ein Ergebnis für eine Ressource erstellt wird, die sich im Saudi-Arabien-Standort, der sich immer am selben Standort befindet verwendet wird.
- Wenn ein Ergebnis für eine Ressource erstellt wird, die sich an einem anderen Standort befindet, der gefunden wird, sich am verwendeten KSA-Standort befindet. Sie können jedoch befindet sich das Ergebnis möglicherweise vorübergehend in einer anderen Region.
- Wenn Sie bestimmte Arten von Konfigurationsressourcen im und diese Ressourcen werden verwendet, befinden sie sich in der Standort in Saudi-Arabien.
-
Wenn im Security Command Center Daten gespeichert werden, die keine Kundendaten sind, wie im Abschnitt Speicherort von Daten der Allgemeinen Nutzungsbedingungen für Google Cloud definiert, werden die verwendeten Daten gemäß den Nutzungsbedingungen der Google Cloud Platform gespeichert.
Datenstandort bei der Übertragung
Daten werden übertragen, wenn alle der folgenden Kriterien erfüllt sind:
- Die Daten beziehen sich auf einen Ressourcentyp, der Kontrollen für den Datenstandort unterliegt.
- Die Daten werden verschlüsselt im Google-Netzwerk übertragen. oder sich die Daten verschlüsselt im Speicher befinden, um innerhalb des Google-Netzwerks.
Wenn Sie den Datenstandort aktivieren, führt Security Command Center folgende Schritte aus:
EU, USA und weltweit
In der EU, in den USA und an globalen Standorten unterliegen Daten in der Übertragung nicht den Kontrollen für den Datenspeicherort.
KSA
- Wenn ein Ergebnis für eine Ressource erstellt wird, die sich im Saudi-Arabien-Standort, der sich immer am selben Standort befindet unterwegs sind.
- Wenn ein Ergebnis für eine Ressource erstellt wird, die sich an einem anderen Standort befindet, dass sich das Ergebnis während der Übertragung am Standort in Saudi-Arabien befindet. Sie können jedoch kann sich das Ergebnis während der Übertragung vorübergehend in einer anderen Region befinden.
- Wenn Sie bestimmte Arten von Konfigurationsressourcen im KSA-Standort und diese Ressourcen befinden sich in der Übertragung. Sie befinden sich am Standort in Saudi-Arabien.
-
In Fällen, in denen Security Command Center Daten speichert, die keine Kundendaten sind, wie im Element Speicherort der Daten in der Google Cloud definiert allgemeinen Nutzungsbedingungen, Security Command Center speichert die Daten bei der Übertragung gemäß den Nutzungsbedingungen der Google Cloud Platform.
Standardspeicherort für Daten
Wenn Sie den Datenstandort von Security Command Center in der EU, den USA und auf der ganzen Welt aktivieren, geben Sie einen Standardspeicherort für Security Command Center an. Sie können jeden unterstützten Speicherort als Standardspeicherort auswählen.
Security Command Center verwendet den Standardspeicherort nur zum Speichern ruhender Ergebnisse, die gelten für die folgenden Ressourcentypen:
- Ressourcen, die sich nicht an einem unterstützten Speicherort für Daten für Security Command Center
- Ressourcen, die in ihren Metadaten keinen Standort angeben
Wenn Sie Google Cloud-Ressourcen an mehreren Standorten oder
multiregional ist, können Sie den globalen Standort (global) als Ihren
Standardeinstellung.
Wenn Sie Ressourcen nur an einem einzigen Standort bereitstellen, können Sie die Mehrfachregion mit diesem Standort als Standard auswählen.
Security Command Center-Ressourcen und Datenspeicherort
In der folgenden Liste wird erläutert, wie in Security Command Center Steuerelemente für den Speicherort von Daten auf Security Command Center-Ressourcen angewendet werden. Wenn eine Ressource hier nicht aufgeführt ist, unterliegen sie keinen Kontrollen für den Datenstandort und werden gemäß den Nutzungsbedingungen von Google Cloud einhalten.
- Assets
Asset-Metadaten werden von Cloud Asset Inventory gespeichert und unterliegen keinen Kontrollen für den Datenspeicherort. Diese Daten werden gemäß den Nutzungsbedingungen der Google Cloud Platform gespeichert.
Daher werden auf der Seite Assets von Security Command Center in der Google Cloud Console immer alle Ressourcen in Ihrer Organisation, Ihrem Ordner oder Ihrem Projekt angezeigt, unabhängig von ihrem Speicherort oder dem Speicherort, den Sie in der Google Cloud Console auswählen. Wenn der Datenstandort aktiviert ist, und du die Details eines Assets aufrufst, werden auf der Seite Assets keine Informationen die sich auf das Asset auswirken.
- Angriffsrisikobewertungen und Angriffspfade
Angriffsrisikobewertungen und Angriffspfade unterliegen keinen Datenstandortkontrollen. Diese Daten werden gemäß Nutzungsbedingungen von Google Cloud einhalten.
- BigQuery-Exporte
BigQuery-Exportkonfigurationen unterliegen den Datenstandortkontrollen.
EU, USA und weltweit
Wenn Sie diese Ressourcen erstellen, geben Sie den Standort an, an dem sie sich befinden. Diese Konfigurationen gelten nur für Ergebnisse, die sich am selben Speicherort befinden.
KSA
Verwenden Sie die regionalen URLs, um diese zu erstellen und zu verwalten. Konfigurationsressourcen. Sie befinden sich zusammen mit Ihren Ergebnissen in Saudi-Arabien.
Die Security Command Center API stellt BigQuery-Export dar Konfigurationen als
BiqQueryExportRessourcen.- Kontinuierliche Exporte
Konfigurationen für den kontinuierlichen Export unterliegen den Kontrollen für den Datenstandort.
EU, USA und weltweit
Wenn Sie diese Ressourcen erstellen, geben Sie den Standort an, an dem sie sich befinden. Diese Konfigurationen gelten nur für Ergebnisse, die sich am selben Speicherort befinden.
KSA
Verwenden Sie die regionalen URLs, um diese Konfigurationsressourcen zu erstellen und zu verwalten. Sie befinden sich zusammen mit Ihren Ergebnissen in Saudi-Arabien.
Die Security Command Center API stellt Konfigurationen für kontinuierliche Exporte als
NotificationConfig-Ressourcen dar.- Ergebnisse
Die Ergebnisse unterliegen den Kontrollen für den Datenstandort.
EU, USA und weltweit
Wenn ein Ergebnis erstellt wird, befindet es sich an dem Security Command Center-Speicherort, an dem sich die betroffene Ressource befindet.
Wenn sich eine betroffene Ressource außerhalb eines unterstützten Standorts befindet oder keine Standortkennzeichnung hat, werden die Ergebnisse für die Ressource an Ihrem Standardspeicherort gespeichert.
KSA
Wenn ein Befund für eine Ressource erstellt wird, die sich in Saudi-Arabien befindet, befindet sich dieser Befund immer in Saudi-Arabien.
Wenn ein Befund für eine Ressource erstellt wird, die sich an einem anderen Speicherort befindet, wird der Befund am Speicherort des Kundenservicemitarbeiters gespeichert. Allerdings kann sich das Ergebnis zu diesem Zeitpunkt in einer anderen Region befinden, erstellt wird.
Damit sich die Ergebnisse immer am Standort in Saudi-Arabien befinden, und erstellen Sie alle Ressourcen am KSA-Standort.
- Ausblendungsregeln
Konfigurationen von Ausblendungsregeln unterliegen den Kontrollen für den Datenstandort.
EU, USA und weltweit
Wenn Sie diese Ressourcen erstellen, geben Sie den Standort an, an dem sie sich befinden. Diese Konfigurationen gelten nur für Ergebnisse, die sich am selben Speicherort befinden.
KSA
Verwenden Sie die regionalen URLs, um diese zu erstellen und zu verwalten. Konfigurationsressourcen. Sie befinden sich am Standort in Saudi-Arabien, Ergebnisse.
Die Security Command Center API stellt Konfigurationen von Ausblendungsregeln als
MuteConfig-Ressourcen dar.- Weitere Ressourcen und Einstellungen von Security Command Center
Security Command Center-Ressourcen und -Einstellungen, die hier nicht aufgeführt sind, z. B. solche, mit denen festgelegt wird, welche Dienste aktiviert oder welche Stufe aktiv ist, unterliegen nicht den Datenstandortkontrollen. Diese Daten werden gemäß den Nutzungsbedingungen der Google Cloud Platform gespeichert.
Daten an einem Standort erstellen oder ansehen
Wenn die Datenspeicherung aktiviert ist, müssen Sie einen Speicherort angeben, wenn Sie Daten erstellen oder aufrufen, die den Datenspeicherungskontrollen unterliegen. Security Command Center wählt automatisch einen Standort für Ergebnisse aus, erstellt.
Daten können jeweils nur an einem Standort erstellt oder angezeigt werden. Wenn Sie beispielsweise
werden die Ergebnisse am globalen Standort (global) aufgelistet, dann werden sie in
Standort in der Europäischen Union (eu).
Führen Sie die folgenden Schritte aus, um Daten an einem Security Command Center-Standort zu erstellen oder aufzurufen: Folgendes:
Console
EU, USA und weltweit
Rufen Sie in der Google Cloud Console das Security Command Center auf.
Wenn Sie den Speicherort der Daten ändern möchten, klicken Sie in der Aktionsleiste auf die Standortauswahl.
Eine Liste der Standorte wird angezeigt. Wählen Sie den neuen Speicherort aus.
KSA
Rufen Sie in der Google Cloud Console für den Standort in Saudi-Arabien die folgende Seite auf: Security Command Center
gcloud
EU, USA und weltweit
Verwenden Sie das Flag --location=LOCATION, wenn Sie den
Google Cloud CLI, wie im folgenden Beispiel gezeigt.
Mit dem Befehl gcloud scc findings list werden die Ergebnisse einer Organisation an einem bestimmten Ort aufgelistet.
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
-
ORGANIZATION_ID: die numerische ID der Organisation -
LOCATION: der Standort, an dem die Daten gespeichert werden zum Beispieleuoderglobal
Führen Sie den Befehl gcloud scc findings list aus:
Linux, macOS oder Cloud Shell
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
Windows (PowerShell)
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
Windows (cmd.exe)
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
Die Antwort enthält eine Liste der Ergebnisse.
KSA
Konfigurieren Sie die gcloud CLI für die Verwendung der regionalen Dienstendpunkt für die Security Command Center API:
gcloud config set api_endpoint_overrides/securitycenter \
https://securitycenter.me-central2.rep.googleapis.com/
Anschließend müssen Sie das Flag --location=sa verwenden, wenn Sie den
Google Cloud CLI, wie im folgenden Beispiel gezeigt.
Mit dem Befehl gcloud scc findings list werden die Ergebnisse einer Organisation an einem bestimmten Ort aufgelistet.
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
-
ORGANIZATION_ID: die numerische ID der Organisation
Führen Sie den
gcloud scc findings list
Befehl:
Linux, macOS oder Cloud Shell
gcloud scc findings list ORGANIZATION_ID --location=sa
Windows (PowerShell)
gcloud scc findings list ORGANIZATION_ID --location=sa
Windows (cmd.exe)
gcloud scc findings list ORGANIZATION_ID --location=sa
Die Antwort enthält eine Liste von Ergebnissen.
REST
EU, USA und weltweit
Verwenden Sie einen API-Endpunkt, der locations/LOCATION im Pfad enthält, wie im folgenden Beispiel gezeigt.
Die Methode organizations.sources.locations.findings.list der Security Command Center API listet die Ergebnisse einer Organisation an einem bestimmten Standort auf.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ORGANIZATION_ID: die numerische ID der Organisation -
LOCATION: der Standort, an dem die Daten gespeichert werden zum Beispieleuoderglobal
HTTP-Methode und URL:
GET https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält eine Liste von Ergebnissen.
KSA
Verwenden Sie den regionalen Dienstendpunkt für den KSA-Standort, um die API aufzurufen: wie im folgenden Beispiel dargestellt.
Die Security Command Center APIs
organizations.sources.locations.findings.list
werden die Ergebnisse einer Organisation an einem
bestimmten Standort aufgelistet.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ORGANIZATION_ID: die numerische ID der Organisation
HTTP-Methode und URL:
GET https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält eine Liste der Ergebnisse.
Nächste Schritte
- Hier erfahren Sie, wie Sie Security Command Center mit aktiviertem Datenstandort aktivieren.
- Aktivieren Sie Security Command Center für Ergebnisse in BigQuery streamen
- Richten Sie kontinuierliche Exporte vom Security Command Center nach Pub/Sub ein.
- Ausblendungsregel erstellen um Ergebnisse zu erhalten.