Wenn Sie den Datenstandort beim Aktivieren von Security Command Center aktivieren möchten, finden Sie auf dieser Seite wichtige Informationen.
Sie können die Unterstützung für den Datenstandort nur aktivieren, wenn Sie die Standard- oder Premium-Stufe von Security Command Center zum ersten Mal in einer Organisation aktivieren. Die Enterprise-Stufe unterstützt keine Datenstandorte.
Nachdem der Datenstandort aktiviert wurde, kann er nicht mehr deaktiviert werden.
Wenn Sie den Datenstandort in Security Command Center aktivieren, speichert Security Command Center die Ergebnisse, die Ihre Daten enthalten oder darauf verweisen können, automatisch an dem Security Command Center-Speicherort, der dem Standort der Ressourcen entspricht.
Kontinuierlicher Export, BigQuery-Exporte und Ausblendungsregelkonfigurationen, bei denen Ihre Daten in ihren Filtern enthalten sein können, werden an dem Security Command Center-Speicherort gespeichert, an dem sie erstellt wurden. Sie gelten nur für die Ergebnisse an diesem Standort.
Ein Ergebnis ist ein Datensatz eines Sicherheitsproblems, das einer der Security Command Center-Erkennungsdienste in Ihrer Umgebung erkannt hat. Ein Ergebnisdatensatz besteht aus Attributen, die das Sicherheitsproblem und die davon betroffenen Ressourcen beschreiben.
Mit einem Suchfilter werden Ergebnisse ausgewählt, indem auf ihre Attribute und die Attributwerte verwiesen wird. Ergebnisfilter werden in den Konfigurationen von kontinuierlichen Exporten (NotificationConfig) und Ausblendungsregeln (muteConfig) verwendet und gespeichert.
Im Zusammenhang mit dem Datenstandort gelten die folgenden Definitionen:
- Ein Standort ist eine Google Cloud-Region oder Multiregion, die dem Standort entspricht, an dem Ihre Daten gespeichert sind.
- Die Bedeutung des Begriffs Ihre Daten entspricht der Bedeutung des Begriffs „Kundendaten“ im Punkt Speicherort der Daten in den allgemeinen Nutzungsbedingungen von Google Cloud.
Die Option zum Aktivieren des Datenstandorts ist sowohl für die Standard- als auch für die Premium-Stufe von Security Command Center verfügbar.
Unterstützte Speicherorte für Daten
Security Command Center unterstützt nur die folgenden Google Cloud-Multiregionen als Datenstandort:
- Europäische Union (
eu) - Daten werden in einer beliebigen Google Cloud-Region in Mitgliedstaaten der Europäischen Union gespeichert.
- Vereinigte Staaten (
us) - Die Daten werden in jeder Google Cloud-Region in den USA gespeichert.
- Landesweit (
global) - Daten können in jeder Google Cloud-Region gespeichert oder verarbeitet werden. Wenn der Datenstandort nicht aktiviert ist, wird nur Global unterstützt.
Weitere Informationen zu Security Command Center-Standorten finden Sie unter Nach Standort verfügbare Produkte.
Wenn Sie einen Standardspeicherort für den Datenstandort angeben müssen, der von Security Command Center nicht unterstützt wird, wenden Sie sich an Ihren Kundenbetreuer oder einen Google Cloud-Vertriebsexperten.
Datenstandort während der Aktivierung aktivieren
Sie können den Datenstandort nur aktivieren, wenn Sie Security Command Center zum ersten Mal in einer Organisation aktivieren.
Wenn Sie den Datenstandort nicht aktivieren, wird der Standort aller Security Command Center-Ressourcen auf global festgelegt und Security Command Center schränkt die Speicherung Ihrer Daten nicht auf einen bestimmten Speicherort ein.
Eine Aktivierung auf Organisationsebene ist erforderlich.
Nachdem der Datenstandort aktiviert wurde, können Sie ihn nicht mehr deaktivieren oder Ihren Standardspeicherort ändern.
Wenn Sie Security Command Center auf Projekt- oder Organisationsebene aktivieren, ohne gleichzeitig den Datenstandort zu aktivieren, können Sie den Datenstandort später nicht in Security Command Center aktivieren. Sie müssen eine neue Google Cloud-Organisation erstellen, um Security Command Center mit Datenstandort zu aktivieren.
Standardspeicherort für Daten
Wenn Sie den Datenstandort von Security Command Center aktivieren, müssen Sie nur den Standardspeicherort von Security Command Center angeben. Das liegt daran, dass Security Command Center bestimmt, wo Ihre Daten gespeichert werden müssen, je nachdem, wo Ihre Ressourcen bereitgestellt werden.
Security Command Center verwendet den Security Command Center-Standardstandort nur zum Speichern von Ergebnissen, die für die folgenden Arten von Ressourcen gelten:
- Ressourcen, die sich nicht an einem von Security Command Center unterstützten Standort befinden
- Ressourcen, deren Metadaten keine Standortangabe enthalten
Sie können einen beliebigen unterstützten Speicherort für Daten als Standardspeicherort auswählen.
Wenn Sie ein globales Unternehmen sind, das Google Cloud-Ressourcen an mehreren Standorten oder in mehreren Regionen bereitstellt, können Sie den globalen Standort als Standard festlegen.
Wenn Ihr Unternehmen nur an einem einzigen Standort tätig ist, können Sie diesen Standort als standardmäßigen Security Command Center-Standort auswählen.
Security Command Center API und Datenstandort
Für den Datenstandort ist die Security Command Center API v2 erforderlich.
Wenn Sie die Security Command Center API verwenden, wenn der Datenstandort aktiviert ist, können Sie nur v2 verwenden.
Security Command Center-Ressourcen und Datenstandort
In der folgenden Liste wird erläutert, wie Security Command Center Datenstandortkontrollen auf die Ressourcen anwendet, die Sie bei der Arbeit mit Security Command Center verwenden:
- Assets
Asset-Metadaten unterliegen nicht der Datenstandortkontrolle. Asset-Metadaten werden global in Cloud Asset Inventory gespeichert.
Aus diesem Grund werden auf der Seite Assets von Security Command Center immer alle Ressourcen in Ihrer Organisation, Ihrem Ordner oder Ihrem Projekt angezeigt, unabhängig von deren Speicherort oder Speicherort, auf den Sie die Google Cloud Console-Ansicht festgelegt haben. Wenn der Datenstandort jedoch aktiviert ist und Sie die Details eines Assets aufrufen, sind auf der Seite Assets keine Informationen zu Ergebnissen verfügbar, die sich auf das Asset auswirken könnten.
- Angriffsrisikobewertungen und Angriffspfade
Angriffsrisikobewertungen und Angriffspfade unterliegen nicht der Kontrolle des Datenstandorts und werden global gespeichert.
- BigQuery-Exporte
BigQuery-Exportkonfigurationen unterliegen den Kontrollen des Datenstandorts und werden an dem Ort gespeichert, an dem sie erstellt wurden. Sie gelten nur für Ergebnisse, die sich am selben Standort befinden.
- Kontinuierliche Exporte
Konfigurationen für den kontinuierlichen Export unterliegen den Datenstandortkontrollen und werden an dem Ort gespeichert, an dem Sie sie erstellen. Sie gelten nur für Ergebnisse, die sich am selben Standort befinden.
- Ergebnisse
Ergebnisse unterliegen den Datenstandortkontrollen und werden an dem Security Command Center-Standort gespeichert, an dem sich die betroffene Ressource befindet. Wenn sich eine betroffene Ressource außerhalb eines unterstützten Standorts befindet oder keine Standortkennung hat, werden alle Ergebnisse für die Ressourceninstanz an Ihrem Standardspeicherort gespeichert.
- Ausblendungsregeln
Ausblendungsregelkonfigurationen unterliegen den Datenstandortkontrollen und werden an dem Ort gespeichert, an dem Sie sie erstellen. Sie gelten nur für Ergebnisse, die sich am selben Standort befinden.
- Security Command Center-Einstellungen
Die meisten Security Command Center-Einstellungen, z. B. diejenigen, die definieren, welche Dienste aktiviert oder welche Stufe aktiv ist, unterliegen keinen Datenstandortkontrollen und werden global gespeichert. Eine Ausnahme sind die Konfigurationseinstellungen für BigQuery-Exporte, kontinuierliche Exporte nach Pub/Sub und Ausblendungsregeln. Diese Einstellungen gelten nur für den Standort, an dem sie erstellt werden.
Standortdaten in der Google Cloud Console ansehen
Wenn der Datenstandort aktiviert ist und Sie in der Google Cloud Console einen Standort auswählen, werden auf jeder Security Command Center-Seite nur Ergebnisse, Ausblendungsregeln und kontinuierliche Exporte vom ausgewählten Standort angezeigt.
Wenn Sie beispielsweise die globale Ansicht auswählen, sehen Sie nur globale Daten. Wenn Sie Ergebnisse, Ausblendungsregeln oder kontinuierliche Exporte von einem anderen Speicherort sehen möchten, müssen Sie die Google Cloud Console-Ansicht in den anderen Standort ändern.
Speicherort der Daten nach der Aktivierung bestimmen
Der Standort, an dem die Security Command Center-Ergebnisse und -Konfigurationen, die Ihre Daten enthalten, gespeichert werden, wird einige Punkte nach der Aktivierung des Datenstandorts bestimmt:
- Wenn Sie oder Security Command Center ein Ergebnis oder eine Konfiguration generieren oder erstellen.
- Wenn Sie ein Ergebnis oder eine Konfiguration aufrufen oder abrufen.
Standort beim Erstellen von Konfigurationen bestimmen
Wenn Sie einen kontinuierlichen Export, BigQuery-Export oder eine Ausblendungsregel erstellen, speichert Security Command Center die resultierende Konfiguration als Ressource. Eine Konfiguration für den kontinuierlichen Export wird als NotificationConfig-Ressource, eine BigQuery-Exportkonfiguration als BiqQueryExport-Ressource und eine Ausblendungsregelkonfiguration als MuteConfig-Ressource gespeichert.
Bevor Sie eine Exportkonfiguration oder Ausblendungsregel erstellen, müssen Sie den Standort auswählen, an dem sie erstellt werden sollen. Der ausgewählte Standort ist der Standort, an dem sich die Ergebnisse befinden, die Sie exportieren oder ausblenden möchten.
In der Google Cloud Console müssen Sie die Google Cloud Console-Ansicht auf den entsprechenden Speicherort festlegen, bevor Sie eine Regel für den kontinuierlichen Export oder die Ausblendung erstellen.
Wenn Sie eine Regel für kontinuierliche Exporte oder Ausblendungen über die Security Command Center API oder die Google Cloud CLI erstellen, geben Sie den Speicherort im API-Aufruf oder im gcloud-Befehl an, mit dem Sie die notificationConfig- oder muteConfig-Konfiguration erstellen.
Weitere Informationen zum Erstellen von Konfigurationen finden Sie unter:
- Erstellen Sie einen kontinuierlichen Export:
- Erstellen Sie eine Ausblendungsregel:
Standort beim Generieren von Ergebnissen bestimmen
Wenn einer der Security Command Center-Dienste ein Sicherheitsproblem in Ihrer Umgebung erkennt, bestimmt Security Command Center anhand des Standorts der betroffenen Ressource, wo das resultierende Ergebnis gespeichert wird.
Wenn sich die betroffene Ressource an einem von Security Command Center unterstützten Datenspeicherort befindet, speichert Security Command Center das Ergebnis am selben Speicherort.
Wenn sich die betroffene Ressource nicht an einem unterstützten Speicherort befindet oder in ihren Metadaten keinen Speicherort angibt, speichert Security Command Center das Ergebnis an dem Standardspeicherort, den Sie bei der Aktivierung des Datenstandorts angegeben haben.
Standort beim Aufrufen von Security Command Center-Daten bestimmen
Wenn Sie die Ergebnisse, Ausblendungsregeln und kontinuierliche Exporte eines bestimmten Standorts in der Google Cloud Console ansehen möchten, müssen Sie zuerst die Google Cloud Console-Ansicht auf diesen Standort festlegen.
Sie legen die Ansicht auf den meisten Security Command Center-Seiten in der Google Cloud Console links oben direkt unter der Projektauswahl fest:
Wenn die Google Cloud Console-Ansicht auf einen Standort festgelegt ist, werden in der Google Cloud Console nur die Ergebnisse, Ausblendungsregeln und kontinuierlichen Exporte angezeigt, die für den Standort resistent sind.
Wenn Sie Ergebnisse oder Konfigurationen mithilfe der API oder der gcloud CLI abrufen möchten, müssen Sie den Standort angeben, an dem die Ergebnisse oder Konfigurationen gespeichert werden.
Unterstützung des Datenstandorts für Features und Integrationen
Wenn der Datenstandort aktiviert ist, werden die folgenden Features, Funktionen und Integrationen in andere Produkte nicht unterstützt:
- KI-Zusammenfassungen
- Web Security Scanner
- Rapid Vulnerability Detection
- Terraform
Nächste Schritte
Informationen zum Aktivieren von Security Command Center mit aktiviertem Datenstandort finden Sie unter Security Command Center zum ersten Mal für eine Organisation aktivieren.