Erkennungsaktionen aktivieren

In diesem Abschnitt wird beschrieben, wie Sie Aktionen angeben, die von Sensitive Data Protection nach der Profilerstellung einer Ressource ausgeführt werden sollen. Diese Aktionen sind nützlich, wenn Sie aus Datenprofilen gewonnene Statistiken an andereGoogle Cloud -Dienste senden möchten.

Wenn Sie Erkennungsaktionen aktivieren möchten, erstellen oder bearbeiten Sie eine Konfiguration für den Erkennungsscan. In den folgenden Abschnitten werden die verschiedenen Aktionen beschrieben, die Sie im Bereich Aktionen hinzufügen der Scankonfiguration aktivieren können.

Nicht alle Aktionen auf dieser Seite sind für jeden Ermittlungstyp verfügbar. Sie können beispielsweise keine Tags an Ressourcen anhängen, wenn Sie die Ermittlung für Ressourcen eines anderen Cloud-Anbieters konfigurieren. Weitere Informationen finden Sie auf dieser Seite unter Unterstützte Aktionen.

Weitere Informationen zur Erkennung sensibler Daten finden Sie unter Datenprofile.

Für Inspektions- und Risikoanalysevorgänge sind unterschiedliche Aktionen verfügbar. Weitere Informationen finden Sie unter Inspektions- oder Risikoanalyseaktionen aktivieren.

In Google Security Operations veröffentlichen

Messwerte, die aus Datenprofilen erhoben werden, können Ihren Google Security Operations-Ergebnissen Kontext hinzufügen. Der zusätzliche Kontext kann Ihnen helfen, die wichtigsten Sicherheitsprobleme zu ermitteln, die behoben werden müssen.

Wenn Sie beispielsweise einen bestimmten Dienst-Agent untersuchen, kann Google Security Operations ermitteln, auf welche Ressourcen der Dienst-Agent zugegriffen hat und ob einige dieser Ressourcen vertrauliche Daten enthalten.

Wenn Sie Ihre Datenprofile an Ihre Google Security Operations-Instanz senden möchten, aktivieren Sie In Google Security Operations veröffentlichen.

Wenn für Ihre Organisation keine Google Security Operations-Instanz aktiviert ist – weder über das Standalone-Produkt noch über Security Command Center Enterprise –, hat das Aktivieren dieser Option keine Auswirkungen.

In Security Command Center veröffentlichen

Ergebnisse aus Datenprofilen liefern Kontext, wenn Sie Ihre Ergebnisse zu Sicherheitslücken und Bedrohungen in Security Command Center priorisieren und Reaktionspläne entwickeln.

Bevor Sie diese Aktion verwenden können, muss Security Command Center auf Organisationsebene aktiviert sein. Wenn Sie Security Command Center auf Organisationsebene aktivieren, können Ergebnisse von integrierten Diensten wie dem Schutz sensibler Daten übertragen werden. Sensitive Data Protection funktioniert mit allen Dienststufen von Security Command Center.

Wenn Security Command Center nicht auf Organisationsebene aktiviert ist, werden Ergebnisse zum Schutz sensibler Daten nicht im Security Command Center angezeigt. Weitere Informationen finden Sie unter Aktivierungsstufe von Security Command Center prüfen.

Wenn Sie die Ergebnisse Ihrer Datenprofile an Security Command Center senden möchten, muss die Option In Security Command Center veröffentlichen aktiviert sein.

Weitere Informationen finden Sie unter Datenprofile in Security Command Center veröffentlichen.

Datenprofilkopien in BigQuery speichern

Sensitive Data Protection speichert eine Kopie jedes generierten Datenprofils in einer BigQuery-Tabelle. Wenn Sie keine Details zu Ihrer bevorzugten Tabelle angeben, erstellt Sensitive Data Protection ein Dataset und eine Tabelle im Service-Agent-Container. Standardmäßig heißt das Dataset sensitive_data_protection_discovery und die Tabelle discovery_profiles.

Mit dieser Option können Sie einen Verlauf aller generierten Profile speichern. Dieser Verlauf kann nützlich sein, um Prüfberichte zu erstellen und Datenprofile zu visualisieren. Sie können diese Informationen auch in andere Systeme laden.

Außerdem können Sie mit dieser Option alle Ihre Datenprofile in einer einzigen Ansicht ansehen, unabhängig davon, in welcher Region sich Ihre Daten befinden. Sie können sich die Datenprofile zwar auch über dieGoogle Cloud Console ansehen, dort werden die Profile jedoch jeweils nur in einer Region angezeigt.

Wenn Sensitive Data Protection die Erstellung eines Profils für eine Ressource misslingt, wird der Versuch regelmäßig wiederholt. Um das Rauschen in den exportierten Daten zu minimieren, exportiert der Schutz sensibler Daten nur erfolgreich generierte Profile nach BigQuery.

Sensitive Data Protection beginnt mit dem Exportieren von Profilen, sobald Sie diese Option aktivieren. Profile, die vor dem Aktivieren des Exports generiert wurden, werden nicht in BigQuery gespeichert.

Beispielabfragen, die Sie bei der Analyse von Datenprofilen verwenden können, finden Sie unter Datenprofile analysieren.

Beispielergebnisse für die Erkennung in BigQuery speichern

Der Schutz sensibler Daten kann Beispielergebnisse in eine BigQuery-Tabelle Ihrer Wahl einfügen. Die Beispielfunde stellen eine Teilmenge aller Funde dar und enthalten möglicherweise nicht alle erkannten infoTypes. Normalerweise generiert das System etwa 10 Beispielergebnisse pro Ressource. Diese Anzahl kann jedoch für jeden Erkennungslauf variieren.

Jedes Ergebnis enthält den erkannten String (auch Zitat genannt) und seinen genauen Speicherort.

Diese Aktion ist nützlich, wenn Sie prüfen möchten, ob Ihre Prüfkonfiguration dem Typ von Informationen entspricht, die Sie als vertraulich kennzeichnen möchten. Mithilfe der exportierten Datenprofile und der exportierten Beispielfunde können Sie Abfragen ausführen, um weitere Informationen zu den spezifischen Elementen zu erhalten, die gekennzeichnet wurden, den InfoTypes, die übereinstimmten, den genauen Speicherorten, den berechneten Sensitivitätsstufen und anderen Details.

Für dieses Beispiel müssen sowohl Datenprofilkopien in BigQuery speichern als auch Beispielergebnisse für die Erkennung in BigQuery speichern aktiviert sein.

In der folgenden Abfrage wird ein INNER JOIN-Vorgang sowohl für die Tabelle mit exportierten Datenprofilen als auch für die Tabelle mit exportierten Beispielergebnissen verwendet. In der resultierenden Tabelle enthält jeder Datensatz das Zitat des Ergebnisses, den InfoType, der dazu passt, die Ressource, die das Ergebnis enthält, und das berechnete Sensitivitätsniveau der Ressource.

SELECT
 findings_table.quote,
 findings_table.infotype.name,
 findings_table.location.container_name,
 profiles_table.file_store_profile.file_store_path as bucket_name,
 profiles_table.file_store_profile.sensitivity_score as bucket_sensitivity_score
FROM
 `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table
INNER JOIN
 `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table
ON
 findings_table.data_profile_resource_name=profiles_table.file_store_profile.name

Für dieses Beispiel müssen sowohl Datenprofilkopien in BigQuery speichern als auch Beispielergebnisse für die Erkennung in BigQuery speichern aktiviert sein.

In der folgenden Abfrage wird ein INNER JOIN-Vorgang sowohl für die Tabelle mit exportierten Datenprofilen als auch für die Tabelle mit exportierten Beispielergebnissen verwendet. In der resultierenden Tabelle enthält jeder Datensatz das Zitat des Ergebnisses, den InfoType, der dazu passt, die Ressource, die das Ergebnis enthält, und das berechnete Sensitivitätsniveau der Ressource.

SELECT
 findings_table.quote,
 findings_table.infotype.name,
 findings_table.location.container_name,
 findings_table.location.data_profile_finding_record_location.field.name AS field_name,
 profiles_table.table_profile.dataset_project_id AS project_id,
 profiles_table.table_profile.dataset_id AS dataset_id,
 profiles_table.table_profile.table_id AS table_id,
 profiles_table.table_profile.sensitivity_score AS table_sensitivity_score
 FROM
 `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table
INNER JOIN
 `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table
ON
 findings_table.data_profile_resource_name=profiles_table.table_profile.name

So speichern Sie Beispielergebnisse in einer BigQuery-Tabelle:

  1. Aktivieren Sie Beispielergebnisse für die Erkennung in BigQuery speichern.

  2. Geben Sie die Details der BigQuery-Tabelle ein, in der Sie die Beispielergebnisse speichern möchten.

    Die Tabelle, die Sie für diese Aktion angeben, muss sich von der Tabelle unterscheiden, die für die Aktion Datenprofilkopien in BigQuery speichern verwendet wird.

    • Geben Sie als Projekt-ID die ID eines vorhandenen Projekts ein, in das Sie die Ergebnisse exportieren möchten.

    • Geben Sie als Dataset-ID den Namen eines vorhandenen Datasets im Projekt ein.

    • Geben Sie für Tabellen-ID den Namen der BigQuery-Tabelle ein, in der die Ergebnisse gespeichert werden sollen. Wenn diese Tabelle nicht vorhanden ist, wird sie von Sensitive Data Protection automatisch mit dem von Ihnen angegebenen Namen erstellt.

Informationen zum Inhalt der einzelnen Ergebnisse, die in der BigQuery-Tabelle gespeichert werden, finden Sie unter DataProfileFinding.

Tags an Ressourcen anhängen

Wenn Sie Tags an Ressourcen anhängen aktivieren, werden Ihre Daten automatisch entsprechend der berechneten Vertraulichkeitsstufe getaggt. Für diesen Abschnitt müssen Sie zuerst die Aufgaben unter IAM-Zugriff auf Ressourcen basierend auf der Datenvertraulichkeit steuern ausführen.

So lassen Sie eine Ressource automatisch anhand der berechneten Vertraulichkeitsstufe taggen:

  1. Aktivieren Sie die Option Ressourcen taggen.
  2. Geben Sie für jede Empfindlichkeitsstufe (hoch, mittel, niedrig und unbekannt) den Pfad des Tag-Werts ein, den Sie für die jeweilige Empfindlichkeitsstufe erstellt haben.

    Wenn Sie eine Vertraulichkeitsstufe überspringen, wird kein Tag dafür angehängt.

  3. Wenn Sie das Datenrisiko einer Ressource automatisch auf NIEDRIG senken möchten, wenn das Tag für die Vertraulichkeitsstufe vorhanden ist, wählen Sie Beim Anwenden eines Tags auf eine Ressource das Datenrisiko ihres Profils auf NIEDRIG setzen aus. Mit dieser Option können Sie die Verbesserung Ihrer Daten- und Datenschutzmaßnahmen messen.

  4. Wählen Sie eine oder beide der folgenden Optionen aus:

    • Ressource taggen, wenn zum ersten Mal ein Profil für sie erstellt wird.
    • Ressource taggen, wenn ihr Profil aktualisiert wird. Wählen Sie diese Option aus, wenn das Tag für die Vertraulichkeitsstufe bei nachfolgenden Erkennungsvorgängen durch Sensitive Data Protection überschrieben werden soll. Daher ändert sich der Zugriff eines Principals auf eine Ressource automatisch, wenn sich der berechnete Datensensibilitätsgrad für diese Ressource erhöht oder verringert.

      Wählen Sie diese Option nicht aus, wenn Sie die Tag-Werte für die Vertraulichkeitsstufe, die der Discovery-Dienst Ihren Ressourcen zuordnet, manuell aktualisieren möchten. Wenn Sie diese Option auswählen, können Ihre manuellen Aktualisierungen von Sensitive Data Protection überschrieben werden.

In Pub/Sub veröffentlichen

Wenn Sie In Pub/Sub veröffentlichen aktivieren, können Sie programmatische Aktionen basierend auf Profilergebnissen ausführen. Sie können Pub/Sub-Benachrichtigungen verwenden, um einen Workflow zu entwickeln, mit dem sich Ergebnisse mit erheblichem Datenrisiko oder hoher Sensibilität erfassen und beheben lassen.

So senden Sie Benachrichtigungen an ein Pub/Sub-Thema:

  1. Aktivieren Sie In Pub/Sub veröffentlichen.

    Eine Liste mit Optionen wird angezeigt. Jede Option beschreibt ein Ereignis, das dazu führt, dass Sensitive Data Protection eine Benachrichtigung an Pub/Sub sendet.

  2. Wählen Sie die Ereignisse aus, die eine Pub/Sub-Benachrichtigung auslösen sollen.

    Wenn Sie Bei jeder Aktualisierung eines Profils eine Pub/Sub-Benachrichtigung senden auswählen, sendet Sensitive Data Protection eine Benachrichtigung, wenn sich das Vertraulichkeitsniveau, das Datenrisikoniveau, die erkannten InfoTypes, der öffentliche Zugriff und andere wichtige Messwerte im Profil ändern.

  3. Gehen Sie für jedes ausgewählte Ereignis so vor:

    1. Geben Sie den Namen des Themas ein. Der Name muss folgendes Format haben:

      projects/PROJECT_ID/topics/TOPIC_ID
      

      Ersetzen Sie Folgendes:

      • PROJECT_ID: die ID des Projekts, das mit dem Pub/Sub-Thema verknüpft ist.
      • TOPIC_ID: die ID des Pub/Sub-Themas.
    2. Geben Sie an, ob das vollständige Ressourcenprofil oder nur der vollständige Ressourcenname der profilierten Ressource in die Benachrichtigung aufgenommen werden soll.

    3. Legen Sie die Mindeststufen für Datenrisiko und Vertraulichkeit fest, die erfüllt sein müssen, damit Sensitive Data Protection eine Benachrichtigung sendet.

    4. Geben Sie an, ob nur eine oder beide Bedingungen für Datenrisiko und Sensibilität erfüllt sein müssen. Wenn Sie beispielsweise AND auswählen, müssen sowohl die Bedingungen für das Datenrisiko als auch die für die Sensibilität erfüllt sein, bevor Sensitive Data Protection eine Benachrichtigung sendet.

Als Tags an Data Catalog senden

Diese Funktion ist veraltet.

Mit dieser Aktion können Sie Data Catalog-Tags in Dataplex Universal Catalog auf Grundlage von Statistiken aus Datenprofilen erstellen. Diese Aktion wird nur auf neue und aktualisierte Profile angewendet. Vorhandene Profile, die nicht aktualisiert werden, werden nicht an Dataplex Universal Catalog gesendet.

Data Catalog ist ein vollständig verwalteter, skalierbarer Dienst zur Metadatenverwaltung. Wenn Sie diese Aktion aktivieren, werden Tabellen, für die Sie ein Profil erstellen, automatisch in Data Catalog mit Tags versehen. Die Tags basieren auf den Statistiken, die aus den Datenprofilen gewonnen werden. Anschließend können Sie mit Dataplex Universal Catalog in Ihrer Organisation und Ihren Projekten nach Tabellen mit bestimmten Tag-Werten suchen.

Wenn Sie die Datenprofile als Data Catalog-Tags an Dataplex Universal Catalog senden möchten, muss die Option Als Tags an Dataplex senden aktiviert sein.

Weitere Informationen finden Sie unter Tabellen im Data Catalog anhand von Statistiken aus Datenprofilen taggen.

Als Aspekte an Dataplex Universal Catalog senden

Mit dieser Aktion können Sie Dataplex Universal Catalog-Aspekte auf Grundlage von Erkenntnissen aus Datenprofilen zu profilierten Ressourcen hinzufügen. Diese Aktion wird nur auf neue und aktualisierte Profile angewendet. Vorhandene Profile, die nicht aktualisiert werden, werden nicht an Dataplex Universal Catalog gesendet.

Wenn Sie diese Aktion aktivieren, fügt Sensitive Data Protection den Aspekt Sensitive Data Protection profile dem Dataplex Universal Catalog-Eintrag für jede neue oder aktualisierte Ressource hinzu, die Sie profilieren. Die generierten Aspekte enthalten Statistiken, die aus den Datenprofilen stammen. Anschließend können Sie in Ihrer Organisation und in Ihren Projekten nach Einträgen mit bestimmten Sensitive Data Protection profile-Aspektwerten suchen.

Wenn Sie die Datenprofile an Dataplex Universal Catalog senden möchten, muss die Option Als Aspekte an Dataplex Catalog senden aktiviert sein.

Weitere Informationen finden Sie unter Dataplex Universal Catalog-Aspekte basierend auf Erkenntnissen aus Datenprofilen hinzufügen.

Unterstützte Aktionen

In der folgenden Tabelle sehen Sie, welche Aktionen für die einzelnen Suchtypen unterstützt werden.

In Google Security Operations veröffentlichen In Security Command Center veröffentlichen Datenprofilkopien in BigQuery speichern Beispielergebnisse für die Erkennung in BigQuery speichern Tags an Ressourcen anhängen In Pub/Sub veröffentlichen Als Data Catalog-Tags an Dataplex Universal Catalog senden (Eingestellt) Als Aspekte an Dataplex Universal Catalog senden
Amazon S3
Azure Blob Storage
BigQuery
Cloud SQL
Cloud Storage
Vertex AI

Nächste Schritte