Cloud Data Loss Prevention (Cloud DLP) ist jetzt Teil des Schutzes sensibler Daten. Der Name der API bleibt unverändert: Cloud Data Loss Prevention API (DLP API). Informationen zu den Diensten, die zum Schutz sensibler Daten gehören, finden Sie unter Schutz sensibler Daten.

Diese Seite wurde von der Cloud Translation API übersetzt.

Vertex AI-Daten in einem einzelnen Projekt profilieren

Auf dieser Seite wird beschrieben, wie Sie die Datenerhebung mit Vertex AI auf Projektebene konfigurieren. Wenn Sie ein Profil für eine Organisation oder einen Ordner erstellen möchten, lesen Sie den Hilfeartikel Vertex AI-Daten in einer Organisation oder einem Ordner profilieren.

Wenn Sie an der Vorabversion teilnehmen möchten, senden Sie eine E-Mail an cloud-dlp-feedback@google.com.

Weitere Informationen zum Discovery-Dienst finden Sie unter Datenprofile.

Hinweise

Achten Sie darauf, dass die Cloud Data Loss Prevention API für Ihr Projekt aktiviert ist:
Prüfen Sie, ob Sie die IAM-Berechtigungen haben, die zum Konfigurieren von Datenprofilen auf Projektebene erforderlich sind.
Sie benötigen eine Inspektionsvorlage in jeder Region, in der Sie Daten haben, für die ein Profil erstellt werden soll. Wenn Sie eine einzelne Vorlage für mehrere Regionen verwenden möchten, können Sie eine Vorlage verwenden, die in der Region global gespeichert ist. Wenn Sie aufgrund von organisatorischen Richtlinien keine Inspektionsvorlage in der Region global erstellen können, müssen Sie für jede Region eine eigene Inspektionsvorlage festlegen. Weitere Informationen finden Sie unter Überlegungen zum Datenstandort.

Mit dieser Aufgabe können Sie eine Inspektionsvorlage nur in der Region global erstellen. Wenn Sie spezielle Inspektionsvorlagen für eine oder mehrere Regionen benötigen, müssen Sie diese vor der Ausführung dieser Aufgabe erstellen.
Sie können den Schutz sensibler Daten so konfigurieren, dass bei bestimmten Ereignissen Benachrichtigungen an Pub/Sub gesendet werden, z. B. wenn der Schutz sensibler Daten ein neues Datenset profiliert. Wenn Sie diese Funktion verwenden möchten, müssen Sie zuerst ein Pub/Sub-Thema erstellen.

Scankonfiguration erstellen

Rufen Sie die Seite Scankonfiguration erstellen auf.

Zur Seite „Scankonfiguration erstellen”
Rufen Sie Ihr Projekt auf. Klicken Sie in der Symbolleiste auf die Projektauswahl und wählen Sie Ihr Projekt aus.

In den folgenden Abschnitten finden Sie weitere Informationen zu den Schritten auf der Seite Scankonfiguration erstellen. Klicken Sie am Ende jedes Abschnitts auf Weiter.

Erkennungstyp auswählen

Wählen Sie Vertex AI aus.

Bereich auswählen

Führen Sie einen der folgenden Schritte aus:

Wenn Sie ein einzelnes Dataset scannen möchten, wählen Sie Einzelnes Dataset scannen aus.

Für jedes Dataset kann nur eine Scankonfiguration für eine einzelne Ressource vorhanden sein. Weitere Informationen finden Sie unter Profil einer einzelnen Datenressource erstellen.

Geben Sie die Details des Datensatzes ein, für den Sie ein Profil erstellen möchten.
Wenn Sie ein standardmäßiges Profiling auf Projektebene ausführen möchten, wählen Sie Ausgewähltes Projekt scannen aus.

Pläne verwalten

Wenn die Standardprofilierungshäufigkeit Ihren Anforderungen entspricht, können Sie diesen Abschnitt der Seite Scankonfiguration erstellen überspringen.

Konfigurieren Sie diesen Abschnitt aus folgenden Gründen:

Sie können die Häufigkeit der Profilerstellung für alle Ihre Daten oder bestimmte Teilmengen Ihrer Daten feinanpassen.
Hier können Sie die Datensätze angeben, für die kein Profil erstellt werden soll.
Hier können Sie die Datensätze angeben, die nicht mehrmals profiliert werden sollen.

So nehmen Sie detaillierte Anpassungen an der Profilierungshäufigkeit vor:

Klicken Sie auf Zeitplan hinzufügen.
Im Bereich Filter definieren Sie einen oder mehrere Filter, mit denen Sie angeben, welche Datensätze in den Zeitplan aufgenommen werden sollen.

Geben Sie eine Projekt-ID oder einen regulären Ausdruck an, der ein oder mehrere Projekte angibt. Reguläre Ausdrücke müssen der RE2-Syntax folgen.

Wenn Sie beispielsweise alle Datensätze in einem Projekt in den Filter aufnehmen möchten, geben Sie die Projekt-ID in das Feld Projekt-ID ein.

Wenn Sie weitere Filter hinzufügen möchten, klicken Sie auf Filter hinzufügen und wiederholen Sie diesen Schritt.
Klicken Sie auf Häufigkeit.
Geben Sie im Bereich Häufigkeit an, ob der Discovery-Dienst die von Ihnen ausgewählten Datensätze profilieren soll und, falls ja, wie oft:
- Wenn die Datasets nie profiliert werden sollen, deaktivieren Sie Diese Daten profilieren.
- Wenn die Datasets mindestens einmal profiliert werden sollen, lassen Sie Diese Daten profilieren aktiviert.
  
  In den folgenden Feldern in diesem Abschnitt geben Sie an, ob das System Ihre Daten neu profilieren soll und welche Ereignisse einen Neuprofilierungsvorgang auslösen sollen. Weitere Informationen finden Sie unter Häufigkeit der Generierung von Datenprofilen.
  1. Geben Sie unter Nach Zeitplan an, wie oft die Datensätze neu profiliert werden sollen. Die Datasets werden unabhängig davon neu profiliert, ob sie sich geändert haben.
  2. Geben Sie unter Wenn sich die Prüfungsvorlage ändert an, ob ein neues Profil für Ihre Daten erstellt werden soll, wenn die zugehörige Prüfungsvorlage aktualisiert wird, und falls ja, wie oft.
    Hinweis:Sie geben die zu verwendenden Inspektionsvorlagen auf dieser Seite im Schritt Inspektionsvorlage auswählen an.
    
    Eine Änderung an der Inspektionsvorlage wird erkannt, wenn eines der folgenden Ereignisse eintritt:
    - Der Name einer Inspektionsvorlage ändert sich in Ihrer Scankonfiguration.
    - Die updateTime einer Inspektionsvorlage ändert sich.
Optional: Klicken Sie auf Bedingungen.

Im Abschnitt Bedingungen geben Sie alle Bedingungen an, die die in Ihren Filtern definierten Datensätze erfüllen müssen, bevor sie vom Schutz sensibler Daten profiliert werden.

Legen Sie bei Bedarf Folgendes fest:
- Mindestbedingung: Wenn die Profilerstellung für ein Dataset bis zu einem bestimmten Alter verzögert werden soll, aktivieren Sie diese Option. Geben Sie dann die Mindestdauer ein.
- Zeitliche Bedingung: Wenn Sie nicht möchten, dass alte Datensätze jemals profiliert werden, aktivieren Sie diese Option. Wählen Sie dann mit der Datumsauswahl ein Datum und eine Uhrzeit aus. Alle Datensätze, die am oder vor dem ausgewählten Zeitstempel erstellt wurden, werden vom Profiling ausgeschlossen.
Beispielbedingungen

Angenommen, Sie haben folgende Konfiguration:
- Mindestbedingungen
  - Mindestdauer: 24 Stunden
- Zeitbedingung
  - Zeitstempel: 04.05.22, 23:59 Uhr
In diesem Fall werden alle Datensätze ausgeschlossen, die bis zum 4. Mai 2022 um 23:59 Uhr erstellt wurden. Unter den Datasets, die nach diesem Datum und dieser Uhrzeit erstellt wurden, werden nur die Datasets mit einem Alter von mindestens 24 Stunden vom Schutz sensibler Daten erfasst.
Klicken Sie auf Fertig.
Wenn Sie weitere Zeitpläne hinzufügen möchten, klicken Sie auf Zeitplan hinzufügen und wiederholen Sie die vorherigen Schritte.
Wenn Sie die Priorität zwischen den Zeitplänen festlegen möchten, ordnen Sie sie mit den Pfeilen nach oben und nach unten neu an.

Die Reihenfolge der Zeitpläne gibt an, wie Konflikte zwischen Zeitplänen gelöst werden. Wenn ein Datensatz den Filtern zweier verschiedener Zeitpläne entspricht, wird die Profilierungshäufigkeit für diesen Datensatz durch den Zeitplan bestimmt, der in der Liste der Zeitpläne weiter oben steht.

Hinweis :Wenn Sie den Abomodus für die Preisermittlung für die Datenerhebung festgelegt haben, hängt die Häufigkeit, mit der Sensitive Data Protection Ihre Daten profiliert, von der erworbenen Kapazität ab. Informationen zur täglichen Kapazität für das Profiling finden Sie unter Nutzung überwachen. Wenn Sie zu wenig Kapazität bereitgestellt haben, werden die in Ihren Zeitplänen festgelegten Profilerstellungshäufigkeiten möglicherweise nicht eingehalten. Wenn es einen Rückstau an Datasets gibt, die profiliert werden müssen, bestimmt die geplante Reihenfolge nicht, in welcher Reihenfolge Sensitive Data Protection die Datasets im Rückstau profiliert. Stattdessen erhalten alle betroffenen Datensätze einen zufällig zugewiesenen Platz in der Warteschlange.

Der letzte Zeitplan in der Liste ist immer derjenige mit der Bezeichnung Standardzeitplan. Dieser Standardzeitplan deckt die Datasets im ausgewählten Umfang ab, die keinem der von Ihnen erstellten Zeitpläne entsprechen. Dieser Standardzeitplan folgt der Standardhäufigkeit der Profilerstellung.
Wenn Sie den Standardzeitplan anpassen möchten, klicken Sie auf Zeitplan bearbeiten und passen Sie die Einstellungen nach Bedarf an.

Inspektionsvorlage auswählen

Wählen Sie je nachdem, wie Sie eine Inspektionskonfiguration bereitstellen möchten, eine der folgenden Optionen aus. Unabhängig von der ausgewählten Option werden Ihre Daten beim Schutz sensibler Daten in der Region gescannt, in der sie gespeichert sind. Das heißt, Ihre Daten verlassen nicht ihre Region.

Option 1: Inspektionsvorlage erstellen

Wählen Sie diese Option aus, wenn Sie eine neue Inspektionsvorlage in der Region global erstellen möchten.

Klicken Sie auf Neue Inspektionsvorlage erstellen.
Optional: Klicken Sie auf InfoTypes verwalten, um die Standardauswahl der InfoTypes zu ändern.

Weitere Informationen zum Verwalten integrierter und benutzerdefinierter infoTypes finden Sie unter infoTypes über die Google Cloud Console verwalten.

Sie müssen mindestens einen „infoType“ ausgewählt haben, um fortzufahren.
Optional: Konfigurieren Sie die Inspektionsvorlage weiter, indem Sie Regelsätze hinzufügen und einen Konfidenzschwellenwert festlegen. Weitere Informationen finden Sie unter Erkennung konfigurieren.

Wenn der Schutz sensibler Daten die Scankonfiguration erstellt, wird diese neue Inspektionsvorlage in der Region global gespeichert.

Option 2: Vorhandene Inspektionsvorlage verwenden

Wählen Sie diese Option aus, wenn Sie vorhandene Inspektionsvorlagen verwenden möchten.

Klicken Sie auf Vorhandene Inspektionsvorlage wählen.
Geben Sie den vollständigen Ressourcennamen der Inspektionsvorlage ein, die Sie verwenden möchten. Das Feld Region wird automatisch mit dem Namen der Region ausgefüllt, in der sich Ihre Inspektionsvorlage befindet.
Die von Ihnen eingegebene Inspektionsvorlage muss sich in derselben Region wie die Daten befinden, für die ein Profil erstellt werden soll.

Um den Datenstandort einzuhalten, wird beim Schutz sensibler Daten keine Inspektionsvorlage außerhalb der Region verwendet, in der sie gespeichert ist.

So ermitteln Sie den vollständigen Ressourcennamen einer Inspektionsvorlage:
1. Rufen Sie die Liste der Inspektionsvorlagen auf. Diese Seite wird in einem separaten Tab geöffnet.
  
  Inspektionsvorlagen aufrufen
2. Wechseln Sie zu dem Projekt, das die zu verwendende Inspektionsvorlage enthält.
3. Klicken Sie auf dem Tab Vorlagen auf die Vorlagen-ID der Vorlage, die Sie verwenden möchten.
4. Kopieren Sie auf der daraufhin angezeigten Seite den vollständigen Ressourcennamen der Vorlage. Der vollständige Ressourcenname hat folgendes Format:
```
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
```
5. Fügen Sie auf der Seite Scankonfiguration erstellen im Feld Vorlagenname den vollständigen Ressourcennamen der Vorlage ein.
Wenn Sie eine Inspektionsvorlage für eine andere Region hinzufügen möchten, klicken Sie auf Inspektionsvorlage hinzufügen und geben Sie den vollständigen Ressourcennamen der Vorlage ein. Wiederholen Sie diesen Vorgang für jede Region, für die Sie eine spezielle Inspektionsvorlage haben.
Optional: Fügen Sie eine Inspektionsvorlage hinzu, die in der Region global gespeichert ist. Der Schutz sensibler Daten verwendet diese Vorlage automatisch für Daten in Regionen, in denen Sie keine spezielle Inspektionsvorlage haben.

Achtung:Wenn Sie keine Inspektionsvorlage angeben, die in der Region global gespeichert ist, können mit dem Schutz sensibler Daten keine Profile für Daten in Regionen erstellt werden, für die keine spezielle Inspektionsvorlage vorhanden ist. Weitere Informationen finden Sie unter Überlegungen zum Datenstandort.

Aktionen hinzufügen

In den folgenden Abschnitten geben Sie Aktionen an, die der Schutz sensibler Daten ausführen soll, nachdem die Datenprofile generiert wurden.

Informationen dazu, wie andere Google Cloud-Dienste die Konfiguration von Aktionen in Rechnung stellen, finden Sie unter Preise für den Export von Datenprofilen.

In Security Command Center veröffentlichen

Die Ergebnisse aus Datenprofilen liefern Kontext, wenn Sie Sicherheitslücken und Bedrohungen im Security Command Center priorisieren und Reaktionspläne entwickeln.

Bevor Sie diese Aktion verwenden können, muss Security Command Center auf Organisationsebene aktiviert sein. Wenn Sie Security Command Center auf Organisationsebene aktivieren, können Ergebnisse aus integrierten Diensten wie dem Schutz sensibler Daten abgerufen werden. Der Schutz sensibler Daten funktioniert mit allen Dienststufen von Security Command Center.

Wenn Security Command Center nicht auf Organisationsebene aktiviert ist, werden keine Ergebnisse zum Schutz sensibler Daten im Security Command Center angezeigt. Weitere Informationen finden Sie unter Aktivierungsstufe von Security Command Center prüfen.

Damit die Ergebnisse Ihrer Datenprofile an Security Command Center gesendet werden, muss die Option In Security Command Center veröffentlichen aktiviert sein.

Weitere Informationen finden Sie unter Datenprofile im Security Command Center veröffentlichen.

Datenprofilkopien in BigQuery speichern

Wenn Sie Datenprofilkopien in BigQuery speichern aktivieren, können Sie eine gespeicherte Kopie oder einen Verlauf aller generierten Profile aufbewahren. Das kann nützlich sein, um Prüfberichte zu erstellen und Datenprofile zu visualisieren. Sie können diese Informationen auch in andere Systeme laden.

Außerdem können Sie mit dieser Option alle Ihre Datenprofile in einer einzigen Ansicht ansehen, unabhängig davon, in welcher Region sich Ihre Daten befinden. Wenn Sie diese Option deaktivieren, können Sie sich die Datenprofile weiterhin in der Google Cloud Console ansehen. In der Google Cloud Console wählen Sie jedoch jeweils nur eine Region aus und sehen nur die Datenprofile für diese Region.

So exportieren Sie Kopien der Datenprofile in eine BigQuery-Tabelle:

Aktivieren Sie Datenprofilkopien in BigQuery speichern.
Geben Sie die Details der BigQuery-Tabelle ein, in der Sie die Datenprofile speichern möchten:
- Geben Sie unter Projekt-ID die ID eines vorhandenen Projekts ein, in das die Datenprofile exportiert werden sollen.
- Geben Sie unter Dataset-ID den Namen eines vorhandenen Datasets im Projekt ein, in das die Datenprofile exportiert werden sollen.
- Geben Sie unter Table ID (Tabellen-ID) einen Namen für die BigQuery-Tabelle ein, in die die Datenprofile exportiert werden. Wenn Sie diese Tabelle noch nicht erstellt haben, wird sie vom Schutz sensibler Daten automatisch mit dem von Ihnen angegebenen Namen erstellt.

Sobald Sie diese Option aktivieren, beginnt Sensitive Data Protection mit dem Exportieren von Profilen. Profile, die generiert wurden, bevor Sie den Export aktiviert haben, werden nicht in BigQuery gespeichert.

In Pub/Sub veröffentlichen

Wenn Sie In Pub/Sub veröffentlichen aktivieren, können Sie programmatische Aktionen auf der Grundlage von Profilierungsergebnissen ausführen. Mit Pub/Sub-Benachrichtigungen können Sie einen Workflow entwickeln, um Ergebnisse mit erheblichen Datenrisiken oder sensiblen Daten zu erkennen und zu beheben.

So senden Sie Benachrichtigungen an ein Pub/Sub-Thema:

Aktivieren Sie In Pub/Sub veröffentlichen.

Eine Liste mit Optionen wird angezeigt. Jede Option beschreibt ein Ereignis, bei dem der Schutz sensibler Daten eine Benachrichtigung an Pub/Sub sendet.
Wählen Sie die Ereignisse aus, die eine Pub/Sub-Benachrichtigung auslösen sollen.

Wenn Sie Bei jeder Aktualisierung eines Profils eine Pub/Sub-Benachrichtigung senden auswählen, sendet der Dienst „Sensible Daten schützen“ eine Benachrichtigung, wenn sich die Empfindlichkeitsstufe, die Datenrisikostufe, die erkannten infoTypes, der öffentliche Zugriff und andere wichtige Messwerte im Profil ändern.
Gehen Sie für jedes ausgewählte Ereignis so vor:
1. Geben Sie den Namen des Themas ein. Der Name muss folgendes Format haben:
```
projects/PROJECT_ID/topics/TOPIC_ID
```
  Ersetzen Sie Folgendes:
  - PROJECT_ID: die ID des Projekts, das mit dem Pub/Sub-Thema verknüpft ist.
  - TOPIC_ID: die ID des Pub/Sub-Themas.
2. Geben Sie an, ob das vollständige Dataset-Profil oder nur der vollständige Ressourcenname des Datasets, für das ein Profil erstellt wurde, in der Benachrichtigung enthalten sein soll.
3. Legen Sie die Mindestdatenrisiko- und Vertraulichkeitsstufen fest, die erfüllt sein müssen, damit Sensitive Data Protection eine Benachrichtigung sendet.
4. Geben Sie an, ob nur eine oder beide Bedingungen für Datenrisiken und Datensensibilität erfüllt sein müssen. Wenn Sie beispielsweise AND auswählen, müssen sowohl die Bedingungen für das Datenrisiko als auch die Bedingungen für die Datensensibilität erfüllt sein, bevor Sensitive Data Protection eine Benachrichtigung sendet.

Hinweis : Der mit Ihrem Projekt verknüpfte Dienst-Agent muss Veröffentlichungszugriff auf das Pub/Sub-Thema haben. Ein Beispiel für eine Rolle mit Veröffentlichungszugriff ist die Rolle „Pub/Sub-Publisher“ (roles/pubsub.publisher). Bei Konfigurations- oder Berechtigungsproblemen mit dem Pub/Sub-Thema versucht der Dienst „Sensitive Data Protection“ bis zu zwei Wochen lang, die Pub/Sub-Benachrichtigung noch einmal zu senden. Nach zwei Wochen wird die Benachrichtigung verworfen.

Speicherort für Konfiguration festlegen

Klicken Sie auf die Liste Ressourcenspeicherort und wählen Sie die Region aus, in der Sie diese Scankonfiguration speichern möchten. Alle Scankonfigurationen, die Sie später erstellen, werden ebenfalls an diesem Speicherort gespeichert.

Der Speicherort, an dem Sie die Scankonfiguration speichern, hat keinen Einfluss auf die zu scannenden Daten. Ihre Daten werden in derselben Region gescannt, in der sie gespeichert sind. Weitere Informationen finden Sie unter Überlegungen zum Datenstandort.

Überprüfen und erstellen

Wenn Sie verhindern möchten, dass das Profiling automatisch nach dem Erstellen der Scankonfiguration gestartet wird, wählen Sie Scan im pausierten Modus erstellen aus.
Diese Option ist in den folgenden Fällen nützlich:
- Sie haben sich entschieden, Datenprofile in BigQuery zu speichern, und möchten dafür sorgen, dass der Kundenservicemitarbeiter Schreibzugriff auf Ihre Ausgabetabelle hat.
- Sie haben Pub/Sub-Benachrichtigungen konfiguriert und möchten dem Kundenservicemitarbeiter Veröffentlichungszugriff gewähren.
Prüfen Sie Ihre Einstellungen und klicken Sie auf Erstellen.
Sensitive Data Protection erstellt die Scankonfiguration und fügt sie der Liste der Konfigurationen für die Erkennung hinzu.

Informationen zum Aufrufen oder Verwalten Ihrer Scankonfigurationen finden Sie unter Scankonfigurationen verwalten.

Nächste Schritte

Weitere Informationen zum Verwalten von Datenprofilen

Erfahren Sie, wie Sie Scankonfigurationen verwalten.

Weitere Informationen zum Empfangen und Parsen von Pub/Sub-Nachrichten, die vom Data Profiler veröffentlicht werden

Informationen zur Fehlerbehebung bei Datenprofilen