Cloud Data Loss Prevention (Cloud DLP) ist jetzt Teil des Schutzes sensibler Daten. Der API-Name bleibt unverändert: Cloud Data Loss Prevention API (DLP API). Informationen zu den Diensten, die den Datenschutz enthalten, finden Sie in dieser Übersicht.

Datenprofile in Security Command Center veröffentlichen

Diese Seite bietet einen allgemeinen Überblick über die Aktionen, die Sie ausführen müssen, wenn Datenprofile Ergebnisse in Security Command Center generieren sollen. Auf dieser Seite finden Sie auch Beispielabfragen, mit denen Sie die generierten Ergebnisse finden können.

Sie können den Schutz sensibler Daten so konfigurieren, dass automatisch Profile zu Daten in einer Organisation, einem Ordner oder einem Projekt erstellt werden. Datenprofile enthalten Messwerte und Metadaten zu Ihren Daten. So können Sie feststellen, wo sich sensible und risikoreiche Daten befinden. Für den Schutz sensibler Daten werden diese Messwerte mit verschiedenen Detailebenen erfasst. Informationen zu den Datentypen, für die Sie ein Profil erstellen können, finden Sie unter Unterstützte Ressourcen.

Security Command Center ist der zentrale Dienst für die Meldung von Sicherheitslücken und Bedrohungen in Google Cloud. Security Command Center erkennt Fehlkonfigurationen, Sicherheitslücken, Beobachtungen und Bedrohungen und hilft Ihnen so, Ihren Sicherheitsstatus zu verbessern. Darüber hinaus erhalten Sie Empfehlungen zur Untersuchung und Behebung der Ergebnisse.

Datenprofile können in Security Command Center Beobachtungsergebnisse generieren, die die berechneten Vertraulichkeits- und Datenrisikostufen Ihrer Daten zeigen. Anhand dieser Ergebnisse können Sie auf Bedrohungen und Sicherheitslücken im Zusammenhang mit Ihren Daten reagieren.

Security Command Center-Ergebnisse generiert

Wenn Sie den Erkennungsdienst so konfigurieren, dass Datenprofile in Security Command Center veröffentlicht werden, generiert jedes Tabellendatenprofil die folgenden Security Command Center-Ergebnisse:

Data sensitivity: Angabe der Vertraulichkeitsstufe der Daten in einer bestimmten Tabelle. Daten sind vertraulich, wenn sie personenidentifizierbare Informationen oder andere Elemente enthalten, die möglicherweise eine zusätzliche Kontrolle oder Verwaltung erfordern. Der Schweregrad des Ergebnisses ist der Vertraulichkeitsgrad, der beim Generieren des Datenprofils für den Schutz sensibler Daten berechnet wurde.
Data risk: Das mit den Daten in ihrem aktuellen Zustand verbundene Risiko. Bei der Berechnung des Datenrisikos berücksichtigt der Schutz sensibler Daten die Vertraulichkeitsstufe der Daten in der Tabelle und das Vorhandensein von Zugriffssteuerungen zum Schutz dieser Daten. Der Schweregrad des Ergebnisses ist die Datenrisikostufe, die beim Erstellen des Datenprofils vom Schutz sensibler Daten berechnet wird.

Generierungslatenz ermitteln

Nachdem der Schutz sensibler Daten die Datenprofile generiert hat, kann es bis zu sechs Stunden dauern, bis die zugehörigen Data sensitivity- und Data risk-Ergebnisse in Security Command Center angezeigt werden.

Datenprofile an Security Command Center senden

Im Folgenden finden Sie einen allgemeinen Workflow zum Veröffentlichen von Datenprofilen in Security Command Center.

Prüfen Sie die Aktivierungsstufe von Security Command Center für Ihre Organisation. Zum Senden von Datenprofilen an Security Command Center muss Security Command Center auf Organisationsebene in der Standard- oder Premium-Stufe aktiviert sein.

Wenn Security Command Center nur auf Projektebene aktiviert ist, werden Ergebnisse des Schutzes sensibler Daten nicht in Security Command Center angezeigt.
Wenn Security Command Center für Ihre Organisation nicht aktiviert ist, müssen Sie es aktivieren. Weitere Informationen finden Sie unter Security Command Center für eine Organisation aktivieren.
Fügen Sie den Schutz sensibler Daten als integrierten Dienst hinzu. Weitere Informationen finden Sie unter Integrierten Google Cloud-Dienst hinzufügen.
Wenn Sie die Datenprofilerstellung für eine Organisation oder einen Ordner oder ein Projekt konfigurieren, aktivieren Sie die Option In Security Command Center veröffentlichen. Sie können diese Option auch aktivieren, indem Sie vorhandene Discovery-Scan-Konfigurationen bearbeiten.

Rufen Sie in der Google Cloud Console die Seite Erkennung auf, um eine Scankonfiguration zu erstellen oder zu bearbeiten.

Auffindbarkeit aufrufen

Security Command Center-Ergebnisse im Zusammenhang mit Datenprofilen abfragen

Mit den folgenden Beispielabfragen können Sie relevante Data sensitivity- und Data risk-Ergebnisse in Security Command Center finden. Sie können diese Abfragen in den Abfrageeditor eingeben. Weitere Informationen zum Abfrageeditor finden Sie unter Ergebnisabfrage im Security Command Center-Dashboard bearbeiten.

Alle `Data sensitivity`- und `Data risk`-Ergebnisse für eine bestimmte BigQuery-Tabelle auflisten

Diese Abfrage ist beispielsweise nützlich, wenn Security Command Center ein Ereignis erkennt, bei dem eine BigQuery-Tabelle in einem anderen Projekt gespeichert wurde. In diesem Fall wird ein Exfiltration: BigQuery Data Exfiltration-Ergebnis generiert, das den vollständigen Anzeigenamen der exfiltrierten Tabelle enthält. Sie können nach allen Data sensitivity- und Data risk-Ergebnissen suchen, die sich auf die Tabelle beziehen. Sehen Sie sich die berechneten Vertraulichkeits- und Datenrisikostufen für die Tabelle an und planen Sie Ihre Antwort entsprechend.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"

Ersetzen Sie Folgendes:

PROJECT_ID: die ID des Projekts, das die BigQuery-Tabelle enthält
DATASET_ID: die Dataset-ID der Tabelle
TABLE_ID: Die ID der Tabelle

Alle `Data risk`- und `Data sensitivity`-Ergebnisse mit dem Schweregrad `High` auflisten

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"