Datenprofile im Security Command Center veröffentlichen

Auf dieser Seite finden Sie eine allgemeine Übersicht über die Aktionen, die Sie ausführen müssen, damit Datenprofile Ergebnisse in Security Command Center generieren. Auf dieser Seite finden Sie auch Beispielabfragen, mit denen Sie die generierten Ergebnisse finden können.

Wenn Sie Security Command Center Enterprise-Kunde sind, lesen Sie stattdessen Erkennung sensibler Daten im Enterprise-Tarif aktivieren in der Security Command Center-Dokumentation.

Datenprofile

Sie können den Schutz sensibler Daten so konfigurieren, dass automatisch Profile für Daten in einer Organisation, einem Ordner oder einem Projekt generiert werden. Datenprofile enthalten Messwerte und Metadaten zu Ihren Daten und können ermitteln, wo sich sensible und risikoreiche Daten befinden. Der Schutz sensibler Daten meldet diese Messwerte auf verschiedenen Detailebenen. Informationen zu den Datentypen, die Sie analysieren können, finden Sie unter Unterstützte Ressourcen.

Vorteile der Veröffentlichung von Datenprofilen in Security Command Center

Diese Funktion bietet in Security Command Center die folgenden Vorteile:

Generierte Security Command Center-Ergebnisse

Wenn Sie den Dienst zur Erkennung sensibler Daten so konfigurieren, dass Datenprofile in Security Command Center veröffentlicht werden, werden für jedes Tabellendatenprofil oder Dateispeicherdatenprofil die folgenden Security Command Center-Ergebnisse generiert.

Ergebnisse zu Sicherheitslücken vom Erkennungsdienst

Der Sensitive Data Protection-Erkennungsdienst hilft Ihnen, festzustellen, ob Sie höchst sensible Daten speichern, die nicht geschützt sind.

Kategorie Zusammenfassung

Kategoriename in der API:

PUBLIC_SENSITIVE_DATA

Ergebnisbeschreibung: Die angegebene Ressource enthält Daten mit hoher Vertraulichkeit, auf die jeder im Internet zugreifen kann.

Unterstützte Assets:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3-Bucket
  • Azure Blob Storage-Container

Abhilfemaßnahmen:

Entfernen Sie für Google Cloud Daten allUsers und allAuthenticatedUsers aus der IAM-Richtlinie des Daten-Assets.

Konfigurieren Sie für Amazon S3-Daten die Einstellungen zum Blockieren des öffentlichen Zugriffs oder aktualisieren Sie die ACL des Objekts, um den öffentlichen Lesezugriff zu verweigern. Weitere Informationen finden Sie in der AWS-Dokumentation unter Einstellungen zum Blockieren des öffentlichen Zugriffs für Ihre S3-Buckets konfigurieren und ACLs konfigurieren.

Entfernen Sie für Azure Blob Storage-Daten den öffentlichen Zugriff auf den Container und die Blobs. Weitere Informationen finden Sie in der Azure-Dokumentation unter Übersicht: Beheben des anonymen Lesezugriffs für Blob-Daten.

Compliancestandards: Nicht zugeordnet

Kategoriename in der API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Ergebnisbeschreibung: Es gibt Secrets, z. B. Passwörter, Authentifizierungstokens und Google Cloud Anmeldedaten, in Umgebungsvariablen.

Informationen zum Aktivieren dieses Detektors finden Sie in der Dokumentation zum Schutz sensibler Daten unter Geheimnisse in Umgebungsvariablen an Security Command Center melden.

Unterstützte Assets:

Abhilfemaßnahmen:

Entfernen Sie bei Umgebungsvariablen für Cloud Run Functions das Secret aus der Umgebungsvariable und speichern Sie es stattdessen in Secret Manager.

Bei Umgebungsvariablen für Cloud Run-Dienstüberarbeitungen müssen Sie den gesamten Traffic von der Überarbeitung weg migrieren und sie dann löschen.

Compliance standards:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Kategoriename in der API:

SECRETS_IN_STORAGE

Ergebnisbeschreibung: In der angegebenen Ressource sind Secrets vorhanden, z. B. Passwörter, Authentifizierungstokens und Cloud-Anmeldedaten.

Unterstützte Assets:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3-Bucket
  • Azure Blob Storage-Container

Abhilfemaßnahmen:

  1. Verwenden Sie für Google Cloud -Daten Sensitive Data Protection, um einen Scan zur detaillierten Prüfung der angegebenen Ressource auszuführen und alle betroffenen Ressourcen zu identifizieren. Exportieren Sie Cloud SQL-Daten in eine CSV- oder AVRO-Datei in einem Cloud Storage-Bucket und führen Sie einen Scan zur detaillierten Überprüfung des Buckets aus.

    Bei Daten von anderen Cloud-Anbietern müssen Sie den angegebenen Bucket oder Container manuell prüfen.

  2. Entfernen Sie die erkannten Secrets.
  3. Erwägen Sie, die Anmeldedaten zurückzusetzen.
  4. Für Google Cloud -Daten sollten Sie die erkannten Secrets stattdessen in Secret Manager speichern.

Compliancestandards: Nicht zugeordnet

Ergebnisse zu fehlerhafter Konfiguration vom Discovery-Dienst

Der Sensitive Data Protection-Erkennungsdienst hilft Ihnen, Fehlkonfigurationen zu erkennen, die sensible Daten offenlegen könnten.

Kategorie Zusammenfassung

Kategoriename in der API:

SENSITIVE_DATA_CMEK_DISABLED

Ergebnisbeschreibung: Die angegebene Ressource enthält Daten mit hoher oder mittlerer Sensibilität und verwendet keinen vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK).

Unterstützte Assets:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3-Bucket
  • Azure Blob Storage-Container

Abhilfemaßnahmen:

Compliancestandards: Nicht zugeordnet

Ergebnisse der Beobachtung aus dem Discovery-Dienst

Data sensitivity
Gibt die Vertraulichkeitsstufe der Daten in einem bestimmten Daten-Asset an. Daten sind vertraulich, wenn sie personenidentifizierbare Informationen oder andere Elemente enthalten, die unter Umständen eine zusätzliche Steuerung oder Verwaltung erfordern. Der Schweregrad des Ergebnisses ist die Vertraulichkeitsstufe, die Sensitive Data Protection beim Generieren des Datenprofils berechnet hat.
Data risk
Das Risiko, das mit den Daten in ihrem aktuellen Zustand verbunden ist. Bei der Berechnung des Datenrisikos berücksichtigt Sensitive Data Protection die Vertraulichkeitsstufe der Daten im Daten-Asset und das Vorhandensein von Zugriffssteuerungen zum Schutz dieser Daten. Der Schweregrad des Ergebnisses ist die von Sensitive Data Protection berechnete Datenrisikostufe beim Generieren des Datenprofils.

Latenz bei der Ergebnisgenerierung

Je nach Größe Ihrer Organisation können Ergebnisse zum Schutz sensibler Daten innerhalb weniger Minuten nach der Aktivierung der Erkennung sensibler Daten in Security Command Center angezeigt werden. Bei größeren Organisationen oder Organisationen mit bestimmten Konfigurationen, die sich auf die Generierung von Ergebnissen auswirken, kann es bis zu 12 Stunden dauern, bis erste Ergebnisse in Security Command Center angezeigt werden.

Anschließend werden in Security Command Center innerhalb weniger Minuten nach dem Scannen Ihrer Ressourcen durch den Dienst zur Erkennung sensibler Daten Ergebnisse generiert.

Datenprofile an Security Command Center senden

Im Folgenden finden Sie einen allgemeinen Workflow für die Veröffentlichung von Datenprofilen in Security Command Center.

  1. Aktivierungsstufe von Security Command Center für Ihre Organisation prüfen. Damit Datenprofile an Security Command Center gesendet werden können, muss Security Command Center auf Organisationsebene aktiviert sein, unabhängig von der Serviceebene.

    Wenn Security Command Center nur auf Projektebene aktiviert ist, werden keine Ergebnisse zum Schutz sensibler Daten in Security Command Center angezeigt.

  2. Wenn Security Command Center nicht für Ihre Organisation aktiviert ist, müssen Sie es aktivieren. Weitere Informationen finden Sie je nach Security Command Center-Dienststufe in einem der folgenden Artikel:

  3. Prüfen Sie, ob Sensitive Data Protection als integrierter Dienst aktiviert ist. Weitere Informationen finden Sie unter Google Cloud Integrierten Dienst hinzufügen.

  4. Aktivieren Sie die Erkennung, indem Sie für jede Datenquelle, die Sie scannen möchten, eine Scankonfiguration für die Erkennung erstellen. Achten Sie darauf, dass die Option In Security Command Center veröffentlichen in Ihrer Scankonfiguration aktiviert ist.

    Wenn Sie eine vorhandene Konfiguration für die Erkennung haben, mit der keine Datenprofile in Security Command Center veröffentlicht werden, lesen Sie auf dieser Seite den Abschnitt Veröffentlichung in Security Command Center in einer vorhandenen Konfiguration aktivieren.

Erkennung mit Standardeinstellungen aktivieren

Um die Erkennung zu aktivieren, erstellen Sie für jede Datenquelle, die Sie scannen möchten, eine Erkennungskonfiguration. Mit diesem Verfahren können Sie diese Discovery-Konfigurationen automatisch mit Standardeinstellungen erstellen. Sie können die Einstellungen jederzeit anpassen.

Wenn Sie die Einstellungen gleich zu Beginn anpassen möchten, lesen Sie stattdessen die folgenden Seiten:

So aktivieren Sie die Suche mit Standardeinstellungen:

  1. Rufen Sie in der Google Cloud Console die Seite „Sensitive Data Protection“ → Erkennung aktivieren auf.

    Zur Option „Erkennung aktivieren“

  2. Prüfen Sie, ob Sie die Organisation aufrufen, für die Sie Security Command Center aktiviert haben.

  3. Legen Sie im Feld Dienst-Agent-Container das Projekt fest, das als Dienst-Agent-Container verwendet werden soll. In diesem Projekt erstellt das System einen Dienst-Agent und gewährt ihm automatisch die erforderlichen Berechtigungen für die Erkennung.

    Wenn Sie den Discovery-Dienst bereits für Ihre Organisation verwendet haben, haben Sie möglicherweise bereits ein Dienst-Agent-Containerprojekt, das Sie wiederverwenden können.

    • Wenn Sie automatisch ein Projekt erstellen möchten, das als Dienst-Agent-Container verwendet werden soll, prüfen Sie die vorgeschlagene Projekt-ID und bearbeiten Sie sie bei Bedarf. Klicken Sie dann auf Erstellen. Es kann einige Minuten dauern, bis die Berechtigungen für den Dienst-Agent des neuen Projekts erteilt werden.
    • Wenn Sie ein vorhandenes Projekt auswählen möchten, klicken Sie auf das Feld Dienst-Agent-Container und wählen Sie das Projekt aus.

  4. Wenn Sie sich die Standardeinstellungen ansehen möchten, klicken Sie auf das Symbol zum Maximieren .

  5. Klicken Sie im Bereich Enable discovery (Erkennung aktivieren) für jeden Erkennungstyp, den Sie aktivieren möchten, auf Enable (Aktivieren). Wenn Sie einen Erkennungstyp aktivieren, passiert Folgendes:

    • BigQuery: Erstellt eine Ermittlungskonfiguration für das Profiling von BigQuery-Tabellen in der gesamten Organisation. Der Schutz sensibler Daten beginnt mit der Profilerstellung Ihrer BigQuery-Daten und sendet die Profile an Security Command Center.
    • Cloud SQL: Erstellt eine Discovery-Konfiguration zum Erstellen von Profilen für Cloud SQL-Tabellen in der gesamten Organisation. Sensitive Data Protection beginnt mit dem Erstellen von Standardverbindungen für jede Ihrer Cloud SQL-Instanzen. Dieser Vorgang kann einige Stunden dauern. Wenn die Standardverbindungen bereit sind, müssen Sie Sensitive Data Protection Zugriff auf Ihre Cloud SQL-Instanzen gewähren, indem Sie jede Verbindung mit den richtigen Datenbank-Nutzeranmeldedaten aktualisieren.
    • Secrets/Anmeldedaten – Sicherheitslücken: Erstellt eine Erkennungskonfiguration zum Erkennen und Melden von unverschlüsselten Secrets in Cloud Run-Umgebungsvariablen. Sensitive Data Protection beginnt mit dem Scannen Ihrer Umgebungsvariablen.
    • Cloud Storage: Erstellt eine Discovery-Konfiguration für das Profiling von Cloud Storage-Buckets in der gesamten Organisation. Der Schutz sensibler Daten beginnt mit der Profilerstellung Ihrer Cloud Storage-Daten und sendet die Profile an Security Command Center.
    • Vertex AI-Datasets: Erstellt eine Ermittlungskonfiguration zum Erstellen von Profilen für Vertex AI-Datasets in der gesamten Organisation. Der Schutz sensibler Daten beginnt mit der Profilerstellung Ihrer Vertex AI-Datasets und sendet die Profile an Security Command Center.

    • Amazon S3: Erstellt eine Ermittlungskonfiguration zum Erstellen von Profilen für alle Amazon S3-Daten, auf die Ihr AWS-Connector Zugriff hat.

    • Azure Blob Storage: Erstellt eine Ermittlungskonfiguration zum Erstellen von Profilen für alle Azure Blob Storage-Daten, auf die Ihr Azure-Connector Zugriff hat.

  6. Wenn Sie die neu erstellten Erkennungskonfigurationen aufrufen möchten, klicken Sie auf Zur Erkennungskonfiguration.

    Wenn Sie die Cloud SQL-Erkennung aktiviert haben, wird die Erkennungskonfiguration im pausierten Modus mit Fehlern erstellt, die darauf hinweisen, dass keine Anmeldedaten vorhanden sind. Unter Verbindungen für die Verwendung mit Discovery verwalten finden Sie Informationen dazu, wie Sie Ihrem Dienst-Agent die erforderlichen IAM-Rollen zuweisen und Anmeldedaten für Datenbanknutzer für jede Cloud SQL-Instanz bereitstellen.

  7. Schließen Sie den Bereich.

Veröffentlichung in Security Command Center in einer vorhandenen Konfiguration aktivieren

Wenn Sie eine vorhandene Konfiguration für die Erkennung haben, die nicht für die Veröffentlichung von Erkennungsergebnissen in Security Command Center festgelegt ist, gehen Sie so vor:

  1. Öffnen Sie die Scankonfiguration zur Bearbeitung.

  2. Aktivieren Sie im Bereich Aktionen die Option In Security Command Center veröffentlichen.

  3. Klicken Sie auf Speichern.

Nach Security Command Center-Ergebnissen zu Datenprofilen suchen

Im Folgenden finden Sie Beispielabfragen, mit denen Sie relevante Data sensitivity- und Data risk-Ergebnisse in Security Command Center finden können. Sie können diese Abfragen in das Feld Abfrageeditor eingeben. Weitere Informationen zum Abfrageeditor finden Sie unter Abfrage für Ergebnisse im Security Command Center-Dashboard bearbeiten.

Alle Data sensitivity- und Data risk-Ergebnisse für eine bestimmte BigQuery-Tabelle auflisten

Diese Abfrage ist beispielsweise nützlich, wenn Security Command Center ein Ereignis erkennt, bei dem eine BigQuery-Tabelle in einem anderen Projekt gespeichert wurde. In diesem Fall wird ein Exfiltration: BigQuery Data Exfiltration-Ergebnis generiert, das den vollständigen Anzeigenamen der Tabelle enthält, die exfiltriert wurde. Sie können nach beliebigen Data sensitivity- und Data risk-Ergebnissen suchen, die sich auf die Tabelle beziehen. Sehen Sie sich die berechneten Vertraulichkeits- und Datenrisikostufen für die Tabelle an und planen Sie Ihre Reaktion entsprechend.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Projekts, das die BigQuery-Tabelle enthält
  • DATASET_ID: die Dataset-ID der Tabelle
  • TABLE_ID: Die ID der Tabelle

Alle Data sensitivity- und Data risk-Ergebnisse für eine bestimmte Cloud SQL-Instanz auflisten

Diese Abfrage ist beispielsweise nützlich, wenn Security Command Center ein Ereignis erkennt, bei dem Live-Cloud SQL-Instanzdaten in einen Cloud Storage-Bucket außerhalb der Organisation exportiert wurden. In diesem Fall wird ein Exfiltration: Cloud SQL Data Exfiltration-Ergebnis generiert, das den vollständigen Ressourcennamen der exfiltrierten Instanz enthält. Sie können nach allen Data sensitivity- und Data risk-Ergebnissen suchen, die sich auf die Instanz beziehen. Sehen Sie sich die berechneten Vertraulichkeits- und Datenrisikostufen für die Instanz an und planen Sie Ihre Reaktion entsprechend.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"

Ersetzen Sie Folgendes:

  • INSTANCE_NAME: ein Teil des Namens der Cloud SQL-Instanz

Alle Data risk- und Data sensitivity-Ergebnisse mit dem Schweregrad High auflisten

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"

Nächste Schritte