Diese Seite wurde von der Cloud Translation API übersetzt.

Erkennung sensibler Daten aktivieren

In diesem Dokument wird die Funktion Erkennung sensibler Daten von Sensitive Data Protection beschrieben. Außerdem wird erläutert, wie sie in den einzelnen Security Command Center-Dienststufen funktioniert und wie Sie sie aktivieren.

Hinweise

Wenn Sie die Erkennung sensibler Daten mit Security Command Center verwenden möchten, müssen Sie die folgenden Aufgaben ausführen.

Security Command Center aktivieren

Security Command Center aktivieren. Je nachdem, wie Sie Security Command Center aktivieren, können zusätzliche Gebühren für den Schutz sensibler Daten anfallen. Weitere Informationen finden Sie unter Discovery-Preise für Security Command Center-Kunden.

Security Command Center muss so konfiguriert sein, dass Ergebnisse zum Schutz sensibler Daten akzeptiert werden.

Standardmäßig ist Security Command Center so konfiguriert, dass Ergebnisse vom Schutz sensibler Daten akzeptiert werden. Wenn Ihre Organisation Sensitive Data Protection als integrierten Dienst deaktiviert hat, müssen Sie ihn wieder aktivieren, um Ergebnisse zur Erkennung sensibler Daten zu erhalten. Weitere Informationen finden Sie unter Integrierte Dienste hinzufügen. Google Cloud

Berechtigungen einrichten

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren der Erkennung vertraulicher Daten benötigen:

Zweck	Vordefinierte Rolle	Relevante Berechtigungen
Konfiguration für Erkennungsscan erstellen und Datenprofile ansehen	DLP Administrator (`roles/dlp.admin`)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Erstellen Sie ein Projekt, das als Dienst-Agent-Container¹ verwendet werden soll.	Projektersteller (`roles/resourcemanager.projectCreator`)	resourcemanager.organizations.get resourcemanager.projects.create
Zugriff auf die Auffindbarkeit gewähren²	Eine der folgenden: Organisationsadministrator (`roles/resourcemanager.organizationAdmin`) Sicherheitsadministrator (`roles/iam.securityAdmin`)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ Wenn Sie nicht die Rolle „Projektersteller“ (roles/resourcemanager.projectCreator) haben, können Sie trotzdem eine Scankonfiguration erstellen. Der von Ihnen verwendete Dienst-Agent-Container muss jedoch ein vorhandenes Projekt sein.

² Wenn Sie nicht die Rolle „Organisationsadministrator“ (roles/resourcemanager.organizationAdmin) oder „Sicherheitsadministrator“ (roles/iam.securityAdmin) haben, können Sie trotzdem eine Scankonfiguration erstellen. Nachdem Sie die Scankonfiguration erstellt haben, muss jemand in Ihrer Organisation, der eine dieser Rollen hat, dem Dienst-Agent Zugriff auf die Ermittlung gewähren.

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Vorteile

Diese Funktion bietet folgende Vorteile:

Mithilfe der Ergebnisse von Sensitive Data Protection können Sie Sicherheitslücken und Fehlkonfigurationen in Ihren Ressourcen identifizieren und beheben, die sensible Daten für die Öffentlichkeit oder für böswillige Akteure zugänglich machen können.
Sie können Sensitive Data Protection-Ergebnisse verwenden, um dem Triage-Prozess Kontext hinzuzufügen und Bedrohungen zu priorisieren, die auf Ressourcen mit vertraulichen Daten abzielen.
Sie können die Funktion zur Simulation von Angriffspfaden so konfigurieren, dass Ressourcen automatisch nach der Vertraulichkeit der darin enthaltenen Daten priorisiert werden. Weitere Informationen finden Sie unter Prioritätswerte für Ressourcen automatisch anhand der Vertraulichkeit von Daten festlegen.

Erkennung sensibler Daten in Security Command Center Enterprise

Security Command Center Enterprise umfasst ein Abo des Dienstes zur Erkennung sensibler Daten auf Organisationsebene. Mit diesem Abo fallen keine Sensitive Data Protection-Gebühren an, wenn Sie die Erkennung sensibler Daten auf Organisations- oder Ordnerebene ausführen. Weitere Informationen finden Sie in diesem Dokument unter Discovery-Kapazität in Enterprise und Premium.

Wenn Sie die Enterprise-Stufe von Security Command Center aktivieren, wird die Erkennung sensibler Daten automatisch für alle unterstützten Ressourcentypen auf Organisationsebene aktiviert. Dieser automatische Aktivierungsvorgang ist ein einmaliger Vorgang, der nur für Ressourcentypen gilt, die zum Zeitpunkt der Aktivierung des Enterprise-Tarifs unterstützt werden. Wenn Sensitive Data Protection später die Erkennung für neue Ressourcentypen unterstützt, müssen Sie diese Erkennungstypen manuell aktivieren. Eine Anleitung finden Sie in diesem Dokument unter Erkennung mit Standardeinstellungen in einer Organisation aktivieren.

Erkennung sensibler Daten in Security Command Center Premium

Wenn Sie Security Command Center Premium auf Organisationsebene aktiviert haben, enthält Ihr Premium-Abo ein Abo des Discovery-Dienstes zum Schutz sensibler Daten auf Organisationsebene. Mit diesem Abo fallen keine Sensitive Data Protection-Gebühren an, wenn Sie die Erkennung sensibler Daten auf Organisations- oder Ordnerebene ausführen. Weitere Informationen finden Sie in diesem Dokument unter Discovery-Kapazität in Enterprise und Premium.

Wichtig:Achten Sie beim Konfigurieren der Erkennung vertraulicher Daten darauf, dass der Umfang Ihrer Konfiguration (auch als parent bezeichnet) Ihre Organisation und nicht ein Projekt ist. Ihr Abo auf Organisationsebene umfasst nur die Suche im Organisationsbereich. Wenn Sie einen Bereich auf Projektebene verwenden, fallen separate Discovery-Gebühren an.

Informationen dazu, wie Sie Ihr Abo auf Organisationsebene verwenden, um die Ermittlung für ein einzelnes Projekt auszuführen, finden Sie in der Dokumentation zum Schutz sensibler Daten unter Profile select projects or data assets in an organization or folder.

Informationen zum Ausführen der Erkennung vertraulicher Daten auf Organisationsebene finden Sie in diesem Dokument unter Erkennung mit Standardeinstellungen in einer Organisation aktivieren.
Wenn Sie Security Command Center Premium auf Projektebene aktiviert haben, können Sie die Erkennung sensibler Daten auf Projektebene aktivieren und die Ergebnisse in Security Command Center abrufen. Diese Funktion wird jedoch separat abgerechnet. Informationen zum Aktivieren der Erkennung auf Projektebene finden Sie in der Dokumentation zum Schutz sensibler Daten unter Scankonfiguration erstellen.

Informationen zum Ermitteln des Aktivierungstyps Ihrer Security Command Center-Instanz finden Sie unter Aktuellen Aktivierungstyp ansehen.

Erkennung sensibler Daten in Security Command Center Standard

Wenn Sie Security Command Center Standard haben, können Sie die Erkennung sensibler Daten aktivieren und die Ergebnisse in Security Command Center abrufen. Diese Funktion wird jedoch separat abgerechnet.

Funktionsweise

Der Sensitive Data Protection-Erkennungsdienst hilft Ihnen, Daten in Ihrer Organisation zu schützen, indem er ermittelt, wo sich sensible und risikoreiche Daten befinden.

Im Schutz sensibler Daten generiert der Erkennungsdienst Datenprofile, die Messwerte und Statistiken zu Ihren Daten auf verschiedenen Detailebenen enthalten.
Im Security Command Center generiert der Dienst zur Erkennung sensibler Daten Ergebnisse.

Ergebnisse generiert

Der Schutz sensibler Daten generiert Beobachtungsergebnisse in Security Command Center, die die berechneten Vertraulichkeits- und Datenrisikostufen Ihrer Daten zeigen. Sie können diese Erkenntnisse nutzen, um Ihre Reaktion auf Bedrohungen und Sicherheitslücken im Zusammenhang mit Ihren Daten-Assets zu optimieren. Eine Liste der generierten Ergebnistypen finden Sie unter Beobachtungsergebnisse des Discovery-Dienstes.

Diese Erkenntnisse können in die automatische Zuweisung von Ressourcen mit hohem Wert auf Grundlage der Vertraulichkeit von Daten einfließen. Weitere Informationen finden Sie in diesem Dokument unter Erkenntnisse zur Erkennung verwenden, um Ressourcen mit hohem Wert zu identifizieren.
Sensitive Data Protection generiert in Security Command Center Ergebnisse zu Sicherheitslücken und Fehlkonfigurationen, wenn Sensitive Data Protection ungeschützte Daten mit hoher oder mittlerer Sensibilität erkennt. Eine Liste der generierten Ergebnistypen finden Sie hier:
- Ergebnisse zu Sicherheitslücken aus dem Sensitive Data Protection-Erkennungsdienst
- Ergebnisse von Fehlkonfigurationen aus dem Erkennungsdienst für den Schutz sensibler Daten

Eine vollständige Liste der Ergebnisse aus Sensitive Data Protection finden Sie unter Sensitive Data Protection.

Latenz bei der Ergebnisgenerierung

Je nach Größe Ihrer Organisation können Ergebnisse zum Schutz sensibler Daten in Security Command Center innerhalb weniger Minuten nach der Aktivierung der Erkennung sensibler Daten angezeigt werden. Bei größeren Organisationen oder Organisationen mit bestimmten Konfigurationen, die sich auf die Generierung von Ergebnissen auswirken, kann es bis zu 12 Stunden dauern, bis erste Ergebnisse in Security Command Center angezeigt werden.

Anschließend werden in Security Command Center innerhalb weniger Minuten nach dem Scannen Ihrer Ressourcen durch den Dienst zur Erkennung sensibler Daten Ergebnisse zum Schutz sensibler Daten generiert.

Ermittlung mit Standardeinstellungen in einer Organisation aktivieren

Um die Erkennung zu aktivieren, erstellen Sie für jede Datenquelle, die Sie scannen möchten, eine Erkennungskonfiguration. Sie können die Konfigurationen bearbeiten, nachdem Sie sie erstellt haben. Wenn Sie Einstellungen beim Erstellen einer Konfiguration anpassen möchten, lesen Sie stattdessen Scankonfiguration erstellen.

So aktivieren Sie die Erkennung mit Standardeinstellungen auf Organisationsebene:

Rufen Sie in der Google Cloud Console die Seite „Sensitive Data Protection“ → Erkennung aktivieren auf.

Zur Option „Erkennung aktivieren“
Prüfen Sie, ob Sie die Organisation aufrufen, für die Sie Security Command Center aktiviert haben.
Legen Sie im Bereich Erkennung aktivieren im Feld Dienst-Agent-Container das Projekt fest, das als Dienst-Agent-Container verwendet werden soll. In diesem Projekt erstellt das System einen Dienst-Agent und gewährt ihm automatisch die erforderlichen Discovery-Rollen.
- So erstellen Sie automatisch ein Projekt, das als Dienst-Agent-Container verwendet werden soll:
  1. Klicken Sie auf Erstellen.
  2. Geben Sie den Namen, das Rechnungskonto und die übergeordnete Organisation des neuen Projekts an. Optional können Sie die Projekt-ID bearbeiten.
  3. Klicken Sie auf Erstellen.
  Es kann einige Minuten dauern, bis die Rollen dem Dienst-Agent des neuen Projekts zugewiesen werden.
- Wenn Sie ein Projekt auswählen möchten, das Sie zuvor für Discovery-Vorgänge verwendet haben, klicken Sie auf das Feld Dienstkontocontainer und wählen Sie das Projekt aus.
Wenn Sie sich die Standardeinstellungen ansehen möchten, klicken Sie auf das Symbol zum Maximieren .
Klicken Sie im Bereich Enable discovery (Erkennung aktivieren) für jeden Erkennungstyp, den Sie aktivieren möchten, auf Enable (Aktivieren). Wenn Sie einen Erkennungstyp aktivieren, passiert Folgendes:
- BigQuery: Erstellt eine Ermittlungskonfiguration für das Profiling von BigQuery-Tabellen in der gesamten Organisation. Der Schutz sensibler Daten beginnt mit der Profilerstellung Ihrer BigQuery-Daten und sendet die Profile an Security Command Center.
- Cloud SQL: Erstellt eine Discovery-Konfiguration zum Erstellen von Profilen für Cloud SQL-Tabellen in der gesamten Organisation. Sensitive Data Protection beginnt mit dem Erstellen von Standardverbindungen für jede Ihrer Cloud SQL-Instanzen. Dieser Vorgang kann einige Stunden dauern. Wenn die Standardverbindungen bereit sind, müssen Sie Sensitive Data Protection Zugriff auf Ihre Cloud SQL-Instanzen gewähren, indem Sie jede Verbindung mit den richtigen Datenbank-Nutzeranmeldedaten aktualisieren.
- Secrets/Anmeldedaten – Sicherheitslücken: Erstellt eine Erkennungskonfiguration zum Erkennen und Melden von unverschlüsselten Secrets in Cloud Run-Umgebungsvariablen. Sensitive Data Protection beginnt mit dem Scannen Ihrer Umgebungsvariablen.
- Cloud Storage: Erstellt eine Discovery-Konfiguration für das Profiling von Cloud Storage-Buckets in der gesamten Organisation. Der Schutz sensibler Daten beginnt mit der Profilerstellung Ihrer Cloud Storage-Daten und sendet die Profile an Security Command Center.
- Vertex AI-Datasets: Erstellt eine Ermittlungskonfiguration zum Erstellen von Profilen für Vertex AI-Datasets in der gesamten Organisation. Sensitive Data Protection beginnt mit der Profilerstellung Ihrer Vertex AI-Datasets und sendet die Profile an Security Command Center.
- Amazon S3: Erstellt eine Ermittlungskonfiguration zum Erstellen von Profilen für alle Amazon S3-Daten, auf die Ihr AWS-Connector Zugriff hat.
  
  Hinweis: Für diese Funktion ist Security Command Center Enterprise erforderlich. Sie müssen zuerst einen AWS-Connector erstellen, der die für die Sensitive Data Protection-Erkennung erforderlichen AWS-Berechtigungen hat.
- Azure Blob Storage: Erstellt eine Ermittlungskonfiguration zum Erstellen von Profilen für alle Azure Blob Storage-Daten, auf die Ihr Azure-Connector Zugriff hat.
  
  Hinweis: Für diese Funktion ist Security Command Center Enterprise erforderlich. Sie müssen zuerst einen Azure-Connector erstellen, der die für die Erkennung durch Sensitive Data Protection erforderlichen Azure-Berechtigungen hat.
Wenn Sie die neu erstellten Erkennungskonfigurationen aufrufen möchten, klicken Sie auf Zur Erkennungskonfiguration.

Wenn Sie die Cloud SQL-Erkennung aktiviert haben, wird die Erkennungskonfiguration im pausierten Modus mit Fehlern erstellt, die auf das Fehlen von Anmeldedaten hinweisen. Unter Verbindungen für die Verwendung mit Discovery verwalten erfahren Sie, wie Sie Ihrem Dienst-Agent die erforderlichen IAM-Rollen zuweisen und Anmeldedaten für Datenbanknutzer für jede Cloud SQL-Instanz bereitstellen.
Schließen Sie den Bereich.

Informationen zum Ansehen der vom Schutz sensibler Daten generierten Ergebnisse finden Sie unter Ergebnisse des Schutzes sensibler Daten in derGoogle Cloud Console ansehen.

Scankonfigurationen anpassen

Für jeden aktivierten Erkennungstyp gibt es eine Erkennungsscankonfiguration, die Sie anpassen können. Sie haben zum Beispiel folgende Möglichkeiten:

Passen Sie die Scan-Häufigkeit an.
Geben Sie Filter für Datenassets an, für die kein neues Profil erstellt werden soll.
Ändern Sie die Inspektionsvorlage, in der die Informationstypen definiert sind, nach denen Sensitive Data Protection sucht.
Die generierten Datenprofile in anderen Google Cloud Diensten veröffentlichen.
Ändern Sie den Dienst-Agent-Container.

Mithilfe von Statistiken zur Erkennung hochwertige Ressourcen identifizieren

Security Command Center kann automatisch eine Ressource, die Daten mit hoher oder mittlerer Vertraulichkeit enthält, als hochwertige Ressource kennzeichnen. Für hochwertige Ressourcen bietet Security Command Center Angriffsrisikobewertungen und Visualisierungen von Angriffspfaden, mit denen Sie die Sicherheit von Ressourcen mit sensiblen Daten priorisieren können. Weitere Informationen finden Sie unter Prioritätswerte für Ressourcen automatisch anhand der Vertraulichkeit von Daten festlegen.

Discovery-Kapazität in Enterprise und Premium

Wenn Ihre Anforderungen an die Erkennung sensibler Daten die für Security Command Center Enterprise- oder Premium-Kunden (auf Organisationsebene) zugewiesene Kapazität überschreiten, kann Sensitive Data Protection Ihre Kapazität vorübergehend erhöhen. Diese Steigerung ist jedoch nicht garantiert und hängt davon ab, ob Rechenressourcen verfügbar sind. Wenn Sie mehr Kapazität für die Ermittlung benötigen, wenden Sie sich an Ihren Kundenbetreuer oder einen Google Cloud Vertriebsspezialisten. Weitere Informationen finden Sie in der Dokumentation zum Schutz sensibler Daten unter Nutzung überwachen.