Erkennung sensibler Daten aktivieren

In diesem Dokument wird das Feature zur Erkennung sensibler Daten von Sensitive Data Protection beschrieben, wie es in den einzelnen Dienststufen von Security Command Center funktioniert und wie Sie es aktivieren.

Hinweis

Führen Sie diese Aufgaben aus, um die Erkennung sensibler Daten mit Security Command Center zu verwenden.

Security Command Center aktivieren

Aktivieren Sie Security Command Center. Je nachdem, wie Sie Security Command Center aktivieren, können zusätzliche Gebühren für Sensitive Data Protection anfallen. Weitere Informationen finden Sie unter Preise für die Erkennung für Security Command Center-Kunden.

Prüfen, ob Security Command Center für die Annahme von Ergebnissen von Sensitive Data Protection konfiguriert ist

Standardmäßig ist Security Command Center so konfiguriert, dass Ergebnisse von Sensitive Data Protection akzeptiert werden. Wenn Ihre Organisation Sensitive Data Protection als integrierten Dienst deaktiviert hat, müssen Sie ihn wieder aktivieren, um Ergebnisse zur Erkennung sensibler Daten zu erhalten. Weitere Informationen finden Sie unter Integrierten Google Cloud Dienst hinzufügen.

Berechtigungen einrichten

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren der Erkennung sensibler Daten benötigen:

Zweck	Vordefinierte Rolle	Relevante Berechtigungen
Konfiguration für einen Erkennungsscan erstellen und Datenprofile ansehen	DLP Administrator (`roles/dlp.admin`)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Projekt erstellen, das als Dienst-Agent-Container verwendet werden soll¹	Projektersteller (`roles/resourcemanager.projectCreator`)	resourcemanager.organizations.get resourcemanager.projects.create
Zugriff auf die Erkennung gewähren²	Eine der folgenden: Organisationsadministrator (`roles/resourcemanager.organizationAdmin`) Sicherheitsadministrator (`roles/iam.securityAdmin`)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ Wenn Sie nicht die Rolle „Projektersteller“ (roles/resourcemanager.projectCreator) haben, können Sie trotzdem eine Scankonfiguration erstellen. Der verwendete Dienst-Agent-Container muss jedoch ein vorhandenes Projekt sein.

² Wenn Sie nicht die Rolle „Organization Administrator“ (roles/resourcemanager.organizationAdmin) oder „Security Admin“ (roles/iam.securityAdmin) haben, können Sie trotzdem eine Scankonfiguration erstellen. Nachdem Sie die Scankonfiguration erstellt haben, muss eine Person in Ihrer Organisation, die eine dieser Rollen hat, dem Dienst-Agent Zugriff auf die Erkennung gewähren.

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Vorteile

Diese Funktion bietet folgende Vorteile:

Sie können Ergebnisse von Sensitive Data Protection verwenden, um Sicherheitslücken und Fehlkonfigurationen in Ihren Ressourcen zu identifizieren und zu beheben, die sensible Daten für die Öffentlichkeit oder böswillige Akteure zugänglich machen können.
Sie können Ergebnisse von Sensitive Data Protection verwenden, um dem Triageprozess Kontext hinzuzufügen und Bedrohungen zu priorisieren, die auf Ressourcen mit sensiblen Daten abzielen.
Sie können die Funktion zur Angriffspfadsimulation so konfigurieren, dass Ressourcen automatisch nach der Vertraulichkeit der darin enthaltenen Daten priorisiert werden. Weitere Informationen finden Sie unter Prioritätswerte für Ressourcen automatisch anhand der Datenvertraulichkeit festlegen.

Erkennung sensibler Daten in Security Command Center Enterprise

Security Command Center Enterprise umfasst ein Abo auf Organisationsebene für den Erkennungsdienst von Sensitive Data Protection. Mit diesem Abo fallen keine Gebühren für Sensitive Data Protection an, wenn Sie die Erkennung sensibler Daten auf Organisations- oder Ordnerebene ausführen. Weitere Informationen finden Sie in diesem Dokument unter Erkennungskapazität in „Enterprise“ und „Premium“.

Wenn Sie die Dienststufe „Security Command Center Enterprise“ aktivieren, wird die Erkennung sensibler Daten automatisch für alle unterstützten Ressourcentypen auf Organisationsebene aktiviert. Diese automatische Aktivierung ist ein einmaliger Vorgang, der nur für Ressourcentypen gilt, die zum Zeitpunkt der Aktivierung der Dienststufe „Enterprise“ unterstützt werden. Wenn Sensitive Data Protection später die Erkennung für neue Ressourcentypen unterstützt, müssen Sie diese Erkennungstypen manuell aktivieren. Eine Anleitung finden Sie in diesem Dokument unter Erkennung mit Standardeinstellungen in einer Organisation aktivieren.

Erkennung sensibler Daten in Security Command Center Premium

Wenn Sie Security Command Center Premium auf Organisationsebene aktiviert haben, umfasst Ihr Premium-Abo ein Abo auf Organisationsebene für den Erkennungsdienst von Sensitive Data Protection. Mit diesem Abo fallen keine Gebühren für Sensitive Data Protection an, wenn Sie die Erkennung sensibler Daten auf Organisations- oder Ordnerebene ausführen. Weitere Informationen finden Sie in diesem Dokument unter Erkennungskapazität in „Enterprise“ und „Premium“.

Wichtig:Achten Sie beim Konfigurieren der Erkennung sensibler Daten darauf, dass der Bereich Ihrer Konfiguration (auch als parent bezeichnet) Ihre Organisation und nicht ein Projekt ist. Ihr Abo auf Organisationsebene umfasst nur die Erkennung im Organisationsbereich. Wenn Sie einen Bereich auf Projektebene verwenden, fallen separate Gebühren für die Erkennung an.

Informationen zur Verwendung Ihres Abos auf Organisationsebene, um die Erkennung für ein einzelnes Projekt auszuführen, finden Sie in der Dokumentation zu Sensitive Data Protection unter Profile für ausgewählte Projekte oder Daten-Assets in einer Organisation oder einem Ordner erstellen.

Informationen zum Ausführen der Erkennung sensibler Daten auf Organisationsebene finden Sie in diesem Dokument unter Erkennung mit Standardeinstellungen in einer Organisation aktivieren.
Wenn Sie Security Command Center Premium auf Projektebene aktiviert haben, können Sie die Erkennung sensibler Daten auf Projektebene aktivieren und die Ergebnisse in Security Command Center abrufen. Für diese Funktion fallen jedoch separate Gebühren an. Informationen zum Aktivieren der Erkennung auf Projektebene finden Sie in der Dokumentation zu Sensitive Data Protection unter Scankonfiguration erstellen.

Informationen zum Ermitteln des Aktivierungstyps Ihrer Security Command Center-Instanz finden Sie unter Aktuellen Aktivierungstyp ansehen.

Erkennung sensibler Daten in Security Command Center Standard

Wenn Sie Security Command Center Standard haben, können Sie die Erkennung sensibler Daten aktivieren und die Ergebnisse in Security Command Center abrufen. Für diese Funktion fallen jedoch separate Gebühren an.

Funktionsweise

Mit dem Erkennungsdienst von Sensitive Data Protection können Sie Daten in Ihrer Organisation schützen, indem Sie ermitteln, wo sich sensible und risikoreiche Daten befinden.

In Sensitive Data Protection generiert der Erkennungsdienst Daten profile, die Messwerte und Informationen zu Ihren Daten auf verschiedenen Detailebenen enthalten.
In Security Command Center generiert der Erkennungsdienst Ergebnisse.

Generierte Ergebnisse

Sensitive Data Protection generiert in Security Command Center Beobachtungsergebnisse, die die berechneten Vertraulichkeits- und Datenrisikostufen Ihrer Daten zeigen. Sie können diese Ergebnisse verwenden, um Ihre Reaktion auf Bedrohungen und Sicherheitslücken im Zusammenhang mit Ihren Daten-Assets zu planen. Eine Liste der generierten Ergebnistypen finden Sie unter Beobachtung ergebnisse des Erkennungs dienstes.

Diese Ergebnisse können für die automatische Festlegung hochwertiger Ressourcen auf Grundlage der Vertraulichkeit der Daten verwendet werden. Weitere Informationen finden Sie in diesem Dokument unter Informationen aus der Erkennung verwenden um hochwertige Ressourcen zu identifizieren.
Sensitive Data Protection generiert in Security Command Center Ergebnisse zu Sicherheitslücken und Fehlkonfigurationen, wenn Sensitive Data Protection ungeschützte Daten mit hoher oder mittlerer Vertraulichkeit erkennt. Eine Liste der generierten Ergebnistypen finden Sie unter:
- Ergebnisse zu Sicherheitslücken des Erkennungsdienstes von Sensitive Data Protection
- Ergebnisse zu Fehlkonfigurationen des Erkennungsdienstes von Sensitive Data Protection

Eine vollständige Liste der Ergebnisse von Sensitive Data Protection finden Sie unter Sensitive Data Protection.

Latenz bei der Ergebnisgenerierung

Je nach Größe Ihrer Organisation können die Ergebnisse von Sensitive Data Protection innerhalb weniger Minuten nach der Aktivierung der Erkennung sensibler Daten in Security Command Center angezeigt werden. Bei größeren Organisationen oder Organisationen mit bestimmten Konfigurationen, die sich auf die Ergebnisgenerierung auswirken, kann es bis zu 12 Stunden dauern, bis die ersten Ergebnisse in Security Command Center angezeigt werden.

Anschließend generiert Sensitive Data Protection innerhalb weniger Minuten nach dem Scannen Ihrer Ressourcen durch den Erkennungsdienst Ergebnisse in Security Command Center.

Erkennung mit Standardeinstellungen in einer Organisation aktivieren

Um die Erkennung zu aktivieren, erstellen Sie für jede Daten quelle, die Sie scannen möchten, eine Erkennungskonfiguration. Sie können die Konfigurationen nach dem Erstellen bearbeiten. Informationen zum Anpassen der Einstellungen beim Erstellen einer Konfiguration, siehe Scankonfiguration erstellen.

So aktivieren Sie die Erkennung mit Standardeinstellungen auf Organisationsebene:

Rufen Sie in der Google Cloud Console die Seite Sensitive Data Protection Erkennung aktivieren auf.

Zu „Erkennung aktivieren“
Prüfen Sie, ob Sie die Organisation sehen, für die Sie Security Command Center aktiviert haben.
Legen Sie im Bereich Erkennung aktivieren im Feld Dienst-Agent-Container das Projekt fest, das als Dienst-Agent Container verwendet werden soll. In diesem Projekt erstellt das System einen Dienst-Agent und gewährt ihm automatisch die erforderlichen Erkennungsrollen.
- So erstellen Sie automatisch ein Projekt, das als Dienst-Agent-Container verwendet werden soll:
  1. Klicken Sie auf Erstellen.
  2. Geben Sie den Namen, das Rechnungskonto und die übergeordnete Organisation des neuen Projekts an. Optional können Sie die Projekt-ID bearbeiten.
  3. Klicken Sie auf Erstellen.
  Es kann einige Minuten dauern, bis die Rollen dem Dienst-Agent des neuen Projekts zugewiesen werden.
- Wenn Sie ein Projekt auswählen möchten, das Sie zuvor für Erkennungsvorgänge verwendet haben, klicken Sie auf das Feld Dienst-Agent-Container und wählen Sie das Projekt aus.
Klicken Sie auf das Symbol „Maximieren“ , um die Standardeinstellungen zu prüfen.
Klicken Sie im Bereich Erkennung aktivieren für jeden Erkennungstyp, den Sie aktivieren möchten, auf Aktivieren. Durch das Aktivieren eines Erkennungstyps wird Folgendes ausgeführt:
- BigQuery: Erstellt eine Erkennungskonfiguration für die Profilerstellung von BigQuery-Tabellen in der gesamten Organisation. Sensitive Data Protection beginnt mit der Profilerstellung für Ihre BigQuery-Daten und sendet die Profile an Security Command Center.
- Cloud SQL: Erstellt eine Erkennungskonfiguration für die Profilerstellung von Cloud SQL-Tabellen in der gesamten Organisation. Sensitive Data Protection beginnt mit dem Erstellen von Standardverbindungen für jede Ihrer Cloud SQL-Instanzen. Dieser Vorgang kann einige Stunden dauern. Wenn die Standardverbindungen bereit sind, müssen Sie Sensitive Data Protection Zugriff auf Ihre Cloud SQL-Instanzen gewähren, indem Sie jede Verbindung mit den entsprechenden Datenbank-Nutzeranmeldedaten aktualisieren.
- Sicherheitslücken bei Secrets/Anmeldedaten: Erstellt eine Erkennungskonfiguration zum Erkennen und Melden von unverschlüsselten Secrets in Cloud Run Umgebungsvariablen. Sensitive Data Protection beginnt mit dem Scannen Ihrer Umgebungsvariablen.
- Cloud Storage: Erstellt eine Erkennungskonfiguration für die Profilerstellung von Cloud Storage-Buckets in der gesamten Organisation. Sensitive Data Protection beginnt mit der Profilerstellung für Ihre Cloud Storage-Daten und sendet die Profile an Security Command Center.
- Vertex AI-Datasets: Erstellt eine Erkennungskonfiguration für die Profilerstellung von Gemini Enterprise Agent Platform-Datasets in der gesamten Organisation. Sensitive Data Protection beginnt mit der Profilerstellung für Ihre Agent Platform-Datasets und sendet die Profile an Security Command Center.
- Amazon S3: Erstellt eine Erkennungskonfiguration für die Profilerstellung aller Amazon S3-Daten, auf die Ihr AWS-Connector Zugriff hat.
  
  Hinweis: Für diese Funktion ist Security Command Center Enterprise erforderlich. Sie müssen zuerst einen AWS-Connector erstellen, der die für die Erkennung durch Sensitive Data Protection erforderlichen AWS-Berechtigungen hat.
- Azure Blob Storage: Erstellt eine Erkennungskonfiguration für die Profilerstellung aller Azure Blob Storage-Daten, auf die Ihr Azure-Connector Zugriff hat.
  
  Hinweis: Für diese Funktion ist Security Command Center Enterprise erforderlich. Sie müssen zuerst einen Azure-Connector erstellen , der die für die Erkennung durch Sensitive Data Protection erforderlichen Azure-Berechtigungen hat.
Klicken Sie auf Zur Erkennungskonfiguration, um die neu erstellten Erkennungskonfigurationen aufzurufen.

Wenn Sie die Cloud SQL-Erkennung aktiviert haben, wird die Erkennungskonfiguration im pausierten Modus mit Fehlern erstellt, die auf das Fehlen von Anmeldedaten hinweisen. Unter Verbindungen für die Erkennung verwalten erfahren Sie, wie Sie Ihrem Dienst-Agent die erforderlichen IAM-Rollen gewähren und Datenbank-Nutzeranmeldedaten für jede Cloud SQL-Instanz angeben.
Schließen Sie den Bereich.

Informationen zum Aufrufen der von Sensitive Data Protection generierten Ergebnisse finden Sie unter Ergebnisse von Sensitive Data Protection in der Google Cloud Console ansehen.

Scankonfigurationen anpassen

Für jeden Erkennungstyp, den Sie aktivieren, gibt es eine Erkennungsscankonfiguration, die Sie anpassen können. Sie haben zum Beispiel folgende Möglichkeiten:

Scanhäufigkeit anpassen
Filter für Daten-Assets angeben, für die kein neues Profil erstellt werden soll
Prüfvorlage ändern, die die Informationstypen definiert, nach denen Sensitive Data Protection sucht.
Generierte Datenprofile für andere Google Cloud Dienste veröffentlichen
Dienst-Agent-Container ändern

Informationen aus der Erkennung verwenden, um hochwertige Ressourcen zu identifizieren

Security Command Center kann eine Ressource, die Daten mit hoher oder mittlerer Vertraulichkeit enthält, automatisch als hochwertige Ressource festlegen. Für hochwertige Ressourcen bietet Security Command Center Angriffsbewertungen und Visualisierungen von Angriffspfaden, mit denen Sie die Sicherheit von Ressourcen mit sensiblen Daten priorisieren können. Weitere Informationen finden Sie unter Prioritätswerte für Ressourcen automatisch anhand der Vertraulichkeit von Daten festlegen.

Erkennungskapazität in „Enterprise“ und „Premium“

Wenn Ihre Anforderungen an die Erkennung sensibler Daten die für Security Command Center Enterprise- oder Premium-Kunden (auf Organisationsebene) zugewiesene Kapazität übersteigen, kann Sensitive Data Protection Ihre Kapazität vorübergehend erhöhen. Diese Erhöhung ist jedoch nicht garantiert und hängt davon ab, ob Rechenressourcen verfügbar sind. Wenn Sie mehr Erkennungskapazität benötigen, wenden Sie sich an Ihren Kundenbetreuer oder einen Google Cloud Vertriebsspezialisten. Weitere Informationen finden Sie in der Dokumentation zu Sensitive Data Protection unter Nutzung beobachten.

Erkennung sensibler Daten innerhalb von Dienstperimetern

Wenn Sie VPC Service Controls-Dienstperimeter verwenden und sensible Daten innerhalb dieser Perimeter erkennen möchten, lesen Sie Erkennung sensibler Daten innerhalb von Dienstperimetern zulassen.