Mit dem Datenstandort haben Sie mehr Kontrolle darüber, wo sich Ihre Security Command Center-Daten befinden. In diesem Dokument finden Sie wichtige Informationen dazu, wie Security Command Center den Datenstandort unterstützt.
Die folgenden Definitionen gelten für dieses Dokument:
- Ein Standort ist eine Google Cloud Region oder Multiregion, die dem Speicherort Ihrer Daten entspricht.
- Die Bedeutung des Begriffs Ihre Daten entspricht der Bedeutung des Begriffs „Kundendaten“ im Abschnitt Datenspeicherort der allgemeinen Nutzungsbedingungen für Google Cloud.
Informationen zum Arbeiten mit Security Command Center-Ressourcen, wenn der Datenstandort aktiviert ist, finden Sie unter Regionale Endpunkte für Security Command Center.
Unterstützte Datenspeicherorte
In diesem Abschnitt werden die Datenspeicherorte beschrieben, die Sie für Security Command Center und zugehörige Dienste verwenden können.
Security Command Center-Datenspeicherorte
Wenn Sie den Datenstandort aktivieren, unterstützt die Security Command Center API die folgendenGoogle Cloud Multi-Regions als Datenspeicherorte:
- Europäische Union (
eu) - Daten befinden sich in einer Google Cloud Region in Mitgliedsstaaten der Europäischen Union.
- Saudi-Arabien (
sa) - Die Daten befinden sich in einer Google Cloud Region in Saudi-Arabien.
- Vereinigte Staaten (
us) - Die Daten befinden sich in einer Google Cloud Region in den USA.
Wenn Sie die Standard- oder Premium-Dienststufe verwenden, ändert sich durch das Upgrade auf die Enterprise-Stufe der Speicherort Ihrer Security Command Center-Daten nicht. Wenn Sie die Datenresidenz von Security Command Center für die Standard- oder Premium-Stufe nicht aktiviert haben, können Sie sie auch nicht aktivieren, wenn Sie ein Upgrade auf die Enterprise-Stufe durchführen.
Weitere Informationen zu Security Command Center-Standorten finden Sie unter Produktverfügbarkeit nach Standort.
Wenn Sie einen Standardspeicherort für den Datenstandort angeben müssen, der von Security Command Center nicht unterstützt wird, wenden Sie sich an Ihren Kundenbetreuer oder einen Google Cloud -Vertriebsspezialisten.
Google SecOps-Datenspeicherorte
Für Google Security Operations ist der Datenstandort immer aktiviert. Hier finden Sie eine Liste der Google SecOps-Standorte.
Unterstützte Funktionen und Startphasen
Wenn Sie den Datenstandort aktivieren, sind je nach verwendetem Dienstlevel möglicherweise einige Funktionen nicht verfügbar.
Enterprise-Stufe
In der Enterprise-Dienststufe von Security Command Center sind die folgenden Funktionen nicht verfügbar:
- Cloud Infrastructure Entitlement Management (CIEM) für externe Cloud-Anbieter
Die Anzahl der gescannten Ressourcen wird auf der Seite Compliance in der Google Cloud -Konsole angezeigt.
Gilt nur, wenn Sie Security Health Analytics für die Compliance-Verwaltung verwenden.
- Mandiant Attack Surface Management
Premium-Stufe
Für die Premium-Dienststufe von Security Command Center sind die folgenden Funktionen nicht verfügbar:
- AI Protection in Umgebungen mit Datenstandortkontrollen in Saudi-Arabien
Die Anzahl der gescannten Ressourcen wird auf der Seite Compliance in der Google Cloud -Konsole angezeigt.
Gilt nur, wenn Sie Security Health Analytics für die Compliance-Verwaltung verwenden.
Detektoren
Einige Detektoren in Cloud Run Threat Detection und Container Threat Detection können nicht aktiviert werden, wenn Sie den Datenstandort für einen bestimmten Standort aktivieren.
Pre-GA-Funktionen und ‑Dienste
Wie in den Bedingungen für Pre-GA-Angebote im Abschnitt Allgemeine Dienstbedingungen angegeben, gelten die Bedingungen zum Datenstandort nicht für Funktionen und Dienste vor der allgemeinen Verfügbarkeit (General Availability, GA).
Anforderungen an den Datenstandort
In diesem Abschnitt werden die Anforderungen für die Verwendung des Datenstandorts in Security Command Center und zugehörigen Diensten erläutert.
Voraussetzungen für Security Command Center
Sie können den Datenstandort für Security Command Center aktivieren, wenn Sie Security Command Center zum ersten Mal für eine Organisation aktivieren. Sie können die Konfiguration des Datenstandorts für die Service-Tiers „Standard“ und „Premium“ ändern.
Für den Datenstandort müssen Sie die Security Command Center v2 API verwenden. Wenn der Datenspeicherort aktiviert ist, können Sie keine früheren Versionen der Security Command Center API verwenden.
Wenn Sie den Datenstandort nicht aktivieren, wenn Sie Security Command Center aktivieren, werden Ihre Daten in Security Command Center nicht auf einen bestimmten Standort beschränkt und gemäß den Nutzungsbedingungen für die Google Cloud Platform gespeichert.
Wenn die Security Command Center Standard-Stufe automatisch in Ihrer Organisation aktiviert wurde und Sie dann eine Organisationsrichtlinie bereitstellen, die Ressourcenstandorte einschränkt, wird Security Command Center möglicherweise deaktiviert. Sie müssen es manuell reaktivieren.
Wenn Sie die Datenstandortkonfiguration ändern möchten, bevor Sie diese Organisationsrichtlinie bereitstellen, lesen Sie den Abschnitt Datenstandort- oder Datenverschlüsselungskonfiguration ändern.
Weitere Informationen finden Sie unter Überlegungen zum Datenstandort nach der automatischen Aktivierung des Standard-Tarifs.
Anforderungen für Google SecOps
Für Google SecOps ist der Datenstandort standardmäßig aktiviert. Sie können den Datenstandort für Google SecOps nicht deaktivieren.
So wird der Datenstandort erzwungen
Wenn Sie den Datenstandort für Security Command Center aktivieren, werden einige Security Command Center-Daten an einem bestimmten Standort gespeichert, wenn sie sich in einem der folgenden Zustände befinden:
- Im Ruhezustand: Im nichtflüchtigen Speicher abgelegt
- Wird verwendet: Im Arbeitsspeicher
- Bei der Übertragung: Im Arbeitsspeicher oder über das Netzwerk und von einem Client außerhalb von Google mit Transport Layer Security (TLS) verschlüsselt
Nachdem Sie den Datenstandort aktiviert und einen Datenspeicherort ausgewählt haben, führt Security Command Center Folgendes aus:
- Wenn ein Ergebnis für eine Ressource erstellt wird, die sich am angegebenen Standort befindet, wird es immer an Ihrem Datenstandort gespeichert.
- Wenn ein Befund für eine Ressource erstellt wird, die sich an einem anderen Standort befindet, wird er schließlich an Ihrem Datenstandort gespeichert. Die Ergebnisse können sich jedoch vorübergehend in einer anderen Region befinden.
- Wenn Sie bestimmte Arten von Konfigurationsressourcen an Ihrem Datenspeicherort erstellen, werden sie dort gespeichert.
- Wenn in Security Command Center Daten gespeichert werden, die nicht als Kundendaten gemäß dem Abschnitt Datenspeicherort in den allgemeinen Nutzungsbedingungen für Dienste definiert sind, werden die Daten in Security Command Center gemäß den Google Cloud Platform-Nutzungsbedingungen gespeichert. Google Cloud
Security Command Center-Ressourcen und Datenstandort
In der folgenden Liste wird erläutert, wie Security Command Center Kontrollen für den Speicherort von Daten auf Security Command Center-Ressourcen anwendet. Wenn eine Ressource hier nicht aufgeführt ist, unterliegt sie nicht den Steuerelementen für den Speicherort von Daten und wird gemäß den Nutzungsbedingungen für die Google Cloud Platform gespeichert.
- BigQuery-Exporte
BigQuery-Exportkonfigurationen unterliegen den Kontrollen für den Datenspeicherort. Verwenden Sie die regionalen Endpunkte, um diese Konfigurationsressourcen zu erstellen und zu verwalten.
In der Security Command Center API werden BigQuery-Exportkonfigurationen als
BigQueryExport-Ressourcen dargestellt.- Kontinuierliche Exporte
Konfigurationen für den kontinuierlichen Export unterliegen den Kontrollen für den Datenstandort. Verwenden Sie die regionalen Endpunkte, um diese Konfigurationsressourcen zu erstellen und zu verwalten.
In der Security Command Center API werden Konfigurationen für kontinuierliche Exporte als
NotificationConfig-Ressourcen dargestellt.- Ergebnisse
Die Ergebnisse unterliegen den Datenstandortkontrollen.
Wenn ein Ergebnis für eine Ressource erstellt wird, die sich am ausgewählten Datenstandort befindet, befindet sich das Ergebnis immer am selben Standort.
Wenn ein Befund für eine Ressource erstellt wird, die sich an einem anderen Ort befindet, wird er schließlich am ausgewählten Datenstandort gespeichert. Das Ergebnis befindet sich jedoch möglicherweise in einer anderen Region, wenn es erstellt wird.
Damit alle Ergebnisse an Ihrem Datenspeicherort verbleiben, müssen Sie alleGoogle Cloud -Ressourcen an diesem Speicherort erstellen.
- Google SecOps-Ressourcen
Alle Google SecOps-Ressourcen unterliegen den Datenstandortkontrollen. Verwenden Sie die regionalen Endpunkte, um diese Konfigurationsressourcen zu erstellen und zu verwalten.
- Ausblendungsregeln
Konfigurationen für Stummschaltungsregeln unterliegen den Datenstandortkontrollen. Verwenden Sie die regionalen Endpunkte, um diese Konfigurationsressourcen zu erstellen und zu verwalten.
In der Security Command Center API werden Konfigurationen für Ausblendregeln als
MuteConfig-Ressourcen dargestellt.- Weitere Security Command Center-Ressourcen und -Einstellungen
Security Command Center-Ressourcen und -Einstellungen, die in dieser Liste fehlen, z. B. solche, die definieren, welche Dienste aktiviert sind oder welche Stufe aktiv ist, unterliegen nicht den Datenstandortkontrollen. Diese Daten werden gemäß den Nutzungsbedingungen der Google Cloud Platform gespeichert.
Daten an einem Ort erstellen oder ansehen
Wenn der Datenstandort aktiviert ist, müssen Sie einen Speicherort angeben, wenn Sie Daten erstellen oder ansehen, die den Datenstandortkontrollen unterliegen. Security Command Center wählt automatisch einen Speicherort für die erstellten Ergebnisse aus.
Sie können jeweils nur Daten an einem Standort erstellen oder ansehen. Wenn Sie beispielsweise Ergebnisse für den Standort USA (us) auflisten, werden keine Ergebnisse für den Standort Europäische Union (eu) angezeigt.
Informationen zum Erstellen oder Aufrufen von Daten, die den Kontrollen zur Datenlokalität unterliegen, finden Sie unter Informationen zur Google Cloud -Konsole und Tools für regionale Endpunkte.
Nächste Schritte
- Security Command Center für eine Organisation aktivieren
- Regionale Endpunkte für Security Command Center verwenden
- Aktivieren Sie Security Command Center, um Ergebnisse in BigQuery zu streamen.
- Kontinuierliche Exporte von Security Command Center nach Pub/Sub einrichten
- Erstellen Sie eine Ausblendungsregel für Ergebnisse.