In diesem Abschnitt wird beschrieben, wie Sie Aktionen angeben, die Sensitive Data Protection nach dem Erstellen eines Profils für eine Ressource ausführen soll. Diese Aktionen sind nützlich, wenn Sie Statistiken aus Datenprofilen an andere Google Cloud Dienste senden möchten.
Wenn Sie Erkennungsaktionen aktivieren möchten, erstellen oder bearbeiten Sie eine Konfiguration für einen Erkennungsscan. In den folgenden Abschnitten werden die verschiedenen Aktionen beschrieben, die Sie im Abschnitt Aktionen hinzufügen der Scankonfiguration aktivieren können.Nicht alle Aktionen auf dieser Seite sind für jeden Erkennungs typ verfügbar. Sie können beispielsweise keine Tags an Ressourcen anhängen, wenn Sie die Erkennung für Ressourcen eines anderen Cloud-Anbieters konfigurieren. Weitere Informationen finden Sie auf dieser Seite unter Unterstützte Aktionen.
Weitere Informationen zur Erkennung sensibler Daten finden Sie unter Daten profile.
Für Inspektions- und Risikoanalysevorgänge gibt es unterschiedliche Aktionen. Weitere Informationen finden Sie unter Aktionen für die Inspektion oder Risikoanalyse aktivieren.
In Google Security Operations veröffentlichen
Messwerte aus Daten profilen können Ihren Google Security Operations-Ergebnissen Kontext hinzufügen. Der zusätzliche Kontext kann Ihnen helfen, die wichtigsten Sicherheitsprobleme zu ermitteln, die behoben werden müssen.
Wenn Sie beispielsweise einen bestimmten Dienst-Agent untersuchen, kann Google Security Operations ermitteln, auf welche Ressourcen der Dienst-Agent zugegriffen hat und ob eine dieser Ressourcen Daten mit hoher Vertraulichkeit enthält.
Wenn Sie Ihre Datenprofile an Ihre Google Security Operations-Instanz senden möchten, aktivieren Sie In Google Security Operations veröffentlichen.
Wenn für Ihre Organisation keine Google Security Operations-Instanz aktiviert ist – weder über das eigenständige Produkt noch über Security Command Center Enterprise – hat das Aktivieren dieser Option keine Auswirkungen.
In Security Command Center veröffentlichen
Ergebnisse aus Datenprofilen liefern Kontext, wenn Sie Ergebnisse zu Sicherheitslücken und Bedrohungen in Security Command Centerpriorisieren und Reaktionspläne entwickeln.
Bevor Sie diese Aktion verwenden können, muss Security Command Center auf Organisationsebene aktiviert sein. Wenn Sie Security Command Center auf Organisationsebene aktivieren, können Ergebnisse von integrierten Diensten wie Sensitive Data Protection fließen. Sensitive Data Protection funktioniert mit allen Dienststufen von Security Command Center.Wenn Security Command Center nicht auf Organisationsebene aktiviert ist, werden Sensitive Data Protection-Ergebnisse nicht in Security Command Center angezeigt. Weitere Informationen finden Sie unter Aktivierungsstufe von Security Command Center prüfen.
Wenn Sie die Ergebnisse Ihrer Datenprofile an Security Command Center senden möchten, muss die Option In Security Command Center veröffentlichen aktiviert sein.
Weitere Informationen finden Sie unter Datenprofile in Security Command Center veröffentlichen.
Datenprofilkopien in BigQuery speichern
Sensitive Data Protection speichert eine Kopie jedes generierten Datenprofils in einer BigQuery-Tabelle. Wenn Sie keine Details zur gewünschten Tabelle angeben, erstellt Sensitive Data Protection ein Dataset und eine Tabelle im Dienst-Agent-Container.
Standardmäßig heißt das Dataset sensitive_data_protection_discovery und die Tabelle discovery_profiles.
Mit dieser Aktion können Sie einen Verlauf aller generierten Profile führen. Dieser Verlauf kann nützlich sein, um Auditberichte zu erstellen und Datenprofile zu visualisieren. Sie können diese Informationen auch in andere Systeme laden.
Außerdem können Sie mit dieser Option alle Ihre Datenprofile in einer einzigen Ansicht sehen, unabhängig davon, in welcher Region sich Ihre Daten befinden. Sie können sich die Datenprofile zwar auch über die Console Google Cloud ansehen, aber dort werden die Profile jeweils nur in einer Region angezeigt.
Wenn Sensitive Data Protection kein Profil für eine Ressource erstellen kann, wird der Vorgang in regelmäßigen Abständen wiederholt. Um das Rauschen in den exportierten Daten zu minimieren, exportiert Sensitive Data Protection nur erfolgreich generierte Profile nach BigQuery.
Sensitive Data Protection beginnt mit dem Exportieren von Profilen, sobald Sie diese Option aktivieren. Profile, die vor dem Aktivieren des Exports generiert wurden, werden nicht in BigQuery gespeichert.
Beispielabfragen, die Sie bei der Analyse von Datenprofilen verwenden können, finden Sie unter Datenprofile analysieren.
Beispielergebnisse für die Erkennung in BigQuery speichern
Sensitive Data Protection kann einer BigQuery-Tabelle Ihrer Wahl Beispielergebnisse hinzufügen. Beispielergebnisse stellen eine Teilmenge aller Ergebnisse dar und enthalten möglicherweise nicht alle erkannten infoTypes. Normalerweise generiert das System etwa 10 Beispielergebnisse pro Ressource. Diese Anzahl kann jedoch für jeden Erkennungslauf variieren.
Jedes Ergebnis enthält den erkannten String (auch Zitat genannt) und seinen genauen Speicherort.
Diese Aktion ist nützlich, wenn Sie prüfen möchten, ob Ihre Inspektions konfiguration den Typ von Informationen korrekt abgleicht, den Sie als vertraulich kennzeichnen möchten. Mit den exportierten Datenprofilen und den exportierten Beispielergebnissen können Sie Abfragen ausführen, um weitere Informationen zu den gekennzeichneten Elementen, den übereinstimmenden infoTypes, den genauen Speicherorten, den berechneten Vertraulichkeitsstufen und anderen Details zu erhalten.
Beispielabfrage: Beispielergebnisse für Dateispeicher-Datenprofile anzeigen
Für dieses Beispiel müssen sowohl Datenprofilkopien in BigQuery speichern als auch Beispielergebnisse für die Erkennung in BigQuery speichern aktiviert sein.
Die folgende Abfrage verwendet einen INNER JOIN-Vorgang für die Tabelle der exportierten Datenprofile und die Tabelle der exportierten Beispielergebnisse. In der Ergebnistabelle enthält jeder Eintrag das Zitat des Ergebnisses, den übereinstimmenden infoType, die Ressource, die das Ergebnis enthält, und die berechnete Vertraulichkeitsstufe der Ressource.
SELECT findings_table.quote, findings_table.infotype.name, findings_table.location.container_name, profiles_table.file_store_profile.file_store_path as bucket_name, profiles_table.file_store_profile.sensitivity_score as bucket_sensitivity_score FROM `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table INNER JOIN `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table ON findings_table.data_profile_resource_name=profiles_table.file_store_profile.name
Beispielabfrage: Beispielergebnisse für Tabellendatenprofile anzeigen
Für dieses Beispiel müssen sowohl Datenprofilkopien in BigQuery speichern als auch Beispielergebnisse für die Erkennung in BigQuery speichern aktiviert sein.
Die folgende Abfrage verwendet einen INNER JOIN-Vorgang für die Tabelle der exportierten Datenprofile und die Tabelle der exportierten Beispielergebnisse. In der Ergebnistabelle enthält jeder Eintrag das Zitat des Ergebnisses, den übereinstimmenden infoType, die Ressource, die das Ergebnis enthält, und die berechnete Vertraulichkeitsstufe der Ressource.
SELECT findings_table.quote, findings_table.infotype.name, findings_table.location.container_name, findings_table.location.data_profile_finding_record_location.field.name AS field_name, profiles_table.table_profile.dataset_project_id AS project_id, profiles_table.table_profile.dataset_id AS dataset_id, profiles_table.table_profile.table_id AS table_id, profiles_table.table_profile.sensitivity_score AS table_sensitivity_score FROM `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table INNER JOIN `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table ON findings_table.data_profile_resource_name=profiles_table.table_profile.name
So speichern Sie Beispielergebnisse in einer BigQuery-Tabelle:
Aktivieren Sie Beispielergebnisse für die Erkennung in BigQuery speichern.
Geben Sie die Details der BigQuery-Tabelle ein, in der Sie die Beispielergebnisse speichern möchten.
Die für diese Aktion angegebene Tabelle muss sich von der Tabelle unterscheiden, die für die Aktion Datenprofilkopien in BigQuery speichern verwendet wird.
Geben Sie für Projekt-ID die ID eines vorhandenen Projekts ein, in das Sie die Ergebnisse exportieren möchten.
Geben Sie für Dataset-ID den Namen eines vorhandenen Datasets im Projekt ein.
Geben Sie für Tabellen-ID den Namen der BigQuery-Tabelle ein, in der Sie die Ergebnisse speichern möchten. Wenn diese Tabelle nicht vorhanden ist, wird sie von Sensitive Data Protection automatisch mit dem von Ihnen angegebenen Namen erstellt.
Informationen zu den Inhalten der einzelnen Ergebnisse, die in der
BigQuery-Tabelle gespeichert werden, finden Sie unter
DataProfileFinding.
Tags an Ressourcen anhängen
Wenn Sie Tags an Ressourcen anhängen aktivieren, werden Ihre Daten von Sensitive Data Protection automatisch entsprechend der berechneten Vertraulichkeitsstufe getaggt. Für diesen Abschnitt müssen Sie zuerst die Aufgaben unter IAM-Zugriff auf Ressourcen basierend auf der Vertraulichkeit von Daten steuern ausführen.
So taggen Sie eine Ressource automatisch entsprechend der berechneten Vertraulichkeitsstufe:
- Aktivieren Sie die Option Ressourcen taggen.
Geben Sie für jede Vertraulichkeitsstufe (hoch, moderat, niedrig und unbekannt) den Pfad des Tag-Werts ein, den Sie für die jeweilige Vertraulichkeitsstufe erstellt haben.
Wenn Sie eine Vertraulichkeitsstufe überspringen, wird kein Tag angehängt.
Wenn Sie die Datenrisikostufe einer Ressource automatisch senken möchten, wenn das Tag für die Vertraulichkeitsstufe vorhanden ist, wählen Sie Beim Anwenden eines Tags auf eine Ressource das Datenrisiko ihres Profils auf NIEDRIG setzen aus. Mit dieser Option können Sie die Verbesserung Ihrer Datensicherheit und Ihres Datenschutzes messen.
Wählen Sie eine oder beide der folgenden Optionen aus:
- Eine Ressource taggen, wenn zum ersten Mal ein Profil für sie erstellt wird.
Eine Ressource taggen, wenn ihr Profil aktualisiert wird. Wählen Sie diese Option aus, wenn Sensitive Data Protection den Tag-Wert für die Vertraulichkeitsstufe bei nachfolgenden Erkennungsläufen überschreiben soll. Dadurch ändert sich der Zugriff eines Principals auf eine Ressource automatisch, wenn die berechnete Vertraulichkeitsstufe für diese Ressource steigt oder sinkt.
Wählen Sie diese Option nicht aus, wenn Sie die Tag-Werte für die Vertraulichkeitsstufe, die der Erkennungsdienst an Ihre Ressourcen angehängt hat, manuell aktualisieren möchten. Wenn Sie diese Option auswählen, kann Sensitive Data Protection Ihre manuellen Aktualisierungen überschreiben.
In Pub/Sub veröffentlichen
Wenn Sie In Pub/Sub veröffentlichen aktivieren, können Sie programmatische Aktionen basierend auf den Profilergebnissen ausführen. Mit Pub/Sub-Benachrichtigungen können Sie einen Workflow erstellen, um Ergebnisse mit erheblichem Datenrisiko oder hoher Vertraulichkeit zu erfassen und zu beheben.
So senden Sie Benachrichtigungen an ein Pub/Sub-Thema:
Aktivieren Sie In Pub/Sub veröffentlichen.
Eine Liste mit Optionen wird angezeigt. Jede Option beschreibt ein Ereignis, das dazu führt, dass Sensitive Data Protection eine Benachrichtigung an Pub/Sub sendet.
Wählen Sie die Ereignisse aus, die eine Pub/Sub-Benachrichtigung auslösen sollen.
Wenn Sie Bei jeder Aktualisierung eines Profils eine Pub/Sub-Benachrichtigung senden auswählen, sendet Sensitive Data Protection eine Benachrichtigung, wenn sich die Vertraulichkeitsstufe, die Datenrisikostufe, die erkannten infoTypes, der öffentliche Zugriff und andere wichtige Messwerte im Profil ändern.
Führen Sie für jedes ausgewählte Ereignis die folgenden Schritte aus:
Geben Sie den Namen des Themas ein. Der Name muss das folgende Format haben:
projects/PROJECT_ID/topics/TOPIC_IDErsetzen Sie Folgendes:
- PROJECT_ID: die ID des Projekts, das mit dem Pub/Sub-Thema verknüpft ist.
- TOPIC_ID: die ID des Pub/Sub-Themas.
Geben Sie an, ob das vollständige Ressourcenprofil in die Benachrichtigung aufgenommen werden soll oder nur der vollständige Ressourcenname der Ressource, für die ein Profil erstellt wurde.
Legen Sie die Mindeststufen für Datenrisiko und Vertraulichkeit fest, die erfüllt sein müssen, damit Sensitive Data Protection eine Benachrichtigung sendet.
Geben Sie an, ob nur eine oder beide Bedingungen für Datenrisiko und Vertraulichkeit erfüllt sein müssen. Wenn Sie beispielsweise
ANDauswählen, müssen sowohl die Bedingung für das Datenrisiko als auch die Bedingung für die Vertraulichkeit erfüllt sein, bevor Sensitive Data Protection eine Benachrichtigung sendet.
Als Tags an Data Catalog senden
Dieses Feature ist veraltet.
Mit dieser Aktion können Sie Data Catalog-Tags in Knowledge Catalog basierend auf Statistiken aus Datenprofilen erstellen. Diese Aktion wird nur auf neue und aktualisierte Profile angewendet. Vorhandene Profile, die nicht aktualisiert werden, werden nicht an Knowledge Catalog gesendet.
Data Catalog ist ein vollständig verwalteter, skalierbarer Dienst zur Metadaten verwaltung. Wenn Sie diese Aktion aktivieren, werden Tabellen, für die Sie ein Profil erstellen, in Data Catalog automatisch anhand von Statistiken aus den Datenprofilen getaggt. Anschließend können Sie in Knowledge Catalog in Ihrer Organisation und Ihren Projekten nach Tabellen mit bestimmten Tag-Werten suchen.
Wenn Sie die Datenprofile als Data Catalog-Tags an Knowledge Catalog senden möchten, muss die Option Als Tags an Dataplex senden aktiviert sein.
Weitere Informationen finden Sie unter Tabellen in Data Catalog anhand von Statistiken aus Datenprofilen taggen.
Als Aspekte an Knowledge Catalog senden
Mit dieser Aktion können Sie Knowledge Catalog-Aspekte zu Ressourcen hinzufügen, für die ein Profil erstellt wurde, basierend auf Statistiken aus Datenprofilen. Diese Aktion wird nur auf neue und aktualisierte Profile angewendet. Vorhandene Profile, die nicht aktualisiert werden, werden nicht an Knowledge Catalog gesendet.
Wenn Sie diese Aktion aktivieren, hängt Sensitive Data Protection den
Sensitive Data Protection profile Aspekt an den Knowledge Catalog
Eintrag für jede neue oder aktualisierte
Ressource an, für die Sie ein Profil erstellen. Die generierten Aspekte enthalten Statistiken aus den Datenprofilen. Anschließend können Sie in Ihrer Organisation und Ihren Projekten nach Einträgen mit bestimmten Werten für den Aspekt Sensitive Data Protection profile suchen.
Wenn Sie die Datenprofile an Knowledge Catalog senden möchten, muss die Option Als Aspekte an Dataplex Catalog senden aktiviert sein.
Weitere Informationen finden Sie unter Knowledge Catalog-Aspekte basierend auf Statistiken aus Datenprofilen hinzufügen.
Unterstützte Aktionen
In der folgenden Tabelle sind die Aktionen aufgeführt, die für die einzelnen Erkennungstypen unterstützt werden.
| In Google Security Operations veröffentlichen | In Security Command Center veröffentlichen | Datenprofilkopien in BigQuery speichern | Beispielergebnisse für die Erkennung in BigQuery speichern | Tags an Ressourcen anhängen | In Pub/Sub veröffentlichen | Als Data Catalog-Tags an Knowledge Catalog senden (verworfen) | Als Aspekte an Knowledge Catalog senden | |
|---|---|---|---|---|---|---|---|---|
| Amazon S3 | ✓ | ✓ | ✓ | ✓ | ✓ | |||
| Azure Blob Storage | ✓ | ✓ | ✓ | ✓ | ✓ | |||
| BigQuery | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Cloud SQL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Cloud Storage | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| Vertex AI | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
Nächste Schritte
- Informationen zur Verwendung von Kontextdaten aus Datenprofilen in Google Security Operations.
- Informationen zu den Ergebnissen, die Sensitive Data Protection in Security Command Center generieren kann
- Informationen zum Analysieren von Datenprofilen in BigQuery und Looker Studio.
- Informationen zum Steuern des IAM-Zugriffs auf Ressourcen basierend auf der Vertraulichkeit von Daten
- Informationen zum Empfangen und Parsen von Pub/Sub-Nachrichten zu Daten profilen
- Informationen zum Hinzufügen von Knowledge Catalog-Aspekten basierend auf Statistiken aus Datenprofilen