Datenprofile im Security Command Center veröffentlichen

Auf dieser Seite finden Sie eine allgemeine Übersicht über die Aktionen, die Sie ausführen müssen, damit Datenprofile Ergebnisse in Security Command Center generieren. Auf dieser Seite finden Sie auch Beispielabfragen, mit denen Sie die generierten Ergebnisse finden können.

Datenprofile

Sie können den Schutz sensibler Daten so konfigurieren, dass automatisch Profile für Daten in einer Organisation, einem Ordner oder einem Projekt erstellt werden. Datenprofile enthalten Messwerte und Metadaten zu Ihren Daten und können ermitteln, wo sich sensible und risikoreiche Daten befinden. Der Schutz sensibler Daten meldet diese Messwerte auf verschiedenen Detailebenen. Informationen zu den Datentypen, die Sie analysieren können, finden Sie unter Unterstützte Ressourcen.

Vorteile der Veröffentlichung von Datenprofilen in Security Command Center

Diese Funktion bietet in Security Command Center folgende Vorteile:

Generierte Security Command Center-Ergebnisse

Wenn Sie den Dienst zur Erkennung sensibler Daten so konfigurieren, dass Datenprofile in Security Command Center veröffentlicht werden, werden für jedes Tabellendatenprofil oder Dateispeicherdatenprofil die folgenden Security Command Center-Ergebnisse generiert.

Ergebnisse zu Sicherheitslücken aus dem Erkennungsdienst

Mit dem Sensitive Data Protection-Erkennungsdienst können Sie feststellen, ob Sie höchst sensible Daten speichern, die nicht geschützt sind.

Kategorie Zusammenfassung

Kategoriename in der API:

PUBLIC_SENSITIVE_DATA

Ergebnisbeschreibung: Die angegebene Ressource enthält Daten mit hoher Vertraulichkeit, auf die jeder im Internet zugreifen kann.

Unterstützte Assets:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3-Bucket
  • Azure Blob Storage-Container

Abhilfemaßnahmen:

Entfernen Sie für Google Cloud Daten allUsers und allAuthenticatedUsers aus der IAM-Richtlinie des Daten-Assets.

Konfigurieren Sie für Amazon S3-Daten die Einstellungen zum Blockieren des öffentlichen Zugriffs oder aktualisieren Sie die ACL des Objekts, um den öffentlichen Lesezugriff zu verweigern. Weitere Informationen finden Sie in der AWS-Dokumentation unter Einstellungen zum Blockieren des öffentlichen Zugriffs für Ihre S3-Buckets konfigurieren und ACLs konfigurieren.

Entfernen Sie für Azure Blob Storage-Daten den öffentlichen Zugriff auf den Container und die Blobs. Weitere Informationen finden Sie in der Azure-Dokumentation unter Übersicht: Beheben des anonymen Lesezugriffs für Blob-Daten.

Compliance-Standards: Nicht zugeordnet

Kategoriename in der API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Ergebnisbeschreibung: Es gibt Secrets, z. B. Passwörter, Authentifizierungstokens und Google Cloud Anmeldedaten, in Umgebungsvariablen.

Informationen zum Aktivieren dieses Detektors finden Sie in der Dokumentation zum Schutz sensibler Daten unter Geheimnisse in Umgebungsvariablen an Security Command Center melden.

Unterstützte Assets:

Abhilfemaßnahmen:

Entfernen Sie bei Umgebungsvariablen für Cloud Run Functions das Secret aus der Umgebungsvariable und speichern Sie es stattdessen in Secret Manager.

Bei Umgebungsvariablen für Cloud Run-Dienstüberarbeitungen müssen Sie den gesamten Traffic von der Überarbeitung weg migrieren und sie dann löschen.

Compliance standards:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Kategoriename in der API:

SECRETS_IN_STORAGE

Ergebnisbeschreibung: In der angegebenen Ressource sind Secrets wie Passwörter, Authentifizierungstokens und Cloud-Anmeldedaten vorhanden.

Unterstützte Assets:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3-Bucket
  • Azure Blob Storage-Container

Abhilfemaßnahmen:

  1. Verwenden Sie für Google Cloud -Daten Sensitive Data Protection, um einen Deep-Inspection-Scan der angegebenen Ressource auszuführen und alle betroffenen Ressourcen zu identifizieren. Exportieren Sie Cloud SQL-Daten in eine CSV- oder AVRO-Datei in einem Cloud Storage-Bucket und führen Sie einen Scan zur detaillierten Überprüfung des Buckets aus.

    Bei Daten von anderen Cloud-Anbietern müssen Sie den angegebenen Bucket oder Container manuell prüfen.

  2. Entfernen Sie die erkannten Secrets.
  3. Erwägen Sie, die Anmeldedaten zurückzusetzen.
  4. Für Google Cloud -Daten sollten Sie die erkannten Secrets stattdessen in Secret Manager speichern.

Compliance-Standards: Nicht zugeordnet

Ergebnisse zu Fehlkonfigurationen vom Erkennungsdienst

Der Sensitive Data Protection-Erkennungsdienst hilft Ihnen, Fehlkonfigurationen zu erkennen, die sensible Daten offenlegen könnten.

Kategorie Zusammenfassung

Kategoriename in der API:

SENSITIVE_DATA_CMEK_DISABLED

Ergebnisbeschreibung: Die angegebene Ressource enthält Daten mit hoher oder mittlerer Sensibilität und verwendet keinen vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK).

Unterstützte Assets:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3-Bucket
  • Azure Blob Storage-Container

Abhilfemaßnahmen:

Compliance-Standards: Nicht zugeordnet

Beobachtungsergebnisse des Discovery-Dienstes

Data sensitivity
Ein Hinweis auf die Vertraulichkeitsstufe der Daten in einem bestimmten Daten-Asset. Daten sind vertraulich, wenn sie personenidentifizierbare Informationen oder andere Elemente enthalten, die unter Umständen eine zusätzliche Steuerung oder Verwaltung erfordern. Der Schweregrad des Ergebnisses ist die Vertraulichkeitsstufe, die von Sensitive Data Protection beim Generieren des Datenprofils berechnet wurde.
Data risk
Das Risiko, das mit den Daten in ihrem aktuellen Zustand verbunden ist. Bei der Berechnung des Datenrisikos berücksichtigt Sensitive Data Protection die Vertraulichkeitsstufe der Daten im Daten-Asset und das Vorhandensein von Zugriffssteuerungen zum Schutz dieser Daten. Der Schweregrad des Ergebnisses ist die von Sensitive Data Protection berechnete Datenrisikostufe beim Generieren des Datenprofils.

Latenz bei der Ergebnisgenerierung

Je nach Größe Ihrer Organisation können Ergebnisse zum Schutz sensibler Daten in Security Command Center innerhalb weniger Minuten nach der Aktivierung der Erkennung sensibler Daten angezeigt werden. Bei größeren Organisationen oder Organisationen mit bestimmten Konfigurationen, die sich auf die Generierung von Ergebnissen auswirken, kann es bis zu 12 Stunden dauern, bis erste Ergebnisse in Security Command Center angezeigt werden.

Anschließend werden in Security Command Center innerhalb weniger Minuten nach dem Scannen Ihrer Ressourcen durch den Dienst zur Erkennung sensibler Daten Ergebnisse zum Schutz sensibler Daten generiert.

Datenprofile an Security Command Center senden

Im Folgenden finden Sie einen allgemeinen Workflow zum Veröffentlichen von Datenprofilen in Security Command Center.

  1. Aktivierungstyp von Security Command Center prüfen Je nach Security Command Center-Dienststufe haben Sie möglicherweise ein Standard-Discovery-Abo auf Organisationsebene.

  2. Wenn Security Command Center nicht aktiviert ist, aktivieren Sie es.

  3. Prüfen Sie, ob Security Command Center so konfiguriert ist, dass Ergebnisse aus Sensitive Data Protection akzeptiert werden. Das bedeutet, dass Sensitive Data Protection in Security Command Center als integrierter Dienst aktiviert ist. Weitere Informationen finden Sie in der Security Command Center-Dokumentation unter Google Cloud integrierten Dienst hinzufügen.

  4. Aktivieren Sie die Erkennung, indem Sie für jede Datenquelle, die Sie scannen möchten, eine Scankonfiguration für die Erkennung erstellen. Achten Sie darauf, dass die Option In Security Command Center veröffentlichen in Ihrer Scankonfiguration aktiviert bleibt.

    Wenn Sie eine vorhandene Konfiguration für die Erkennung haben, mit der keine Datenprofile in Security Command Center veröffentlicht werden, lesen Sie den Abschnitt Veröffentlichung in Security Command Center in einer vorhandenen Konfiguration aktivieren auf dieser Seite.

Ermittlung mit Standardeinstellungen in einer Organisation aktivieren

Um die Erkennung zu aktivieren, erstellen Sie für jede Datenquelle, die Sie scannen möchten, eine Erkennungskonfiguration. Sie können die Konfigurationen bearbeiten, nachdem Sie sie erstellt haben. Wenn Sie Einstellungen beim Erstellen einer Konfiguration anpassen möchten, lesen Sie stattdessen Scankonfiguration erstellen.

So aktivieren Sie die Erkennung mit Standardeinstellungen auf Organisationsebene:

  1. Rufen Sie in der Google Cloud Console die Seite „Sensitive Data Protection“ → Erkennung aktivieren auf.

    Zur Option „Erkennung aktivieren“

  2. Prüfen Sie, ob Sie die Organisation aufrufen, für die Sie Security Command Center aktiviert haben.

  3. Legen Sie im Bereich Erkennung aktivieren im Feld Dienst-Agent-Container das Projekt fest, das als Dienst-Agent-Container verwendet werden soll. In diesem Projekt erstellt das System einen Dienst-Agent und gewährt ihm automatisch die erforderlichen Discovery-Rollen.

    • So erstellen Sie automatisch ein Projekt, das als Dienst-Agent-Container verwendet werden soll:

      1. Klicken Sie auf Erstellen.
      2. Geben Sie den Namen, das Rechnungskonto und die übergeordnete Organisation des neuen Projekts an. Optional können Sie die Projekt-ID bearbeiten.
      3. Klicken Sie auf Erstellen.

      Es kann einige Minuten dauern, bis die Rollen dem Dienst-Agent des neuen Projekts zugewiesen werden.

    • Wenn Sie ein Projekt auswählen möchten, das Sie zuvor für Discovery-Vorgänge verwendet haben, klicken Sie auf das Feld Dienstkontocontainer und wählen Sie das Projekt aus.

  4. Wenn Sie sich die Standardeinstellungen ansehen möchten, klicken Sie auf das Symbol zum Maximieren .

  5. Klicken Sie im Bereich Enable discovery (Erkennung aktivieren) für jeden Erkennungstyp, den Sie aktivieren möchten, auf Enable (Aktivieren). Wenn Sie einen Erkennungstyp aktivieren, passiert Folgendes:

    • BigQuery: Erstellt eine Ermittlungskonfiguration für das Profiling von BigQuery-Tabellen in der gesamten Organisation. Der Schutz sensibler Daten beginnt mit der Profilerstellung Ihrer BigQuery-Daten und sendet die Profile an Security Command Center.
    • Cloud SQL: Erstellt eine Discovery-Konfiguration zum Erstellen von Profilen für Cloud SQL-Tabellen in der gesamten Organisation. Sensitive Data Protection beginnt mit dem Erstellen von Standardverbindungen für jede Ihrer Cloud SQL-Instanzen. Dieser Vorgang kann einige Stunden dauern. Wenn die Standardverbindungen bereit sind, müssen Sie Sensitive Data Protection Zugriff auf Ihre Cloud SQL-Instanzen gewähren, indem Sie jede Verbindung mit den richtigen Datenbank-Nutzeranmeldedaten aktualisieren.
    • Secrets/Anmeldedaten – Sicherheitslücken: Erstellt eine Erkennungskonfiguration zum Erkennen und Melden von unverschlüsselten Secrets in Cloud Run-Umgebungsvariablen. Sensitive Data Protection beginnt mit dem Scannen Ihrer Umgebungsvariablen.
    • Cloud Storage: Erstellt eine Discovery-Konfiguration für das Profiling von Cloud Storage-Buckets in der gesamten Organisation. Der Schutz sensibler Daten beginnt mit der Profilerstellung Ihrer Cloud Storage-Daten und sendet die Profile an Security Command Center.
    • Vertex AI-Datasets: Erstellt eine Ermittlungskonfiguration zum Erstellen von Profilen für Vertex AI-Datasets in der gesamten Organisation. Sensitive Data Protection beginnt mit der Profilerstellung Ihrer Vertex AI-Datasets und sendet die Profile an Security Command Center.

    • Amazon S3: Erstellt eine Ermittlungskonfiguration zum Erstellen von Profilen für alle Amazon S3-Daten, auf die Ihr AWS-Connector Zugriff hat.

    • Azure Blob Storage: Erstellt eine Ermittlungskonfiguration zum Erstellen von Profilen für alle Azure Blob Storage-Daten, auf die Ihr Azure-Connector Zugriff hat.

  6. Wenn Sie die neu erstellten Erkennungskonfigurationen aufrufen möchten, klicken Sie auf Zur Erkennungskonfiguration.

    Wenn Sie die Cloud SQL-Erkennung aktiviert haben, wird die Erkennungskonfiguration im pausierten Modus mit Fehlern erstellt, die auf das Fehlen von Anmeldedaten hinweisen. Unter Verbindungen für die Verwendung mit Discovery verwalten erfahren Sie, wie Sie Ihrem Dienst-Agent die erforderlichen IAM-Rollen zuweisen und Anmeldedaten für Datenbanknutzer für jede Cloud SQL-Instanz bereitstellen.

  7. Schließen Sie den Bereich.

Veröffentlichung in Security Command Center in einer vorhandenen Konfiguration aktivieren

Wenn Sie eine vorhandene Konfiguration für die Erkennung haben, die nicht so eingestellt ist, dass Erkennungsergebnisse in Security Command Center veröffentlicht werden, gehen Sie so vor:

  1. Öffnen Sie die Scankonfiguration zur Bearbeitung.

  2. Aktivieren Sie im Abschnitt Aktionen die Option In Security Command Center veröffentlichen.

  3. Klicken Sie auf Speichern.

Nach Security Command Center-Ergebnissen zu Datenprofilen suchen

Im Folgenden finden Sie Beispielabfragen, mit denen Sie relevante Data sensitivity- und Data risk-Ergebnisse in Security Command Center finden können. Sie können diese Abfragen in das Feld Abfrageeditor eingeben. Weitere Informationen zum Abfrageeditor finden Sie unter Abfrage für Ergebnisse im Security Command Center-Dashboard bearbeiten.

Alle Data sensitivity- und Data risk-Ergebnisse für eine bestimmte BigQuery-Tabelle auflisten

Diese Abfrage ist beispielsweise nützlich, wenn Security Command Center ein Ereignis erkennt, bei dem eine BigQuery-Tabelle in einem anderen Projekt gespeichert wurde. In diesem Fall wird ein Exfiltration: BigQuery Data Exfiltration-Ergebnis generiert, das den vollständigen Anzeigenamen der exfiltrierten Tabelle enthält. Sie können nach beliebigen Data sensitivity- und Data risk-Ergebnissen suchen, die sich auf die Tabelle beziehen. Sehen Sie sich die berechneten Vertraulichkeits- und Datenrisikostufen für die Tabelle an und planen Sie Ihre Reaktion entsprechend.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Projekts, das die BigQuery-Tabelle enthält
  • DATASET_ID: die Dataset-ID der Tabelle
  • TABLE_ID: Die ID der Tabelle

Alle Data sensitivity- und Data risk-Ergebnisse für eine bestimmte Cloud SQL-Instanz auflisten

Diese Abfrage ist beispielsweise nützlich, wenn Security Command Center ein Ereignis erkennt, bei dem Live-Cloud SQL-Instanzdaten in einen Cloud Storage-Bucket außerhalb der Organisation exportiert wurden. In diesem Fall wird ein Exfiltration: Cloud SQL Data Exfiltration-Ergebnis generiert, das den vollständigen Ressourcennamen der exfiltrierten Instanz enthält. Sie können nach allen Data sensitivity- und Data risk-Ergebnissen suchen, die sich auf die Instanz beziehen. Sehen Sie sich die berechneten Sensibilitäts- und Datenrisikostufen für die Instanz an und planen Sie Ihre Reaktion entsprechend.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"

Ersetzen Sie Folgendes:

  • INSTANCE_NAME: ein Teil des Namens der Cloud SQL-Instanz

Alle Data risk- und Data sensitivity-Ergebnisse mit dem Schweregrad High auflisten

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"

Nächste Schritte