A residência de dados oferece mais controle sobre onde o Security Command Center armazena seus descobertas e outros dados. Quando você ativa a residência de dados, o Security Command Center o seguinte:
Se possível, o Security Command Center armazena as descobertas na multirregião do Google Cloud em que seus recursos estão localizados.
Caso contrário, as descobertas serão armazenadas em um local padrão que que você escolher.
O Security Command Center armazena alguns tipos recursos de configuração em um local que que você escolher.
Em todos os outros casos, o Security Command Center armazena os dados globalmente.
Esta página fornece informações essenciais sobre como usar a residência de dados. O as seguintes definições se aplicam a esta página:
- Um local é uma região ou multirregião do Google Cloud. que corresponde ao local em que seus dados são armazenados.
- O significado do termo seus dados é equivalente ao significado do termo "Dados do cliente" no item Local dos dados na interface do Google Cloud Termos gerais de serviço.
Requisitos para residência de dados
Você só pode ativar a residência de dados quando: Ativar o nível Standard ou Premium do Security Command Center em uma organização pela primeira vez. O nível Enterprise não oferece suporte à residência de dados.
Depois que a residência de dados for ativada, não será possível desativá-la nem alterar seu padrão o local.
A residência de dados exige que você use a API Security Command Center v2. Se os dados residência estiver ativada, não será possível usar versões anteriores do a API Security Command Center.
Quando a residência de dados está ativada, os seguintes recursos, funções e integrações com outros produtos não são compatíveis:
- Resumos por IA
- Web Security Scanner
- Terraform
Se você não ativar a residência de dados ao ativar o Security Command Center,
a localização dos seus recursos do Security Command Center está definida como Global (global
),
e o Security Command Center não restringe o armazenamento de seus dados a nenhuma
em um local específico.
Locais de dados com suporte
O Security Command Center oferece suporte apenas às seguintes multirregiões do Google Cloud locais de dados:
- União Europeia (
eu
) - Os dados são armazenados em qualquer região do Google Cloud dentro dos estados membros da União Europeia.
- Estados Unidos (
us
) - Os dados são armazenados em qualquer região do Google Cloud nos Estados Unidos.
- Global (
global
) - Os dados podem ser armazenados ou processados em qualquer região do Google Cloud. Se os dados
residência não estiver ativada, o modelo global (
global
) será o único o local.
Para mais informações sobre locais do Security Command Center, consulte Produtos disponíveis por local.
Se você precisa especificar um local padrão para residência de dados que O Security Command Center não oferece suporte, então entre em contato com o representante da sua conta ou um especialista em vendas do Google Cloud.
Local de dados padrão
Ao ativar a residência de dados do Security Command Center, você especifica um local padrão. Você pode selecionar qualquer local de dados compatível como padrão.
O Security Command Center usa o local padrão apenas para armazenar descobertas que se aplicam aos seguintes tipos de recursos:
- Recursos que não estão localizados em um local de dados com suporte para o Security Command Center
- Recursos que não especificam um local nos metadados
Se você implantar recursos do Google Cloud em vários locais ou
em várias regiões, poderá escolher o local global (global
) como padrão.
Se você implantar recursos apenas em um único local, poderá escolher a multirregião que inclui esse local como padrão.
Recursos e residência de dados do Security Command Center
A lista a seguir explica como o Security Command Center aplica controles de residência de dados a recursos do Security Command Center. Se um recurso não estiver listado aqui, depois são armazenados globalmente.
- Recursos
Os metadados do recurso não estão sujeitos ao controle de residência de dados e são armazenados globalmente no Inventário de recursos do Cloud.
Por isso, a página Recursos do Security Command Center na seção O console do Google Cloud sempre mostra todos os recursos da sua organização, pasta ou projeto, independentemente do local em que você selecione no console do Google Cloud. No entanto, quando a residência de dados está ativada, e visualizar os detalhes de um recurso, a página Recursos não exibirá informações sobre as descobertas que afetam o recurso.
- Pontuações de exposição a ataques e caminhos de ataque
Pontuações de exposição a ataques e caminhos de ataque não estão sujeitos a controles de residência de dados e são armazenados globalmente.
- Exportações do BigQuery
As configurações do BigQuery Export estão sujeitas a controles de residência de dados. Quando você ao criá-los, especifique o local onde serão armazenados. Essas configurações se aplicam apenas a descobertas que residem no mesmo local.
A API Security Command Center representa a exportação do BigQuery de configuração como
BiqQueryExport
do Google Cloud.- Exportações contínuas
As configurações de exportação contínua estão sujeitas a controles de residência de dados. Ao criar, você especifica o local em que elas são armazenadas. Esses se aplicam somente a descobertas que residem no mesmo local.
A API Security Command Center representa as configurações de exportação contínua como recursos
NotificationConfig
.- Descobertas
As descobertas estão sujeitas a controles de residência de dados. Quando uma descoberta é criada, são armazenados no local do Security Command Center em que o recurso afetado está localizado.
Se um recurso afetado estiver fora de um local com suporte ou não tiver identificador de local, as descobertas do recurso serão armazenadas na sua o local.
- Regras de silenciamento
As configurações da regra de silenciamento estão sujeitas aos controles de residência de dados. Ao criar, você especifica o local em que elas são armazenadas. Esses se aplicam somente a descobertas que residem no mesmo local.
A API Security Command Center representa as configurações de regra de silenciamento como
MuteConfig
do Google Cloud.- Outros recursos e configurações do Security Command Center
Recursos e configurações do Security Command Center que não estão listados aqui, como aqueles que definem quais serviços estão ativados ou qual nível está ativo, não são sujeitos a controles de residência de dados e armazenados globalmente.
Criar ou visualizar dados em um local
Quando a residência de dados está ativada, é necessário especificar um local ao criar ou acessar dados que estão sujeitos a controles de residência de dados. O Security Command Center escolhe automaticamente um local para as descobertas que ele cria.
Você só pode criar ou visualizar dados em um local por vez. Por exemplo, se você
listar as descobertas no local Global (global
), você não as verá em
local da União Europeia (eu
).
Para criar ou visualizar dados que residem em um local do Security Command Center, faça o seguintes:
Console
No console do Google Cloud, acesse o Security Command Center.
Para mudar o local dos dados, clique no seletor de local na barra de ações.
Uma lista de locais será exibida. Selecione o novo local.
gcloud
Use a flag --location=LOCATION
ao executar a
CLI do Google Cloud, conforme mostrado no exemplo a seguir.
O comando
gcloud scc findings list
lista as descobertas de uma organização em um local específico.
Antes de usar os dados do comando abaixo, faça estas substituições:
-
ORGANIZATION_ID
: o ID numérico da organização -
LOCATION
: o local onde os dados são armazenados. por exemplo,eu
ouglobal
Execute o
gcloud scc findings list
comando:
Linux, macOS ou Cloud Shell
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
Windows (PowerShell)
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
Windows (cmd.exe)
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
A resposta contém uma lista de descobertas.
REST
Use um endpoint de API que inclua locations/LOCATION
no
no caminho, conforme mostrado no exemplo a seguir.
As APIs do Security Command Center
organizations.sources.locations.findings.list
lista as descobertas de uma organização em um local específico.
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
-
ORGANIZATION_ID
: o ID numérico da organização -
LOCATION
: o local onde os dados são armazenados. por exemplo,eu
ouglobal
Método HTTP e URL:
GET https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings
Para enviar a solicitação, expanda uma destas opções:
A resposta contém uma lista de descobertas.
A seguir
- Saiba como ativar o Security Command Center com a residência de dados ativada.
- Ative o Security Command Center para fazer streaming das descobertas para o BigQuery.
- Configurar exportações contínuas do Security Command Center para o Pub/Sub.
- criar uma regra de silenciamento; para as descobertas.