Esta página foi traduzida pela API Cloud Translation.

Planejar a residência de dados

A residência de dados oferece mais controle sobre onde o Security Command Center armazena seus descobertas e outros dados. Quando você ativa a residência de dados, o Security Command Center o seguinte:

Se possível, o Security Command Center armazena as descobertas na multirregião do Google Cloud em que seus recursos estão localizados.

Caso contrário, as descobertas serão armazenadas em um local padrão que que você escolher.
O Security Command Center armazena alguns tipos recursos de configuração em um local que que você escolher.
Em todos os outros casos, o Security Command Center armazena os dados globalmente.

Esta página fornece informações essenciais sobre como usar a residência de dados. O as seguintes definições se aplicam a esta página:

Um local é uma região ou multirregião do Google Cloud. que corresponde ao local em que seus dados são armazenados.
O significado do termo seus dados é equivalente ao significado do termo "Dados do cliente" no item Local dos dados na interface do Google Cloud Termos gerais de serviço.

Requisitos para residência de dados

Você só pode ativar a residência de dados quando: Ativar o nível Standard ou Premium do Security Command Center em uma organização pela primeira vez. O nível Enterprise não oferece suporte à residência de dados.

Depois que a residência de dados for ativada, não será possível desativá-la nem alterar seu padrão o local.

A residência de dados exige que você use a API Security Command Center v2. Se os dados residência estiver ativada, não será possível usar versões anteriores do a API Security Command Center.

Quando a residência de dados está ativada, os seguintes recursos, funções e integrações com outros produtos não são compatíveis:

Resumos por IA
Web Security Scanner
Terraform

Se você não ativar a residência de dados ao ativar o Security Command Center, a localização dos seus recursos do Security Command Center está definida como Global (global), e o Security Command Center não restringe o armazenamento de seus dados a nenhuma em um local específico.

Locais de dados com suporte

O Security Command Center oferece suporte apenas às seguintes multirregiões do Google Cloud locais de dados:

União Europeia (eu): Os dados são armazenados em qualquer região do Google Cloud dentro dos estados membros da União Europeia.
Estados Unidos (us): Os dados são armazenados em qualquer região do Google Cloud nos Estados Unidos.
Global (global): Os dados podem ser armazenados ou processados em qualquer região do Google Cloud. Se os dados residência não estiver ativada, o modelo global (global) será o único o local.

Para mais informações sobre locais do Security Command Center, consulte Produtos disponíveis por local.

Se você precisa especificar um local padrão para residência de dados que O Security Command Center não oferece suporte, então entre em contato com o representante da sua conta ou um especialista em vendas do Google Cloud.

Local de dados padrão

Ao ativar a residência de dados do Security Command Center, você especifica um local padrão. Você pode selecionar qualquer local de dados compatível como padrão.

O Security Command Center usa o local padrão apenas para armazenar descobertas que se aplicam aos seguintes tipos de recursos:

Recursos que não estão localizados em um local de dados com suporte para o Security Command Center
Recursos que não especificam um local nos metadados

Se você implantar recursos do Google Cloud em vários locais ou em várias regiões, poderá escolher o local global (global) como padrão.

Se você implantar recursos apenas em um único local, poderá escolher a multirregião que inclui esse local como padrão.

Recursos e residência de dados do Security Command Center

A lista a seguir explica como o Security Command Center aplica controles de residência de dados a recursos do Security Command Center. Se um recurso não estiver listado aqui, depois são armazenados globalmente.

Recursos

Os metadados do recurso não estão sujeitos ao controle de residência de dados e são armazenados globalmente no Inventário de recursos do Cloud.

Por isso, a página Recursos do Security Command Center na seção O console do Google Cloud sempre mostra todos os recursos da sua organização, pasta ou projeto, independentemente do local em que você selecione no console do Google Cloud. No entanto, quando a residência de dados está ativada, e visualizar os detalhes de um recurso, a página Recursos não exibirá informações sobre as descobertas que afetam o recurso.

Pontuações de exposição a ataques e caminhos de ataque

Pontuações de exposição a ataques e caminhos de ataque não estão sujeitos a controles de residência de dados e são armazenados globalmente.

Exportações do BigQuery

As configurações do BigQuery Export estão sujeitas a controles de residência de dados. Quando você ao criá-los, especifique o local onde serão armazenados. Essas configurações se aplicam apenas a descobertas que residem no mesmo local.

A API Security Command Center representa a exportação do BigQuery de configuração como BiqQueryExport do Google Cloud.

Exportações contínuas

As configurações de exportação contínua estão sujeitas a controles de residência de dados. Ao criar, você especifica o local em que elas são armazenadas. Esses se aplicam somente a descobertas que residem no mesmo local.

A API Security Command Center representa as configurações de exportação contínua como recursos NotificationConfig.

Descobertas

As descobertas estão sujeitas a controles de residência de dados. Quando uma descoberta é criada, são armazenados no local do Security Command Center em que o recurso afetado está localizado.

Se um recurso afetado estiver fora de um local com suporte ou não tiver identificador de local, as descobertas do recurso serão armazenadas na sua o local.

Regras de silenciamento

As configurações da regra de silenciamento estão sujeitas aos controles de residência de dados. Ao criar, você especifica o local em que elas são armazenadas. Esses se aplicam somente a descobertas que residem no mesmo local.

A API Security Command Center representa as configurações de regra de silenciamento como MuteConfig do Google Cloud.

Outros recursos e configurações do Security Command Center

Recursos e configurações do Security Command Center que não estão listados aqui, como aqueles que definem quais serviços estão ativados ou qual nível está ativo, não são sujeitos a controles de residência de dados e armazenados globalmente.

Criar ou visualizar dados em um local

Quando a residência de dados está ativada, é necessário especificar um local ao criar ou acessar dados que estão sujeitos a controles de residência de dados. O Security Command Center escolhe automaticamente um local para as descobertas que ele cria.

Você só pode criar ou visualizar dados em um local por vez. Por exemplo, se você listar as descobertas no local Global (global), você não as verá em local da União Europeia (eu).

Para criar ou visualizar dados que residem em um local do Security Command Center, faça o seguintes:

Console

No console do Google Cloud, acesse o Security Command Center.

Acesse Security Command Center
Para mudar o local dos dados, clique no seletor de local na barra de ações.

Uma lista de locais será exibida. Selecione o novo local.

gcloud

Use a flag --location=LOCATION ao executar a CLI do Google Cloud, conforme mostrado no exemplo a seguir.

O comando gcloud scc findings list lista as descobertas de uma organização em um local específico.

Antes de usar os dados do comando abaixo, faça estas substituições:

ORGANIZATION_ID: o ID numérico da organização
LOCATION: o local onde os dados são armazenados. por exemplo, eu ou global

Execute o gcloud scc findings list comando:

Linux, macOS ou Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

A resposta contém uma lista de descobertas.

REST

Use um endpoint de API que inclua locations/LOCATION no no caminho, conforme mostrado no exemplo a seguir.

As APIs do Security Command Center organizations.sources.locations.findings.list lista as descobertas de uma organização em um local específico.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

ORGANIZATION_ID: o ID numérico da organização
LOCATION: o local onde os dados são armazenados. por exemplo, eu ou global

Método HTTP e URL:

GET https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que faz login automaticamente na CLI gcloud. . É possível verificar a conta ativa atual executando gcloud auth list.

execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings"

PowerShell (Windows)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login . É possível verificar a conta ativa atual executando gcloud auth list.

execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings" | Select-Object -Expand Content

A resposta contém uma lista de descobertas.

A seguir

Saiba como ativar o Security Command Center com a residência de dados ativada.
Ative o Security Command Center para fazer streaming das descobertas para o BigQuery.
Configurar exportações contínuas do Security Command Center para o Pub/Sub.
criar uma regra de silenciamento; para as descobertas.