Datenprofile im Security Command Center veröffentlichen

Auf dieser Seite finden Sie eine allgemeine Übersicht über die erforderlichen Maßnahmen, damit Datenprofile Ergebnisse in Security Command Center generieren. Auf dieser Seite finden Sie auch Beispielabfragen, mit denen Sie die generierten Ergebnisse finden können.

Wenn Sie Security Command Center Enterprise-Kunde sind, lesen Sie stattdessen den Hilfeartikel Erkennung sensibler Daten in der Enterprise-Ebene aktivieren.

Datenprofile

Sie können den Schutz sensibler Daten so konfigurieren, dass automatisch Profile für Daten in einer Organisation, einem Ordner oder einem Projekt generiert werden. Datenprofile enthalten Messwerte und Metadaten zu Ihren Daten und können ermitteln, wo sich sensible und risikoreiche Daten befinden. Der Schutz sensibler Daten meldet diese Messwerte auf verschiedenen Detailebenen. Informationen zu den Datentypen, die Sie profilieren können, finden Sie unter Unterstützte Ressourcen.

Vorteile der Veröffentlichung von Datenprofilen in Security Command Center

Diese Funktion bietet folgende Vorteile in Security Command Center:

  • Anhand der Ergebnisse des Schutzes sensibler Daten können Sie Sicherheitslücken in Ihren Ressourcen erkennen und beheben, die sensible Daten der Öffentlichkeit oder böswilligen Akteuren zugänglich machen.

  • Anhand dieser Informationen können Sie dem Triage-Prozess Kontext hinzufügen und Bedrohungen priorisieren, die auf Ressourcen mit vertraulichen Daten abzielen.

  • Sie können Security Command Center so konfigurieren, dass Ressourcen für die Simulation von Angriffspfaden automatisch priorisiert werden, je nach Vertraulichkeit der Daten, die die Ressourcen enthalten. Weitere Informationen finden Sie unter Prioritätswerte für Ressourcen automatisch anhand der Vertraulichkeit von Daten festlegen.

Erstellte Security Command Center-Ergebnisse

Wenn Sie den Discovery-Dienst so konfigurieren, dass Datenprofile in Security Command Center veröffentlicht werden, werden für jedes Tabellendatenprofil oder Dateispeicherdatenprofil die folgenden Security Command Center-Ergebnisse generiert.

Ergebnisse zu Sicherheitslücken vom Discovery-Dienst

Mit dem Sensitive Data Protection-Erkennungsdienst können Sie feststellen, ob Sie höchst sensible Daten speichern, die nicht geschützt sind.

Kategorie Fazit

Public sensitive data

Kategoriename in der API:

PUBLIC_SENSITIVE_DATA

Ergebnisbeschreibung: Die angegebene Ressource enthält Daten mit hoher Vertraulichkeit, auf die jeder im Internet zugreifen kann.

Unterstützte Assets:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3-Bucket

Behebung:

Entfernen Sie für Google Cloud-Daten allUsers und allAuthenticatedUsers aus der IAM-Richtlinie des Datenassets.

Für Amazon S3-Daten: Konfigurieren Sie die Einstellungen für den Blockieren des öffentlichen Zugriffs oder aktualisieren Sie die ACL des Objekts, um den öffentlichen Lesezugriff zu verweigern.

Compliance-Standards: Nicht zugeordnet

Secrets in environment variables

Kategoriename in der API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Ergebnisbeschreibung: In Umgebungsvariablen befinden sich Geheimnisse wie Passwörter, Authentifizierungstokens und Google Cloud-Anmeldedaten.

Informationen zum Aktivieren dieses Detektors finden Sie in der Dokumentation zum Schutz sensibler Daten unter Geheimnisse in Umgebungsvariablen an Security Command Center melden.

Unterstützte Assets:

Behebung:

Entfernen Sie das Secret aus der Umgebungsvariablen für Cloud Run-Funktionen und speichern Sie es stattdessen in Secret Manager.

Verschieben Sie bei Umgebungsvariablen für Cloud Run-Dienstüberarbeitungen den gesamten Traffic von der Überarbeitung und löschen Sie sie dann.

Compliance-Standards:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Secrets in storage

Kategoriename in der API:

SECRETS_IN_STORAGE

Ergebnisbeschreibung: In der angegebenen Ressource befinden sich Secrets wie Passwörter, Authentifizierungstokens und Cloud-Anmeldedaten.

Unterstützte Assets:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3-Bucket

Behebung:

  1. Verwenden Sie den Schutz sensibler Daten für Google Cloud-Daten, um einen Deep-Inspection-Scan der angegebenen Ressource auszuführen und alle betroffenen Ressourcen zu identifizieren. Exportieren Sie Cloud SQL-Daten in eine CSV- oder AVRO-Datei in einem Cloud Storage-Bucket und führen Sie eine Deep-Inspection-Suche auf den Bucket aus.

    Prüfen Sie bei Amazon S3-Daten den angegebenen Bucket manuell.

  2. Entfernen Sie die erkannten Secrets.
  3. Sie können die Anmeldedaten zurücksetzen.
  4. Speichern Sie die erkannten Secrets für Google Cloud-Daten stattdessen in Secret Manager.

Compliance-Standards: Nicht zugeordnet

Beobachtungsergebnisse vom Discovery-Dienst

Data sensitivity
Eine Angabe zur Vertraulichkeitsstufe der Daten in einem bestimmten Daten-Asset. Daten sind vertraulich, wenn sie personenidentifizierbare Informationen oder andere Elemente enthalten, die unter Umständen eine zusätzliche Steuerung oder Verwaltung erfordern. Die Schwere des Ergebnisses ist die Vertraulichkeitsstufe, die vom Sensitive Data Protection-Dienst beim Generieren des Datenprofils berechnet wurde.
Data risk
Das Risiko, das mit den Daten in ihrem aktuellen Zustand verbunden ist. Bei der Berechnung des Datenrisikos berücksichtigt Sensitive Data Protection die Vertraulichkeitsstufe der Daten im Daten-Asset und das Vorhandensein von Zugriffssteuerungen zum Schutz dieser Daten. Der Schweregrad des Ergebnisses ist die Datenrisikostufe, die vom Sensitive Data Protection-System beim Erstellen des Datenprofils berechnet wurde.

Latenz der Ergebnisgenerierung

Nach dem Erstellen der Datenprofile durch den Schutz sensibler Daten kann es bis zu sechs Stunden dauern, bis die zugehörigen Ergebnisse im Security Command Center angezeigt werden.

Datenprofile an Security Command Center senden

Im Folgenden finden Sie einen allgemeinen Workflow für die Veröffentlichung von Datenprofilen in Security Command Center.

  1. Prüfen Sie die Aktivierungsstufe von Security Command Center für Ihre Organisation. Wenn Sie Datenprofile an das Security Command Center senden möchten, muss Security Command Center auf Organisationsebene und auf jeder Dienstebene aktiviert sein.

    Wenn Security Command Center nur auf Projektebene aktiviert ist, werden Ergebnisse zum Schutz sensibler Daten nicht im Security Command Center angezeigt.

  2. Wenn Security Command Center für Ihre Organisation noch nicht aktiviert ist, müssen Sie dies nachholen. Weitere Informationen finden Sie je nach Security Command Center-Dienststufe unter einem der folgenden Links:

  3. Prüfen Sie, ob der Schutz sensibler Daten als integrierter Dienst aktiviert ist. Weitere Informationen finden Sie unter Integrierten Google Cloud-Dienst hinzufügen.

  4. Aktivieren Sie die Erkennung, indem Sie für jede Datenquelle, die Sie scannen möchten, eine Scankonfiguration für die Erkennung erstellen. Achten Sie darauf, dass in Ihrer Scankonfiguration die Option In Security Command Center veröffentlichen aktiviert ist.

    Wenn Sie eine vorhandene Konfiguration für den Discovery-Scan haben, bei der keine Datenprofile im Security Command Center veröffentlicht werden, lesen Sie auf dieser Seite den Abschnitt Veröffentlichung in Security Command Center in einer vorhandenen Konfiguration aktivieren.

Discovery mit Standardeinstellungen aktivieren

Wenn Sie die Erkennung aktivieren möchten, erstellen Sie eine Erkennungskonfiguration für jede Datenquelle, die Sie scannen möchten. Mit diesem Verfahren können Sie diese Discovery-Konfigurationen automatisch mit Standardeinstellungen erstellen. Sie können die Einstellungen nach diesem Vorgang jederzeit anpassen.

Wenn Sie die Einstellungen gleich zu Beginn anpassen möchten, lesen Sie stattdessen die folgenden Seiten:

So aktivieren Sie die Erkennung mit den Standardeinstellungen:

  1. Rufen Sie in der Google Cloud Console die Seite Erkennung für den Schutz sensibler Daten aktivieren auf.

    Zu „Erkennung aktivieren“

  2. Prüfen Sie, ob Sie sich die Organisation ansehen, für die Sie Security Command Center aktiviert haben.

  3. Legen Sie im Feld Dienst-Agent-Container das Projekt fest, das als Dienst-Agent-Container verwendet werden soll. Innerhalb dieses Projekts erstellt das System einen Dienst-Agent und gewährt ihm automatisch die erforderlichen Berechtigungen für die Datenerhebung.

    Wenn Sie den Discovery-Dienst bereits für Ihre Organisation verwendet haben, haben Sie möglicherweise bereits ein Dienst-Agent-Containerprojekt, das Sie wiederverwenden können.

    • Wenn Sie automatisch ein Projekt als Dienst-Agent-Container erstellen möchten, prüfen Sie die vorgeschlagene Projekt-ID und bearbeiten Sie sie bei Bedarf. Klicken Sie dann auf Erstellen. Es kann einige Minuten dauern, bis die Berechtigungen dem Dienst-Agenten des neuen Projekts gewährt werden.
    • Wenn Sie ein vorhandenes Projekt auswählen möchten, klicken Sie auf das Feld Dienst-Agent-Container und wählen Sie das Projekt aus.
  4. Wenn Sie die Standardeinstellungen aufrufen möchten, klicken Sie auf das Symbol .

  5. Klicken Sie im Bereich Discovery aktivieren für jeden Discovery-Typ, den Sie aktivieren möchten, auf Aktivieren. Wenn Sie einen Erkennungstyp aktivieren, geschieht Folgendes:

    • BigQuery: Erstellt eine Discovery-Konfiguration zum Profilieren von BigQuery-Tabellen in der gesamten Organisation. Der Schutz sensibler Daten beginnt mit der Erstellung von Profilen für Ihre BigQuery-Daten und sendet die Profile an Security Command Center.
    • Cloud SQL: Erstellt eine Entdeckerkonfiguration zum Erstellen von Cloud SQL-Tabellenprofilen in der gesamten Organisation. Sensitive Data Protection beginnt damit, Standardverbindungen für jede Ihrer Cloud SQL-Instanzen zu erstellen. Dieser Vorgang kann einige Stunden dauern. Sobald die Standardverbindungen bereit sind, müssen Sie Sensitive Data Protection Zugriff auf Ihre Cloud SQL-Instanzen gewähren. Aktualisieren Sie dazu jede Verbindung mit den richtigen Datenbank-Nutzeranmeldedaten.
    • Sicherheitslücken bei Secrets/Anmeldedaten: Hiermit wird eine Erkennungskonfiguration zum Erkennen und Melden nicht verschlüsselter Secrets in Cloud Run-Umgebungsvariablen erstellt. Der Schutz sensibler Daten beginnt mit dem Scannen Ihrer Umgebungsvariablen.
    • Cloud Storage: Erstellt eine Discovery-Konfiguration zum Profilieren von Cloud Storage-Buckets in der gesamten Organisation. Der Schutz sensibler Daten beginnt mit der Erstellung von Profilen für Ihre Cloud Storage-Daten und sendet die Profile an Security Command Center.
    • Vertex AI-Datasets: Hiermit wird eine Discovery-Konfiguration zum Profilieren von Vertex AI-Datasets in der gesamten Organisation erstellt. Der Schutz sensibler Daten beginnt mit der Erstellung von Profilen für Ihre Vertex AI-Datasets und sendet die Profile an Security Command Center.
    • Amazon S3: Hiermit wird eine Discovery-Konfiguration zum Erstellen von Amazon S3-Datenprofilen für die gesamte Organisation, ein einzelnes S3-Konto oder einen einzelnen Bucket erstellt.

  6. Klicken Sie auf Zur Erkennungskonfiguration, um die neu erstellten Erkennungskonfigurationen aufzurufen.

    Wenn Sie die Cloud SQL-Erkennung aktiviert haben, wird die Erkennungskonfiguration im Pausiermodus erstellt und es werden Fehler angezeigt, die auf fehlende Anmeldedaten hinweisen. Weitere Informationen finden Sie unter Verbindungen für die Verwendung mit der Erkennung verwalten. Dort erfahren Sie, wie Sie Ihrem Servicemitarbeiter die erforderlichen IAM-Rollen zuweisen und Anmeldedaten für Datenbanknutzer für jede Cloud SQL-Instanz angeben.

  7. Schließen Sie den Bereich.

Veröffentlichung in Security Command Center in einer vorhandenen Konfiguration aktivieren

Wenn Sie eine vorhandene Konfiguration für Suchscans haben, bei der die Ergebnisse nicht im Security Command Center veröffentlicht werden, gehen Sie so vor:

  1. Öffnen Sie die Scankonfiguration zum Bearbeiten.

  2. Aktivieren Sie im Bereich Aktionen die Option In Security Command Center veröffentlichen.

  3. Klicken Sie auf Speichern.

Ergebnisse im Security Command Center zu Datenprofilen abfragen

Im Folgenden finden Sie Beispielabfragen, mit denen Sie relevante Data sensitivity- und Data risk-Ergebnisse in Security Command Center finden. Sie können diese Abfragen in das Feld Abfrageeditor eingeben. Weitere Informationen zum Abfrageeditor finden Sie unter Ergebnisabfrage im Dashboard des Security Command Center bearbeiten.

Alle Data sensitivity- und Data risk-Ergebnisse für eine bestimmte BigQuery-Tabelle auflisten

Diese Abfrage ist beispielsweise nützlich, wenn im Security Command Center ein Ereignis erkannt wird, bei dem eine BigQuery-Tabelle in einem anderen Projekt gespeichert wurde. In diesem Fall wird ein Exfiltration: BigQuery Data Exfiltration-Ergebnis generiert, das den vollständigen angezeigten Namen der Tabelle enthält, die ausgeschleust wurde. Sie können nach allen Data sensitivity- und Data risk-Ergebnissen suchen, die sich auf die Tabelle beziehen. Sehen Sie sich die berechneten Vertraulichkeits- und Datenrisikostufen für die Tabelle an und planen Sie Ihre Reaktion entsprechend.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Projekts, das die BigQuery-Tabelle enthält
  • DATASET_ID: die Dataset-ID der Tabelle
  • TABLE_ID: Die ID der Tabelle

Alle Data sensitivity- und Data risk-Ergebnisse für eine bestimmte Cloud SQL-Instanz auflisten

Diese Abfrage ist beispielsweise nützlich, wenn Security Command Center ein Ereignis erkennt, bei dem Live-Daten einer Cloud SQL-Instanz in einen Cloud Storage-Bucket außerhalb der Organisation exportiert wurden. In diesem Fall wird ein Exfiltration: Cloud SQL Data Exfiltration-Ereignis generiert, das den vollständigen Ressourcennamen der gehackten Instanz enthält. Sie können nach allen Data sensitivity- und Data risk-Ergebnissen suchen, die sich auf die Instanz beziehen. Sehen Sie sich die berechneten Vertraulichkeits- und Datenrisikostufen für die Instanz an und planen Sie Ihre Reaktion entsprechend.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"

Ersetzen Sie Folgendes:

  • INSTANCE_NAME: ein Teil des Namens der Cloud SQL-Instanz

Alle Data risk- und Data sensitivity-Ergebnisse mit dem Schweregrad High auflisten

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"

Nächste Schritte