AWS Audit Manager Konzepte und Terminologie verstehen

Bewertung

Sie können eine Audit Manager-Bewertung verwenden, um automatisch Beweise zu erheben, die für ein Audit relevant sind.

Eine Bewertung basiert auf einem Framework, bei dem es sich um eine Gruppierung von Kontrollen handelt, die sich auf Ihr Audit beziehen. Sie können eine Bewertung anhand eines Standard-Frameworks oder eines benutzerdefinierten Frameworks erstellen. Standard-Frameworks enthalten vorgefertigte Kontrollsätze, die einen bestimmten Compliance-Standard oder eine bestimmte Compliance-Verordnung unterstützen. Im Gegensatz dazu enthalten benutzerdefinierte Frameworks Steuerelemente, die Sie an Ihre spezifischen Prüfanforderungen anpassen und gruppieren können. Wenn Sie ein Framework als Ausgangspunkt verwenden, können Sie eine Bewertung erstellen, in der festgelegt wird AWS-Konten , welche Elemente Sie in den Umfang Ihres Audits aufnehmen möchten.

Wenn Sie eine Bewertung erstellen, beginnt Audit Manager automatisch mit der Bewertung der Ressourcen in Ihrem System auf der AWS-Konten Grundlage der im Framework definierten Kontrollen. Als Nächstes erhebt er die relevanten Beweise und wandelt sie in ein prüferfreundliches Format um. Danach fügt er die Beweise den Kontrollen in Ihrer Bewertung bei. Wenn es Zeit für ein Audit ist, können Sie – oder ein Delegierter Ihrer Wahl – die erhobenen Beweise überprüfen und sie dann einem Bewertungsbericht hinzufügen. Mit diesem Bewertungsbericht können Sie nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.

Die Erhebung von Beweisen ist ein fortlaufender Prozess, der mit der Erstellung Ihrer Bewertung beginnt. Sie können die Beweissuche beenden, indem Sie den Bewertungsstatus auf inaktiv ändern. Alternativ können Sie die Beweissuche auf Kontrollebene beenden. Sie können dies tun, indem Sie den Status einer bestimmten Kontrolle in Ihrer Bewertung auf inaktiv ändern.

Anweisungen zum Erstellen und Verwalten von Bewertungen finden Sie unter Verwaltung von Bewertungen in AWS Audit Manager.

Bewertungsbericht

Ein Bewertungsbericht ist ein abgeschlossenes Dokument, das auf der Grundlage einer Bewertung durch den Audit Manager generiert wird. Diese Berichte fassen die relevanten Beweise zusammen, die für Ihr Audit erhoben wurden. Sie sind mit den entsprechenden Beweisordnern verknüpft. Die Ordner sind entsprechend den Kontrollen benannt und organisiert, die in Ihrer Bewertung festgelegt wurden. Für jede Bewertung können Sie die von Audit Manager erhobenen Beweise überprüfen und entscheiden, welche Beweise Sie in den Bewertungsbericht aufnehmen möchten.

Weitere Informationen über Bewertungsberichte finden Sie unter Bewertungsberichte. Informationen zur Erstellung eines Bewertungsberichts finden Sie unter Erstellung eines Bewertungsberichts in AWS Audit Manager.

Zielort des Bewertungsberichts

Ein Zielort für Bewertungsberichte ist der standardmäßige S3-Bucket, in dem Audit Manager Ihre Bewertungsberichte speichert. Weitere Informationen hierzu finden Sie unter Konfiguration Ihres Standardziels für Bewertungsberichte.

Audit

Ein Audit ist eine unabhängige Prüfung der Vermögenswerte, der Abläufe oder der Geschäftsintegrität Ihres Unternehmens. Bei einem Informationstechnologie-Audit (IT-Audit) werden speziell die Kontrollen innerhalb der Informationssysteme Ihres Unternehmens untersucht. Das Ziel eines IT-Audits besteht darin, festzustellen, ob Informationssysteme Vermögenswerte schützen, effektiv funktionieren und die Datenintegrität wahren. All dies ist wichtig, um die regulatorischen Anforderungen zu erfüllen, die durch einen Compliance-Standard oder eine Verordnung vorgeschrieben sind.

Audit-Verantwortlicher

Der Begriff Audit-Verantwortlicher hat je nach Kontext zwei verschiedene Bedeutungen.

Im Kontext von Audit Manager ist ein Audit-Verantwortlicher ein Benutzer oder eine Rolle, die eine Bewertung und die zugehörigen Ressourcen handhabt. Zu den Aufgaben dieser Person als Audit-Verantwortlicher gehören die Erstellung von Bewertungen, die Überprüfung von Beweisen und die Erstellung von Bewertungsberichten. Audit Manager ist ein kollaborativer Service, und Audit-Verantwortlicher profitieren davon, wenn andere Interessengruppen an ihren Bewertungen teilnehmen. Sie können beispielsweise weitere Audit-Verantwortlicher zu Ihrer Bewertung hinzufügen, um gemeinsam Verwaltungsaufgaben zu übernehmen. Oder, wenn Sie ein Audit-Verantwortlicher sind und Hilfe bei der Interpretation der für eine Kontrolle erhobenen Beweise benötigen, können Sie diesen Kontrollsatz an einen Beteiligten delegieren, der über Fachkenntnisse in diesem Bereich verfügt. Eine solche Person wird als Delegierter bezeichnet.

In geschäftlicher Hinsicht ist ein Audit-Verantwortlicher jemand, der die Bemühungen seines Unternehmens zur Vorbereitung auf die Prüfung koordiniert und überwacht und einem Prüfer Beweise vorlegt. In der Regel handelt es sich dabei um einen Experten für Unternehmensführung, Risiko und Compliance (GRC), beispielsweise einen Compliance-Beauftragten oder einen DSGVO-Datenschutzbeauftragten. GRC-Experten verfügen über das Fachwissen und die Befugnis, die Auditvorbereitung zu verwalten. Insbesondere verstehen sie die Compliance-Anforderungen und können Berichtsdaten analysieren, interpretieren und aufbereiten. Auch andere betriebliche Rollen können jedoch die Rolle eines Audit-Verantwortlichen übernehmen – nicht nur GRC-Experten übernehmen diese Rolle. Sie könnten sich beispielsweise dafür entscheiden, Ihre Audit-Manager-Bewertungen von einem technischen Experten aus einem der folgenden Teams einrichten und verwalten zu lassen:

SecOps
IT/ DevOps
Security Operations Center/Incident Response
Ähnliche Teams, die Cloud-Ressourcen besitzen, entwickeln, korrigieren und bereitstellen und die Cloud-Infrastruktur Ihres Unternehmens verstehen

Wen Sie in Ihrer Audit-Manager-Bewertung als Audit-Verantwortlichen benennen, hängt stark von Ihrer Organisation ab. Es hängt auch davon ab, wie Sie Ihre Sicherheitsabläufe strukturieren und wie das Audit konkret abläuft. In Audit Manager kann dieselbe Person in einer Prüfung die Rolle des Audit-Verantwortlichen und in einer anderen die Rolle des Delegierten annehmen.

Unabhängig davon, wie Sie Audit Manager verwenden, können Sie die Aufgabentrennung in Ihrem Unternehmen verwalten, indem Sie die Rolle des Audit-Verantwortlichen/Delegierten verwenden und jedem Benutzer spezielle IAM-Richtlinien zuweisen. Durch diesen zweistufigen Ansatz stellt Audit Manager sicher, dass Sie die volle Kontrolle über alle Einzelheiten einer individuellen Bewertung haben. Weitere Informationen finden Sie unter Empfohlene Richtlinien für Benutzerrollen in AWS Audit Manager.

AWS verwaltete Quelle

Eine AWS verwaltete Quelle ist eine Beweisquelle, die AWS für Sie aufbewahrt wird.

Jede AWS verwaltete Quelle ist eine vordefinierte Gruppierung von Datenquellen, die einer bestimmten gemeinsamen Kontrolle oder zentralen Kontrolle zugeordnet ist. Wenn Sie ein gemeinsames Steuerelement als Beweisquelle verwenden, sammeln Sie automatisch Beweise für alle Kernkontrollen, die dieses gemeinsame Steuerelement unterstützen. Sie können auch einzelne Kernkontrollen als Beweisquelle verwenden.

Immer wenn eine AWS verwaltete Quelle aktualisiert wird, werden dieselben Updates automatisch auf alle benutzerdefinierten Kontrollen angewendet, die diese AWS verwaltete Quelle verwenden. Das bedeutet, dass Ihre benutzerdefinierten Kontrollen Beweise anhand der neuesten Definitionen dieser Beweisquelle sammeln. Auf diese Weise können Sie die kontinuierliche Einhaltung der Vorschriften sicherstellen, wenn sich die Cloud-Compliance-Umgebung ändert.

Siehe auch:customer managed source,evidence source.

Änderungsprotokoll

Für jede Kontrolle in einer Bewertung verfolgt Audit Manager die Benutzeraktivitäten für diese Kontrolle. Anschließend können Sie einen Audit Trail mit Aktivitäten überprüfen, die sich auf eine bestimmte Kontrolle beziehen. Weitere Informationen darüber, welche Benutzeraktivitäten im Changelog erfasst werden, finden Sie unterRegisterkarte „Änderungsprotokoll“.

Cloud-Compliance

Cloud-Compliance ist der allgemeine Grundsatz, dass in der Cloud bereitgestellte Systeme den Standards entsprechen müssen, mit denen Cloud-Kunden konfrontiert sind.

Gemeinsame Steuerung

Siehe control.

Compliance-Vorschriften

Eine Compliances-Vorschrift ist ein Gesetz, eine Regel oder eine andere Anordnung, die von einer Behörde vorgeschrieben wird, in der Regel zur Regulierung des Verhaltens. Ein Beispiel ist die DSGVO.

Compliance-Standard

Ein Compliance-Standard ist ein strukturierter Satz von Richtlinien, in denen die Prozesse eines Unternehmens zur Einhaltung festgelegter Vorschriften, Spezifikationen oder Gesetze detailliert beschrieben werden. Beispiele hierfür sind PCI DSS und HIPAA.

Kontrolle

Eine Kontrolle ist eine Schutz- oder Gegenmaßnahme, die für ein Informationssystem oder ein Unternehmen vorgeschrieben ist. Die Kontrollen dienen dazu, die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Informationen zu schützen und eine Reihe definierter Anforderungen zu erfüllen. Sie bieten die Gewissheit, dass Ihre Ressourcen wie vorgesehen funktionieren, Ihre Daten zuverlässig sind und Ihr Unternehmen die geltenden Gesetze und Vorschriften einhält.

In Audit Manager kann eine Kontrolle auch eine Frage in einem Fragebogen zur Lieferantenrisikobewertung darstellen. In diesem Fall handelt es sich bei einer Kontrolle um eine konkrete Frage, mit der Informationen zum Sicherheits- und Compliance-Status eines Unternehmens abgefragt werden.

Kontrollen erheben kontinuierlich Beweise, wenn sie in Ihren Audit Manager-Bewertungen aktiv sind. Sie können zu jeder Kontrolle auch manuell Beweise hinzufügen. Bei jedem Nachweis handelt es sich um eine Aufzeichnung, anhand derer Sie die Einhaltung der Kontrollanforderungen nachweisen können.

Audit Manager bietet die folgenden Arten von Kontrollen:

Art der Kontrolle	Beschreibung
Gemeinsame Steuerung	Sie können sich eine gemeinsame Kontrolle als eine Maßnahme vorstellen, die Ihnen hilft, ein Kontrollziel zu erreichen. Da gemeinsame Kontrollen nicht spezifisch für einen Compliance-Standard sind, helfen sie Ihnen dabei, Nachweise zu sammeln, die eine Reihe sich überschneidender Compliance-Verpflichtungen belegen können. Nehmen wir zum Beispiel an, wir haben ein Kontrollziel namens Datenklassifizierung und -verarbeitung. Um dieses Ziel zu erreichen, könnten Sie eine gemeinsame Steuerung namens Zugriffskontrollen implementieren, um unbefugten Zugriff auf Ihre Ressourcen zu überwachen und zu erkennen. Automatisierte gemeinsame Kontrollen sammeln Beweise für Sie. Sie bestehen aus einer Gruppierung einer oder mehrerer verwandter Kernkontrollen. Jede dieser Kernkontrollen sammelt wiederum automatisch relevante Nachweise aus einer vordefinierten Gruppe von AWS Datenquellen. AWS verwaltet diese zugrunde liegenden Datenquellen für Sie und aktualisiert sie, wenn sich Vorschriften und Standards ändern und neue Datenquellen identifiziert werden. Bei den üblichen manuellen Kontrollen müssen Sie Ihre eigenen Nachweise hochladen. Dies liegt daran, dass sie in der Regel physische Aufzeichnungen oder Informationen über Ereignisse erfordern, die sich außerhalb Ihrer AWS Umgebung ereignen. Aus diesem Grund gibt es häufig keine AWS Datenquellen, die die Anforderungen der manuellen gemeinsamen Kontrolle belegen könnten. Sie können ein allgemeines Steuerelement nicht bearbeiten. Sie können jedoch jedes gängige Steuerelement als Beweisquelle verwenden, wenn Sie ein benutzerdefiniertes Steuerelement erstellen.
Zentrale Steuerung	Dies ist eine verbindliche Richtlinie für Ihre AWS Umgebung. Sie können sich eine zentrale Steuerung als eine Maßnahme vorstellen, die Ihnen hilft, die Anforderungen einer gemeinsamen Steuerung zu erfüllen. Nehmen wir zum Beispiel an, Sie verwenden ein allgemeines Steuerelement namens Zugriffskontrollen, um den unbefugten Zugriff auf Ihre Ressourcen zu überwachen. Um diese allgemeine Kontrolle zu unterstützen, könnten Sie das zentrale Steuerelement namens Block public read access in S3-Buckets verwenden. Da zentrale Kontrollen nicht spezifisch für einen Compliance-Standard sind, sammeln sie Nachweise, die eine Reihe sich überschneidender Compliance-Verpflichtungen belegen können. Jede zentrale Kontrolle verwendet eine oder mehrere Datenquellen, um Beweise für eine bestimmte AWS-Service Datenquelle zu sammeln. AWS verwaltet diese zugrunde liegenden Datenquellen für Sie und aktualisiert sie, wenn sich Vorschriften und Standards ändern und neue Datenquellen identifiziert werden. Sie können ein zentrales Steuerelement nicht bearbeiten. Sie können jedoch jedes zentrale Steuerelement als Beweisquelle verwenden, wenn Sie ein benutzerdefiniertes Steuerelement erstellen.
Standardsteuerung	Dies ist ein vordefiniertes Steuerelement, das Audit Manager bereitstellt. Sie können Standardkontrollen verwenden, um Sie bei der Prüfungsvorbereitung für einen bestimmten Compliance-Standard zu unterstützen. Jede Standardkontrolle bezieht sich auf einen bestimmten Standard framework in Audit Manager und sammelt Nachweise, anhand derer Sie die Einhaltung dieses Frameworks nachweisen können. Standardkontrollen sammeln Nachweise aus zugrunde liegenden Datenquellen, die AWS verwaltet werden. Diese Datenquellen werden automatisch aktualisiert, wenn sich Vorschriften und Standards ändern und neue Datenquellen identifiziert werden. Standardsteuerelemente können nicht bearbeitet werden. Sie können jedoch von jedem Standardsteuerelement eine bearbeitbare Kopie erstellen.
Benutzerdefiniertes Steuerelement	Dies ist ein Steuerelement, das Sie in Audit Manager erstellen, um Ihre spezifischen Compliance-Anforderungen zu erfüllen. Sie können ein benutzerdefiniertes Steuerelement von Grund auf neu erstellen oder eine bearbeitbare Kopie eines vorhandenen Standardsteuerelements erstellen. Wenn Sie ein benutzerdefiniertes Steuerelement erstellen, können Sie bestimmte evidence source s definieren, die bestimmen, woher Audit Manager Beweise sammelt. Nachdem Sie ein benutzerdefiniertes Steuerelement erstellt haben, können Sie dieses Steuerelement bearbeiten oder es einem benutzerdefinierten Framework hinzufügen. Sie können auch eine bearbeitbare Kopie eines beliebigen benutzerdefinierten Steuerelements erstellen.

Kontrolldomäne

Sie können sich eine Kontrolldomäne als eine Kategorie von Kontrollen vorstellen, die nicht spezifisch für einen Compliance-Standard ist. Ein Beispiel für eine Kontrolldomäne ist Datenschutz.

Aus einfachen organisatorischen Gründen werden Kontrollen häufig nach Domänen gruppiert. Jede Domäne hat mehrere Ziele.

Kontrolldomänengruppierungen sind eine der leistungsstärksten Funktionen des Audit Manager-Dashboards. Audit Manager hebt die Kontrollen in Ihren Bewertungen hervor, die nachweislich nicht konform sind, und gruppiert sie nach Kontrolldomänen. Auf diese Weise können Sie sich bei der Vorbereitung eines Audits auf bestimmte Themenbereiche konzentrieren.

Ziel der Kontrolle

Ein Kontrollziel beschreibt das Ziel der gemeinsamen Kontrollen, die unter dieses Ziel fallen. Für jedes Ziel können mehrere gemeinsame Kontrollen gelten. Wenn diese gemeinsamen Kontrollen erfolgreich implementiert werden, helfen sie Ihnen, das Ziel zu erreichen.

Jedes Kontrollziel fällt unter einen Kontrollbereich. Beispielsweise könnte die Kontrolldomäne Datenschutz ein Kontrollziel mit dem Namen Datenklassifizierung und -verarbeitung haben. Um dieses Kontrollziel zu unterstützen, könnten Sie ein allgemeines Steuerelement namens Zugriffskontrollen verwenden, um unbefugten Zugriff auf Ihre Ressourcen zu überwachen und zu erkennen.

Zentrale Steuerung

Siehe control.

Benutzerdefiniertes Steuerelement

Siehe control.

Vom Kunden verwaltete Quelle

Eine vom Kunden verwaltete Quelle ist eine von Ihnen definierte Beweisquelle.

Wenn Sie in Audit Manager ein benutzerdefiniertes Steuerelement erstellen, können Sie diese Option verwenden, um Ihre eigenen individuellen Datenquellen zu erstellen. Dies gibt Ihnen die Flexibilität, automatisierte Nachweise aus einer unternehmensspezifischen Ressource, z. B. einer benutzerdefinierten AWS Config Regel, zu sammeln. Sie können diese Option auch verwenden, wenn Sie Ihrem benutzerdefinierten Steuerelement manuelle Beweise hinzufügen möchten.

Wenn Sie vom Kunden verwaltete Quellen verwenden, sind Sie dafür verantwortlich, alle von Ihnen erstellten Datenquellen zu verwalten.

Siehe auch:AWS managed source,evidence source.

Datenquelle

Audit Manager verwendet Datenquellen, um Beweise für eine Kontrolle zu sammeln. Eine Datenquelle hat die folgenden Eigenschaften:

Ein Datenquellentyp definiert, aus welcher Art von Datenquelle Audit Manager Beweise sammelt.
- Bei automatisierten Nachweisen kann es sich bei dem Typ um AWS Security HubAWS Config, AWS CloudTrail, oder AWS API-Aufrufe handeln.
- Wenn Sie Ihre eigenen Beweise hochladen, ist der Typ Manuell.
- Die Audit Manager Manager-API bezeichnet einen Datenquellentyp als sourceType.
Eine Datenquellenzuordnung ist ein Schlüsselwort, das festlegt, woher Beweise für einen bestimmten Datenquellentyp gesammelt werden.
- Dies kann beispielsweise der Name eines CloudTrail Ereignisses oder der Name einer AWS Config Regel sein.
- Die Audit Manager Manager-API bezeichnet eine Datenquellenzuordnung als SourceKeyword.
Ein Datenquellenname kennzeichnet die Kombination von Datenquellentyp und Zuordnung.
- Für Standardkontrollen stellt Audit Manager einen Standardnamen bereit.
- Für benutzerdefinierte Steuerelemente können Sie Ihren eigenen Namen angeben.
- Die Audit Manager-API bezeichnet einen Datenquellennamen als SourceName.

Eine einzelne Kontrolle kann mehrere Datenquellentypen und mehrere Zuordnungen haben. Beispielsweise kann ein Steuerelement Beweise aus einer Mischung von Datenquellentypen (wie AWS Config Security Hub) sammeln. Ein anderes Steuerelement hat möglicherweise AWS Config als einzigen Datenquellentyp mehrere AWS Config Regeln als Zuordnungen.

Die folgende Tabelle listet die automatisierten Datenquellentypen auf und zeigt Beispiele für einige entsprechende Zuordnungen.

Datenquellentyp	Beschreibung	Beispiel für Zuweisungen
AWS Security Hub	Verwenden Sie diesen Datenquellentyp, um einen Snapshot Ihrer Ressourcensicherheit zu erstellen. Audit Manager verwendet den Namen einer Security Hub-Kontrolle als Zuordnungsschlüsselwort und meldet das Ergebnis dieser Sicherheitsprüfung direkt von Security Hub.	`EC2.1`
AWS Config	Verwenden Sie diesen Datenquellentyp, um einen Snapshot Ihrer Ressourcensicherheit zu erstellen. Audit Manager verwendet den Namen einer AWS Config Regel als Zuordnungsschlüsselwort und meldet das Ergebnis dieser Regelprüfung direkt von AWS Config.	`SNS_ENCRYPTED_KMS`
AWS CloudTrail	Verwenden Sie diesen Datenquellentyp, um eine bestimmte Benutzeraktivität nachzuverfolgen, die für Ihr Audit erforderlich ist. Audit Manager verwendet den Namen eines CloudTrail Ereignisses als Zuordnungsschlüsselwort und erfasst die entsprechenden Benutzeraktivitäten aus Ihren CloudTrail Protokollen.	`CreateAccessKey`
AWS API-Aufrufe	Verwenden Sie diesen Datenquellentyp, um über einen API-Aufruf an eine bestimmte Ressource einen Snapshot Ihrer Ressourcenkonfiguration zu erstellen AWS-Service. Audit Manager verwendet den Namen des API-Aufrufs als Zuordnungsschlüsselwort und sammelt die API-Antwort.	`kms_ListKeys`

Delegierter

Ein Delegierter ist ein AWS Audit Manager Benutzer mit eingeschränkten Berechtigungen. Delegierte verfügen in der Regel über spezialisiertes geschäftliches oder technisches Fachwissen. Diese Fachkenntnisse können beispielsweise in den Bereichen Datenaufbewahrungsrichtlinien, Schulungspläne, Netzwerkinfrastruktur oder Identitätsmanagement liegen. Die Delegierten helfen den Audit-Verantwortlichen dabei, die erhobenen Beweise auf Kontrollen zu überprüfen, die in ihren Zuständigkeitsbereich fallen. Delegierte können Kontrollsätze und die zugehörigen Beweise überprüfen, Kommentare hinzufügen, zusätzliche Beweise hochladen und den Status der einzelnen Kontrollen, die Sie ihnen zur Überprüfung zuweisen, aktualisieren.

Die Audit-Verantwortlichen weisen den Delegierten bestimmte Kontrollsätze zu, nicht ganze Bewertungen. Aus diesem Grund haben Delegierte nur begrenzten Zugriff auf Bewertungen. Anweisungen zum Delegieren eines Kontrollsatzes finden Sie unter Delegationen in AWS Audit Manager.

Beweise

Beweise sind Aufzeichnungen, welche die Informationen enthalten, die erforderlich sind, um die Einhaltung der Anforderungen einer Kontrolle nachzuweisen. Zu den Beweisen gehören beispielsweise eine von einem Benutzer aufgerufene Änderungsaktivität und ein Snapshot der Systemkonfiguration.

In Audit Manager gibt es zwei Hauptarten von Beweisen: Automatisierte Beweise und manuelle Beweise.

Art des Nachweises	Beschreibung
Automatisierte Beweise	Dies sind die Nachweise, die Audit Manager automatisch sammelt. Dies umfasst die folgenden drei Kategorien automatisierter Beweise: Konformitätsprüfung — Das Ergebnis einer Konformitätsprüfung wird von AWS Security Hub oder beiden erfasst. AWS Config Beispiele für Konformitätsprüfungen sind ein Sicherheitsprüfungsergebnis von Security Hub für eine PCI-DSS-Kontrolle und eine AWS Config Regelauswertung für eine HIPAA-Kontrolle. Weitere Informationen finden Sie unter AWS-Config-Regeln unterstützt von AWS Audit Manager und AWS Security Hub Steuerelemente werden unterstützt von AWS Audit Manager. Benutzeraktivität — Benutzeraktivitäten, die eine Ressourcenkonfiguration ändern, werden in CloudTrail Protokollen aufgezeichnet, sobald diese Aktivität stattfindet. Beispiele für Benutzeraktivitäten sind eine Aktualisierung der Routing-Tabelle, eine Änderung der Backup-Einstellungen für Amazon RDS-Instances und eine Änderung der S3-Bucket-Verschlüsselungsrichtlinie. Weitere Informationen finden Sie unter AWS CloudTrail Eventnamen werden unterstützt von AWS Audit Manager. Konfigurationsdaten – Ein Snapshot der Ressourcenkonfiguration wird direkt von einem AWS-Service auf täglicher, wöchentlicher oder monatlicher Basis erfasst. Beispiele für Konfigurations-Snapshots sind eine Liste von Routen für eine VPC-Routing-Tabelle, eine Amazon RDS-Instance-Backup-Einstellung und eine S3-Bucket-Verschlüsselungsrichtlinie. Weitere Informationen finden Sie unter AWS API-Aufrufe werden unterstützt von AWS Audit Manager.
Manueller Nachweis	Dies ist der Nachweis, den Sie selbst zu Audit Manager hinzufügen. Es gibt drei Möglichkeiten, eigene Beweise hinzuzufügen: Importieren einer Datei aus Amazon S3 Laden Sie eine Datei von Ihrem Browser hoch Geben Sie eine Textantwort auf eine Frage zur Risikobeurteilung ein Weitere Informationen finden Sie unter Manuelle Nachweise hinzufügen in AWS Audit Manager.

Art des Nachweises

Beschreibung

Automatisierte Beweise

Dies sind die Nachweise, die Audit Manager automatisch sammelt. Dies umfasst die folgenden drei Kategorien automatisierter Beweise:

Konformitätsprüfung — Das Ergebnis einer Konformitätsprüfung wird von AWS Security Hub oder beiden erfasst. AWS Config

Beispiele für Konformitätsprüfungen sind ein Sicherheitsprüfungsergebnis von Security Hub für eine PCI-DSS-Kontrolle und eine AWS Config Regelauswertung für eine HIPAA-Kontrolle.

Weitere Informationen finden Sie unter AWS-Config-Regeln unterstützt von AWS Audit Manager und AWS Security Hub Steuerelemente werden unterstützt von AWS Audit Manager.
Benutzeraktivität — Benutzeraktivitäten, die eine Ressourcenkonfiguration ändern, werden in CloudTrail Protokollen aufgezeichnet, sobald diese Aktivität stattfindet.

Beispiele für Benutzeraktivitäten sind eine Aktualisierung der Routing-Tabelle, eine Änderung der Backup-Einstellungen für Amazon RDS-Instances und eine Änderung der S3-Bucket-Verschlüsselungsrichtlinie.

Weitere Informationen finden Sie unter AWS CloudTrail Eventnamen werden unterstützt von AWS Audit Manager.
Konfigurationsdaten – Ein Snapshot der Ressourcenkonfiguration wird direkt von einem AWS-Service auf täglicher, wöchentlicher oder monatlicher Basis erfasst.

Beispiele für Konfigurations-Snapshots sind eine Liste von Routen für eine VPC-Routing-Tabelle, eine Amazon RDS-Instance-Backup-Einstellung und eine S3-Bucket-Verschlüsselungsrichtlinie.

Weitere Informationen finden Sie unter AWS API-Aufrufe werden unterstützt von AWS Audit Manager.

Manueller Nachweis

Dies ist der Nachweis, den Sie selbst zu Audit Manager hinzufügen. Es gibt drei Möglichkeiten, eigene Beweise hinzuzufügen:

Importieren einer Datei aus Amazon S3
Laden Sie eine Datei von Ihrem Browser hoch
Geben Sie eine Textantwort auf eine Frage zur Risikobeurteilung ein

Weitere Informationen finden Sie unter Manuelle Nachweise hinzufügen in AWS Audit Manager.

Die automatische Erfassung von Beweisen beginnt, wenn Sie eine Bewertung erstellen. Dies ist ein fortlaufender Prozess, und Audit Manager sammelt Beweise je nach Art der Beweise und der zugrunde liegenden Datenquelle mit unterschiedlichen Intervallen. Weitere Informationen finden Sie unter Verstehen, wie Beweise AWS Audit Manager gesammelt werden.

Anweisungen zum Überprüfen von Beweisen in einer Bewertung finden Sie unter Überprüfung von Nachweisen in AWS Audit Manager.

Quelle der Beweise

Eine Evidenzquelle definiert, woher eine Kontrolle Beweise sammelt. Dabei kann es sich um eine einzelne Datenquelle oder um eine vordefinierte Gruppierung von Datenquellen handeln, die einem gemeinsamen Steuerelement oder einem zentralen Steuerelement zugeordnet ist.

Wenn Sie ein benutzerdefiniertes Steuerelement erstellen, können Sie Beweise aus AWS verwalteten Quellen, kundenverwalteten Quellen oder beidem sammeln.

Tipp

Wir empfehlen, AWS verwaltete Quellen zu verwenden. Immer wenn eine AWS verwaltete Quelle aktualisiert wird, werden dieselben Updates automatisch auf alle benutzerdefinierten Steuerelemente angewendet, die diese Quellen verwenden. Das bedeutet, dass Ihre benutzerdefinierten Kontrollen immer Beweise anhand der neuesten Definitionen dieser Beweisquelle sammeln. Auf diese Weise können Sie die kontinuierliche Einhaltung der Vorschriften sicherstellen, wenn sich die Cloud-Compliance-Umgebung ändert.

Siehe auch:AWS managed source,customer managed source.

Methode zur Beweissuche

Es gibt zwei Möglichkeiten, wie eine Kontrolle Beweise sammeln kann.

Methode zur Beweissuche	Beschreibung
Automatisiert	Automatisierte Kontrollen sammeln automatisch Beweise aus AWS Datenquellen. Diese automatisierten Beweise können Ihnen helfen, die vollständige oder teilweise Einhaltung der Kontrolle nachzuweisen.
Manuell	Bei manuellen Kontrollen müssen Sie Ihre eigenen Nachweise hochladen, um die Einhaltung der Kontrollen nachzuweisen.

Anmerkung

Sie können jeder automatisierten Kontrolle manuelle Beweise beifügen. In vielen Fällen ist eine Kombination aus automatisierten und manuellen Beweisen erforderlich, um die vollständige Einhaltung einer Kontrolle nachzuweisen. Audit Manager kann zwar automatisierte Beweise bereitstellen, die hilfreich und relevant sind, einige automatisierte Beweise weisen jedoch möglicherweise nur auf eine teilweise Einhaltung der Vorschriften hin. In diesem Fall können Sie die automatisierten Beweise, die Audit Manager bereitstellt, durch Ihre eigenen Beweise ergänzen.

Beispielsweise:

Das AWS Framework für bewährte Verfahren für generative KI v2 enthält ein Steuerelement namensError analysis. Bei dieser Kontrolle müssen Sie feststellen, wann Ungenauigkeiten bei der Verwendung Ihres Modells festgestellt werden. Außerdem müssen Sie eine gründliche Fehleranalyse durchführen, um die Ursachen zu ermitteln und Abhilfemaßnahmen zu ergreifen.
Um diese Kontrolle zu unterstützen, sammelt Audit Manager automatisierte Nachweise, aus denen hervorgeht, ob CloudWatch Alarme für den AWS-Konto Ort aktiviert sind, an dem Ihre Bewertung ausgeführt wird. Anhand dieser Beweise können Sie nachweisen, dass die Kontrolle teilweise eingehalten wird, indem Sie nachweisen, dass Ihre Alarme und Prüfungen korrekt konfiguriert sind.
Um die vollständige Einhaltung der Vorschriften nachzuweisen, können Sie die automatisierten Beweise durch manuelle Beweise ergänzen. Sie können beispielsweise eine Richtlinie oder ein Verfahren hochladen, das Ihren Fehleranalyseprozess, Ihre Schwellenwerte für Eskalationen und Berichte sowie die Ergebnisse Ihrer Ursachenanalyse aufzeigt. Anhand dieses manuellen Beweises können Sie nachweisen, dass die festgelegten Richtlinien gelten und dass auf Aufforderung hin Abhilfemaßnahmen ergriffen wurden.

Ein detaillierteres Beispiel finden Sie unter Kontrollen mit gemischten Datenquellen.

Exportzielort

Ein Exportzielort ist der standardmäßige S3-Bucket, in dem Audit Manager die Dateien speichert, die Sie aus dem Evidence Finder exportieren. Weitere Informationen finden Sie unter Konfiguration Ihres Standardexportziels für Evidence Finder.

Framework

Ein Audit Manager Manager-Framework strukturiert und automatisiert Bewertungen für einen bestimmten Standard oder ein bestimmtes Prinzip der Risikosteuerung. Diese Frameworks umfassen eine Sammlung vordefinierter oder kundenspezifischer Kontrollen und helfen Ihnen dabei, Ihre AWS Ressourcen den Anforderungen dieser Kontrollen zuzuordnen.

In Audit Manager gibt es zwei Arten von Frameworks.

Typ des Frameworks	Beschreibung
Standardrahmen	Dies ist ein vorgefertigtes Framework, das auf AWS bewährten Verfahren für verschiedene Compliance-Standards und -Vorschriften basiert. Sie können Standard-Frameworks verwenden, um Sie bei der Vorbereitung von Audits für einen bestimmten Compliance-Standard oder eine Verordnung wie PCI DSS oder HIPAA zu unterstützen.
Benutzerdefiniertes Framework	Dies ist ein benutzerdefiniertes Framework, das Sie als Audit Manager Manager-Benutzer definieren. Sie können benutzerdefinierte Frameworks verwenden, um Sie bei der Vorbereitung von Audits gemäß Ihren spezifischen GRC-Anforderungen zu unterstützen.

Typ des Frameworks

Beschreibung

Standardrahmen

Dies ist ein vorgefertigtes Framework, das auf AWS bewährten Verfahren für verschiedene Compliance-Standards und -Vorschriften basiert.

Sie können Standard-Frameworks verwenden, um Sie bei der Vorbereitung von Audits für einen bestimmten Compliance-Standard oder eine Verordnung wie PCI DSS oder HIPAA zu unterstützen.

Benutzerdefiniertes Framework

Dies ist ein benutzerdefiniertes Framework, das Sie als Audit Manager Manager-Benutzer definieren.

Sie können benutzerdefinierte Frameworks verwenden, um Sie bei der Vorbereitung von Audits gemäß Ihren spezifischen GRC-Anforderungen zu unterstützen.

Anweisungen zum Erstellen und Verwalten von Frameworks finden Sie unter Verwendung der Framework-Bibliothek zur Verwaltung von Frameworks in AWS Audit Manager.

Anmerkung

AWS Audit Manager hilft bei der Erfassung von Nachweisen, die für die Überprüfung der Einhaltung bestimmter Compliance-Standards und -Vorschriften relevant sind. Ihre Einhaltung wird jedoch nicht bewertet. Die auf diese Weise gesammelten Nachweise enthalten AWS Audit Manager daher möglicherweise nicht alle Informationen über Ihre AWS Nutzung, die für Audits erforderlich sind. AWS Audit Manager ist kein Ersatz für Rechtsbeistand oder Compliance-Experten.

Gemeinsame Nutzung von Frameworks

Sie können die Teilen eines benutzerdefinierten Frameworks in AWS Audit Manager Funktion verwenden, um Ihre benutzerdefinierten Frameworks schnell AWS-Konten und regional gemeinsam zu nutzen. Um ein benutzerdefiniertes Framework gemeinsam zu nutzen, erstellen Sie eine Freigabeanfrage. Der Empfänger hat dann 120 Tage Zeit, um die Anfrage anzunehmen oder abzulehnen. Wenn er zustimmt, repliziert Audit Manager das gemeinsam genutzte benutzerdefinierte Framework in sein Framework-Bibliothek. Audit Manager repliziert nicht nur das benutzerdefinierte Framework, sondern auch alle benutzerdefinierten Kontrollsätze und Kontrollen, die in diesem Framework enthalten sind. Diese benutzerdefinierten Kontrollen werden der Kontrollbibliothek des Empfängers hinzugefügt. Audit Manager repliziert keine Standard-Frameworks oder -Kontrollen. Dies liegt daran, dass diese Ressourcen bereits standardmäßig in jedem Konto und jeder Region verfügbar sind.

Ressource

Eine Ressource ist ein Sachwert oder ein Informationsgut, das im Rahmen eines Audits bewertet wird. Zu den AWS Ressourcen gehören beispielsweise Amazon EC2 EC2-Instances, Amazon RDS-Instances, Amazon S3 S3-Buckets und Amazon VPC-Subnetze.

Bewertung der Ressourcen

Eine Ressourcenbewertung ist der Prozess der Bewertung einer einzelnen Ressource. Diese Bewertung basiert auf der Anforderung einer Kontrolle. Während eine Bewertung aktiv ist, führt Audit Manager Ressourcenbewertungen für jede einzelne Ressource im Rahmen der Bewertung durch. Bei einer Ressourcenbewertung werden die folgenden Aufgaben ausgeführt:

Sammelt Beweise wie Ressourcenkonfigurationen, Ereignisprotokolle und Ergebnisse
Übersetzt Beweise und ordnet sie den Kontrollen zu
Speichert und verfolgt die Herkunft der Beweise, um deren Integrität zu gewährleisten

Ressourcen-Compliance

Die Einhaltung der Ressourcen-Compliance bezieht sich auf den Bewertungsstatus einer Ressource, die bei der Erfassung von Beweisen zur Compliance-Überprüfung bewertet wurde.

Audit Manager sammelt Nachweise zur Konformitätsprüfung für Kontrollen, die Security Hub als Datenquellentyp verwenden AWS Config . Bei dieser Beweissuche können mehrere Ressourcen bewertet werden. Daher kann ein einziger Beweis für die Compliance-Überprüfung eine oder mehrere Ressourcen umfassen.

Sie können den Compliance-Filter für Ressourcen in der Beweissuche verwenden, um den Konformitätsstatus auf Ressourcenebene zu ermitteln. Nachdem Ihre Suche abgeschlossen ist, können Sie eine Vorschau der Ressourcen anzeigen, die Ihrer Suchabfrage entsprechen.

In der Beweissuche gibt es drei mögliche Werte für die Ressourcen-Compliance:

Wert	Beschreibung
Nicht konform	Dies bezieht sich auf Ressourcen mit Problemen bei der Konformitätsprüfung. Dies passiert, wenn Security Hub ein Fehlerergebnis für die Ressource AWS Config meldet oder wenn ein nicht konformes Ergebnis gemeldet wird.
Konform	Dies bezieht sich auf Ressourcen, bei denen keine Probleme mit der Konformitätsprüfung aufgetreten sind. Dies passiert, wenn Security Hub ein Pass-Ergebnis für die Ressource AWS Config meldet oder wenn ein Compliance-Ergebnis gemeldet wird.
Nicht eindeutig	Dies bezieht sich auf Ressourcen, für die keine Konformitätsprüfung verfügbar oder anwendbar ist. Dies passiert, wenn AWS Config Security Hub der zugrunde liegende Datenquellentyp ist, diese Dienste jedoch nicht aktiviert sind. Dies ist auch der Fall, wenn der zugrunde liegende Datenquellentyp keine Konformitätsprüfungen unterstützt (z. B. manuelle Nachweise, AWS API-Aufrufe oder CloudTrail).

Wert

Beschreibung

Nicht konform

Dies bezieht sich auf Ressourcen mit Problemen bei der Konformitätsprüfung.

Dies passiert, wenn Security Hub ein Fehlerergebnis für die Ressource AWS Config meldet oder wenn ein nicht konformes Ergebnis gemeldet wird.

Konform

Dies bezieht sich auf Ressourcen, bei denen keine Probleme mit der Konformitätsprüfung aufgetreten sind.

Dies passiert, wenn Security Hub ein Pass-Ergebnis für die Ressource AWS Config meldet oder wenn ein Compliance-Ergebnis gemeldet wird.

Nicht eindeutig

Dies bezieht sich auf Ressourcen, für die keine Konformitätsprüfung verfügbar oder anwendbar ist.

Dies passiert, wenn AWS Config Security Hub der zugrunde liegende Datenquellentyp ist, diese Dienste jedoch nicht aktiviert sind.

Dies ist auch der Fall, wenn der zugrunde liegende Datenquellentyp keine Konformitätsprüfungen unterstützt (z. B. manuelle Nachweise, AWS API-Aufrufe oder CloudTrail).

Leistung im Umfang

Der Audit Manager verwaltet, AWS-Services welche Punkte für Ihre Bewertungen in Frage kommen. Wenn Sie ein älteres Assessment haben, ist es möglich, dass Sie die in den Geltungsbereich fallenden Services in der Vergangenheit manuell festgelegt haben. Nach dem 04. Juni 2024 können Sie die Services im Geltungsbereich nicht mehr manuell angeben oder bearbeiten.

Ein Service im Geltungsbereich ist ein Service AWS-Service , für den in Ihrer Bewertung Belege gesammelt werden. Wenn ein Service in den Umfang Ihrer Bewertung aufgenommen wird, bewertet Audit Manager die Ressourcen dieses Dienstes. Zu den Beispielressourcen gehören:

Eine Amazon-EC2-Instance.
Ein S3-Bucket
Ein IAM-Benutzer oder eine IAM-Rolle
Eine DynamoDB-Tabelle
Eine Netzwerkkomponente wie eine Amazon Virtual Private Cloud (VPC)-Sicherheitsgruppe oder eine Netzwerk-Zugriffskontrollliste (Access Control List, ACL)

Wenn Amazon S3 beispielsweise ein Service im Leistungsumfang ist, kann Audit Manager Nachweise über Ihre S3-Buckets sammeln. Die genauen Beweise, die gesammelt werden, werden von einer Kontrolle bestimmt. data source Wenn der Datenquellentyp beispielsweise ist AWS Config und es sich bei der Datenquellenzuordnung um eine AWS Config Regel handelt (z. B.s3-bucket-public-write-prohibited), erfasst Audit Manager das Ergebnis dieser Regelauswertung als Nachweis.

Anmerkung

Denken Sie daran, dass sich der Umfang eines Dienstes von einem Datenquellentyp unterscheidet, der auch ein AWS-Service oder etwas anderes sein kann. Weitere Informationen finden Sie Was ist der Unterschied zwischen einem Service im Umfang und einem Datenquellentyp? im Abschnitt Problembehandlung dieses Handbuchs.

Standardsteuerung

Siehe control.