Informes de resultados de auditoría - Amazon CloudWatch Logs
Política clave necesaria para enviar los resultados de la auditoría a un depósito protegido por AWS KMS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Informes de resultados de auditoría

Si configuras las políticas de auditoría de protección de datos de CloudWatch Logs para escribir informes de auditoría en CloudWatch Logs, Amazon S3 o Firehose, estos informes de resultados son similares a los del siguiente ejemplo. CloudWatch Logs escribe un informe de resultados para cada evento de registro que contiene datos confidenciales.

{
    "auditTimestamp": "2023-01-23T21:11:20Z",
    "resourceArn": "arn:aws:logs:us-west-2:111122223333:log-group:/aws/lambda/MyLogGroup:*",
    "dataIdentifiers": [
        {
            "name": "EmailAddress",
            "count": 2,
            "detections": [
                {
                    "start": 13,
                    "end": 26
                },
{
                    "start": 30,
                    "end": 43
                }
            ]
        }
    ]
}

Los campos del informe son los siguientes:

  • El campo resourceArn muestra el grupo de registro en el que se encontraron los datos confidenciales.

  • El objeto dataIdentifiers muestra información sobre los resultados de un tipo de datos confidenciales que está auditando.

  • El campo name identifica el tipo de datos confidenciales sobre los que se informa en esta sección.

  • El campo count muestra el número de veces que este tipo de datos confidenciales aparece en el evento de registro.

  • Los campos start y end muestran en qué parte del evento de registro, por recuento de caracteres, aparece cada resultado de datos confidenciales.

El ejemplo anterior muestra un informe sobre la búsqueda de dos direcciones de correo electrónico en un evento de registro. La primera dirección de correo electrónico comienza en el carácter 13 del evento de registro y termina en el carácter 26. La segunda dirección de correo electrónico va del carácter 30 al 43. Aunque este evento de registro tiene dos direcciones de correo electrónico, el valor de la métrica LogEventsWithFindings solo se incrementa en uno, ya que esa métrica cuenta la cantidad de eventos de registro que contienen datos confidenciales, no la cantidad de resultados de datos confidenciales.

Política clave necesaria para enviar los resultados de la auditoría a un depósito protegido por AWS KMS

Puede proteger los datos de un bucket de Amazon S3 habilitando el cifrado del lado del servidor con claves administradas por Amazon SSE S3 (-S3) o el cifrado del lado del servidor con claves (-). KMS SSE KMS Para obtener más información, consulte Protección de datos mediante cifrado del lado del servidor en la Guía del usuario de Amazon S3.

Si envía los resultados de la auditoría a un depósito protegido con SSE -S3, no se requiere ninguna configuración adicional. Amazon S3 se encarga de la clave de cifrado.

Si envía los resultados de la auditoría a un depósito protegido con SSE -KMS, debe actualizar la política de claves de su KMS clave para que la cuenta de entrega de registros pueda escribir en su depósito de S3. Para obtener más información sobre la política de claves necesaria para su uso con SSE -KMS, consulta Amazon S3 la Guía del usuario de Amazon CloudWatch Logs.