Solución de problemas con el buscador de evidencias - AWS Audit Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Solución de problemas con el buscador de evidencias

Utilice la información de esta página para resolver problemas comunes relacionados con el buscador de evidencias en Audit Manager.

No puedo habilitar el buscador de evidencias

Algunas razones comunes por las que no puede cerrar una incluyen las siguientes situaciones:

Le faltan permisos

Si está intentando activar el buscador de pruebas por primera vez, asegúrese de tener los permisos necesarios para activarlo. Estos permisos le permiten crear y administrar un almacén de datos de eventos en CloudTrail Lake, que es necesario para respaldar las consultas de búsqueda de los buscadores de evidencias. Los permisos también le permiten realizar consultas de búsqueda en el buscador de evidencias.

Si necesitas ayuda con los permisos, ponte en contacto con tu AWS administrador. Si es AWS administrador, puede copiar la declaración de permiso requerida y adjuntarla a una IAM política.

Está utilizando la cuenta de administración de Organizations

Recuerde que no puede usar la cuenta de administración para habilitar el buscador de evidencias. Inicie sesión como la cuenta de administrador delegado e inténtelo de nuevo.

Ha desactivado anteriormente el buscador de evidencias

Actualmente, no se permite volver a habilitar el buscador de evidencias. Si anteriormente desactivó el buscador de evidencias, no podrá volver a habilitarlo.

He activado el buscador de evidencias, pero no veo pruebas anteriores en los resultados de mi búsqueda

Al activar el buscador de evidencias, todos los datos de las pruebas anteriores tardan hasta 7 días en estar disponibles.

Durante este período de 7 días, se rellena un almacén de datos de eventos con los datos probatorios de los últimos dos años. Esto significa que si utiliza el buscador de evidencias inmediatamente después de activarlo, no estarán disponibles todos los resultados hasta que haya completado el proceso de relleno.

Para obtener instrucciones sobre cómo comprobar el estado del relleno de datos, consulteConfirmando el estado del buscador de pruebas .

No puedo desactivar el buscador de evidencias

Esto podría deberse a una de las siguientes causas.

Le faltan permisos

Si está intentando desactivar el buscador de pruebas, asegúrese de tener los permisos necesarios para desactivarlo. Estos permisos te permiten actualizar y eliminar un almacén de datos de eventos en CloudTrail Lake, lo cual es necesario para deshabilitar el buscador de evidencias.

Si necesitas ayuda con los permisos, ponte en contacto con tu AWS administrador. Si es AWS administrador, puede copiar la declaración de permiso requerida y adjuntarla a una IAM política.

Todavía se está tramitando una solicitud para habilitar el buscador de evidencias

Cuando solicita habilitar el buscador de evidencias, creamos un almacén de datos de eventos para respaldar las consultas del buscador de evidencias. No puede deshabilitar el buscador de evidencias mientras se crea el almacén de datos del evento.

Para continuar, espere a que se cree el almacén de datos de eventos e inténtelo de nuevo. Para obtener más información, consulte Confirmando el estado del buscador de pruebas .

Ya ha solicitado desactivar el buscador de evidencias

Cuando solicita la desactivación del buscador de evidencias, eliminamos el almacén de datos de eventos que se utiliza para las consultas del buscador de evidencias. Si intenta volver a desactivar el buscador de evidencias mientras se elimina el almacén de datos de eventos, aparecerá un mensaje de error.

En este caso, no es necesario realizar ninguna acción. Espere a que se elimine el almacén de datos de eventos. Tan pronto como se complete, el buscador de evidencias se desactivará. Para obtener más información, consulte Confirmando el estado del buscador de pruebas .

Mi consulta de búsqueda falla

Una consulta de búsqueda fallida puede deberse a una de las siguientes razones.

Le faltan permisos

Compruebe que el usuario tiene los permisos necesarios para ejecutar consultas de búsqueda y acceder a los resultados de la búsqueda. En concreto, necesitas permisos para las siguientes CloudTrail acciones:

Si necesita ayuda con los permisos, póngase en contacto con su AWS administrador. Si es AWS administrador, puede copiar la declaración de permiso requerida y adjuntarla a una IAM política.

Está ejecutando el número máximo de consultas

Puede ejecutar hasta 5 consultas a la vez. Si ejecuta el número máximo de consultas simultáneas, se producirá un error MaxConcurrentQueriesException. Si aparece este mensaje de error, espere un minuto a que finalicen algunas consultas y, a continuación, vuelva a ejecutar la consulta.

La declaración de consulta contiene un error de validación

Si utilizas la operación API o CLI para realizar la StartQueryoperación CloudTrail Lake, asegúrate de que la tuya queryStatement sea válida. Si la declaración de consulta contiene errores de validación, una sintaxis incorrecta o palabras clave no compatibles, el resultado es un InvalidQueryStatementException.

Para obtener más información sobre cómo escribir una consulta, consulte Creación o edición de una consulta en la Guía del usuario de AWS CloudTrail .

Para ver ejemplos de sintaxis válida, revise los siguientes ejemplos de instrucciones de consulta que se pueden utilizar para consultar un almacén de datos de eventos de Audit Manager.

Ejemplo 1: investigue las pruebas y su estado de conformidad

En este ejemplo, se buscan pruebas con cualquier estado de conformidad en todas las evaluaciones consideradas, dentro de un intervalo de fechas específico.

SELECT eventData.evidenceId, eventData.resourceArn, eventData.resourceComplianceCheck FROM $EDS_ID WHERE eventTime > '2022-11-02 00:00:00.000' AND eventTime < '2022-11-03 00:00:00.000'
Ejemplo 2: determine las pruebas de incumplimiento de un control

En este ejemplo, se buscan todas las pruebas que no cumplen con las normas de un intervalo de fechas especificado para una evaluación y un control específicos.

SELECT * FROM $EDS_ID WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' AND eventTime > '2022-10-27 22:05:00.000' AND eventTime < '2022-11-03 22:05:00.000' AND eventData.resourceComplianceCheck IN ('NON_COMPLIANT','FAILED','WARNING') AND eventData.controlId IN ('aa11bb22-cc33-dd44-ee55-ff66gg77hh88')
Ejemplo 3: cuente las pruebas por su nombre

En este ejemplo, se enumeran las pruebas totales de una evaluación en un intervalo de fechas específico, agrupadas por nombre y ordenadas por recuento de pruebas.

SELECT eventData.eventName as eventName, COUNT(*) as totalEvidence FROM $EDS_ID WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' AND eventTime > '2022-10-27 22:05:00.000' AND eventTime < '2022-11-03 22:05:00.000' GROUP BY eventData.eventName ORDER BY totalEvidence DESC
Ejemplo 4: explore las pruebas por origen de datos y servicio

En este ejemplo, se buscan todas las pruebas de un intervalo de fechas especificado para un servicio y un origen de datos específicos.

SELECT * FROM $EDS_ID WHERE eventTime > '2022-10-27 22:05:00.000' AND eventTime < '2022-11-03 22:05:00.000' AND eventData.service IN ('dynamodb') AND eventData.dataSource IN ('AWS API calls')
Ejemplo 5: Explore las pruebas de conformidad por origen de datos y dominio de control

En este ejemplo, se busca evidencia de conformidad para dominios de control específicos, donde la evidencia proviene de una fuente de datos que no es AWS Config.

SELECT * FROM $EDS_ID WHERE eventData.resourceComplianceCheck IN ('PASSED','COMPLIANT') AND eventData.controlDomainName IN ('Logging and monitoring','Data security and privacy') AND eventData.dataSource NOT IN ('AWS Config')
Otras API excepciones

StartQueryAPIPueden fallar por varios otros motivos. Para obtener una lista completa de los posibles errores y descripciones, consulte StartQuery Errores en la AWS CloudTrail APIreferencia.

Veo que un dominio de control está marcado como «desactualizado». ¿Qué significa esto?

Al aplicar un filtro de dominio de control en Evidence Finder, es posible que observe que algunos dominios de control disponibles se describen como anticuados.

Captura de pantalla de un filtro de dominio de control anticuado en el buscador de evidencias.

A partir del 6 de junio de 2024, Audit Manager admite un nuevo conjunto de dominios de control proporcionados por AWS Control Catalog. Para obtener una lista de estos dominios de control, consulte ListDomainsla APIreferencia del catálogo AWS de control.

Si un dominio de control está marcado como desactualizado, significa que el dominio de control que está viendo no es uno de los nuevos dominios de control proporcionados por AWS Control Catalog. Audit Manager sigue siendo compatible con estos dominios de control anticuados para que pueda seguir utilizándolos como criterio a la hora de buscar pruebas.

Si bien seguimos admitiendo los dominios de control anticuados, le recomendamos que utilice los nuevos dominios de control en su lugar. Los nuevos dominios de control se asignan a los controles estándar actualizados que se lanzaron como parte de la biblioteca de controles comunes el 6 de junio de 2024. En esta fecha, publicamos controles estándar actualizados que pueden recopilar pruebas de fuentes AWS gestionadas. Esto significa que cada vez que hay una actualización de las fuentes de datos subyacentes para un control común o básico, Audit Manager aplica automáticamente la misma actualización a todos los controles estándar relacionados.

No puedo generar varios informes de evaluación a partir de los resultados de mi búsqueda

Este error se debe a que se ejecutan demasiadas consultas de CloudTrail Lake al mismo tiempo.

Este error puede producirse si agrupa los resultados de la búsqueda e intenta generar inmediatamente informes de evaluación para cada partida de los resultados agrupados. Cuando obtiene los resultados de la búsqueda y genera un informe de evaluación, cada acción invoca una consulta. Solo puede ejecutar hasta 5 consultas a la vez. Si ejecuta el número máximo de consultas simultáneas, se mostrará un error MaxConcurrentQueriesException.

Para evitar este error, asegúrese de no generar demasiados informes de evaluación a la vez. Si ejecuta el número máximo de consultas simultáneas, se mostrará un error MaxConcurrentQueriesException. Si recibe este mensaje de error, espere unos minutos a que se completen los informes de evaluación en curso.

Puede comprobar el estado de los informes de evaluación desde la página del centro de descargas de la consola de Audit Manager. Una vez completados los informes, vuelva a los resultados agrupados en el buscador de evidencias. A continuación, podrá seguir obteniendo los resultados y generar un informe de evaluación para cada partida.

No puedo incluir pruebas específicas de los resultados de mi búsqueda

Todos los resultados de la búsqueda se incluyen en el informe de evaluación. No puede añadir filas individuales de forma selectiva a su conjunto de resultados de búsqueda.

Si solo quiere incluir resultados de búsqueda específicos en el informe de evaluación, le recomendamos que edite sus filtros de búsqueda actuales. De esta forma, puede restringir los resultados para centrarse únicamente en las pruebas que desee incluir en el informe.

No todos los resultados de mi buscador de evidencias se incluyen en el informe de evaluación

Al generar un informe de evaluación, hay límites en cuanto a la cantidad de evidencia que se puede añadir. El límite se basa en la Región de AWS evaluación, en la región del depósito de S3 que se utiliza como destino del informe de evaluación y en si la evaluación utiliza una evaluación gestionada por el cliente AWS KMS key.

  1. El límite es de 22.000 para los informes de la misma región (en los que el bucket de S3 y la evaluación están en la misma Región de AWS)

  2. El límite es de 3500 para los informes de la misma región (en los que el bucket de S3 y la evaluación están en la misma Regiones de AWS)

  3. El límite es de 3500 si la evaluación utiliza una clave gestionada KMS por el cliente

Si supera este límite, el informe aún se crea. Sin embargo, Audit Manager agrega solo los primeros 3500 o 22.000 elementos de evidencia al informe.

Para evitar este problema, le recomendamos que edite los filtros de búsqueda actuales. De esta forma, puede reducir los resultados de la búsqueda segmentando una cantidad menor de pruebas. Si es necesario, puede repetir este método y generar varios informes de evaluación en lugar de un informe más grande.

Quiero generar un informe de evaluación a partir de los resultados de mi búsqueda, pero el enunciado de mi consulta no funciona

Si utilizas la excepción de validación CreateAssessmentReportAPIy tu sentencia de consulta devuelve una excepción de validación, consulta la siguiente tabla para obtener instrucciones sobre cómo solucionarlo.

nota

Incluso si una sentencia de consulta funciona CloudTrail, es posible que la misma consulta no sea válida para la generación de informes de evaluación en Audit Manager. Esto se debe a algunas diferencias en la validación de consultas entre los dos servicios.

Cláusula Problema Solución Notas

SELECT

La cláusula SELECT contiene un nombre de columna

Elimine la cláusula SELECT y sustitúyala por SELECT eventJson.

Solo se admite SELECT eventJson.

Esta validación la gestiona Audit Manager.

FROM

La cláusula FROM contiene un ID de almacén de datos de eventos no válido

o

El ID del almacén de datos de eventos proporcionado no coincide con el ID del almacén de datos de eventos en la configuración de su Audit Manager.

Elimine la cláusula FROM y sustitúyala por FROM edsID, donde el valor de edsID coincide con el ID del almacén de datos de eventos que se especifica en la configuración de Audit Manager.

Puede recuperar el almacén ARN de datos de eventos desde la configuración de Audit Manager. Para obtener más información, consulte GetSettingsla AWS Audit Manager APIReferencia.

Esta validación la gestiona Audit Manager.

GROUP BY

Hay una cláusula GROUP BY en la consulta

Elimine la cláusula GROUP BY.

Esta validación la gestiona Audit Manager.

HAVING

Hay una cláusula HAVING en la consulta

Elimine la cláusula HAVING.

Esta validación la gestiona Audit Manager.

LIMIT

La cláusula LIMIT contiene un valor que supera el límite máximo permitido

Si la cláusula LIMIT existe, asegúrese de que su valor sea igual o inferior al límite máximo admitido:

  • Para los informes de la misma región, el límite es de 22.000

  • Para los informes entre regiones, el límite es de 3500

  • En el caso de los informes en los que la evaluación relacionada utiliza un cliente gestionado AWS KMS key, el límite es de 3500

En la consola, no hay límite en cuanto al número de resultados de evidencias que se pueden devolver. Sin embargo, al generar un informe de evaluación, se aplica un límite a la cantidad de evidencias que se pueden incluir.

Si no se proporciona ningún valor LIMIT en el enunciado de consulta, se aplican los límites máximos predeterminados.

Esta validación la gestiona Audit Manager.

ORDER BY

La cláusula ORDER BY contiene funciones agregadas o alias que no están presentes en la cláusula SELECT

Asegúrese de que la cláusula ORDER BY no contenga ninguna condición mediante el uso de funciones agregadas o alias.

Esta validación es gestionada por. CloudTrail StartQuery API

WHERE

La cláusula WHERE contiene más de una assessmentId

o

La cláusula WHERE contiene un assessmentId valor que no coincide con el assessmentId de su solicitud createAssessmentReport

o

La cláusula WHERE contiene un nombre de columna no compatible

Asegúrese de que solo se especifique un ID de evaluación y de que coincida con el assessmentId parámetro que especificó en la solicitud. createAssessmentReport API

Elimine los nombres de columna no admitidos.

Esta validación es gestionada por. CloudTrail StartQuery API

Ejemplos

Los siguientes ejemplos muestran cómo se puede utilizar el queryStatement parámetro al llamar a la CreateAssessmentReportoperación. Antes de utilizar estas consultas, sustituya la placeholder text por los suyos propios edsId y sus assessmentId valores.

Ejemplo 1: crear un informe (se aplica el límite para la misma región)

En este ejemplo, se crea un informe que incluye los resultados de los buckets de S3 creados entre el 22 y el 23 de enero de 2022.

SELECT eventJson FROM 12345678-abcd-1234-abcd-123456789012 WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' AND eventTime > '2022-01-22 00:00:00.000' AND eventTime < '2022-01-23 00:00:00.000' AND eventName='CreateBucket' LIMIT 22000
Ejemplo 2: crear un informe (se aplica un límite entre regiones)

En este ejemplo, se crea un informe que incluye todos los resultados del almacén de datos de eventos y la evaluación del evento especificados, sin especificar ningún intervalo de fechas.

SELECT eventJson FROM 12345678-abcd-1234-abcd-123456789012 WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' LIMIT 7000
Ejemplo 3: crear un informe (por debajo del límite predeterminado)

En este ejemplo, se crea un informe que incluye todos los resultados del almacén de datos de eventos y la evaluación del evento especificados, con un límite inferior al máximo predeterminado.

SELECT eventJson FROM 12345678-abcd-1234-abcd-123456789012 WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' LIMIT 2000

Recursos adicionales de

La siguiente página contiene una guía general para la solución de problemas relacionados con los informes de evaluación:

Mi CSV exportación falló

La CSV exportación puede fallar por varios motivos. Puede solucionar este problema comprobando las causas más frecuentes.

En primer lugar, asegúrese de cumplir los requisitos previos para utilizar la función de CSV exportación:

Ha activado correctamente el buscador de evidencias

Si no ha activado el buscador de evidencias, no podrá ejecutar una consulta de búsqueda ni exportar los resultados de la búsqueda.

El relleno de su almacén de datos de eventos está completo

Si utiliza el buscador de evidencias inmediatamente después de activarlo y aún está rellenando las pruebas, es posible que algunos resultados no estén disponibles. Para comprobar el estado del relleno, consulte. Confirmando el estado del buscador de pruebas

La consulta de búsqueda se ha realizado correctamente

Audit Manager no puede exportar los resultados de una consulta fallida. Para solucionar problemas relacionados con una consulta fallida, consulte Mi consulta de búsqueda falla.

Una vez que haya confirmado que cumple los requisitos previos, utilice la siguiente lista de comprobación para comprobar si hay posibles problemas:

  1. Verifique el estado de la consulta de búsqueda:

    1. ¿Se ha cancelado la consulta? El buscador de evidencias muestra resultados parciales que se hayan procesado antes de que se cancelara la consulta. Sin embargo, Audit Manager no exporta resultados parciales a su bucket de S3 ni al centro de descargas.

    2. ¿La consulta lleva ejecutándose más de una hora? Es posible que las consultas que se ejecuten durante más de una hora agoten el tiempo de espera. El buscador de evidencias muestra resultados parciales que se hayan procesado antes de que se agotara el tiempo de espera de la consulta. Sin embargo, Audit Manager no exporta resultados parciales. Para evitar que se agote el tiempo de espera, puedes reducir la cantidad de pruebas que se escanean Editar filtros de búsqueda para especificar un intervalo de tiempo más reducido.

  2. Comprueba el nombre y el depósito S3 URI de tu destino de exportación:

    1. ¿Existe el bucket que ha especificado? Si has introducido un depósito manualmenteURI, asegúrate de no haber escrito nada mal. Un error tipográfico o incorrecto URI puede provocar un RESOURCE_NOT_FOUND error cuando Audit Manager intente exportar el CSV archivo a Amazon S3.

  3. Compruebe los permisos del bucket de S3 de destino de exportación:

    1. ¿Tiene permisos de escritura del bucket de S3? Debe disponer de acceso de escritura para el bucket de S3 que utilice como destino de exportación. Más específicamente, la política de IAM permisos debe incluir una s3:PutObject acción y el segmentoARN, y figurar CloudTrail como principal del servicio. Proporcionamos un ejemplo de política que puede utilizar.

  4. Comprueba si alguno de tus Región de AWS datos no coincide:

    1. ¿La Región de AWS clave gestionada por el cliente coincide con la Región de AWS de su evaluación? Si proporcionó una clave administrada por el cliente para el cifrado de datos, debe estar en la misma Región de AWS que la de su evaluación. Para obtener instrucciones sobre cómo cambiar la KMS clave, consulteConfiguración de los ajustes de cifrado de datos.

  5. Compruebe los permisos de su cuenta de administrador delegado:

    1. ¿La clave administrada por el cliente en la configuración de Audit Manager concede permisos a su administrador delegado? Si utiliza una cuenta de administrador delegado y especificó una clave gestionada por el cliente para el cifrado de datos, asegúrese de que el administrador delegado tenga acceso a esa KMS clave. Para obtener instrucciones, consulte Permitir que los usuarios de otras cuentas usen una KMS clave en la Guía para AWS Key Management Service desarrolladores. Para revisar y cambiar la configuración de cifrado en Audit Manager, consulteConfiguración de los ajustes de cifrado de datos.

nota

Si cambia la configuración de cifrado de datos de Audit Manager, estos cambios se aplicarán a las nuevas evaluaciones que cree en el futuro. Esto incluye todos CSV los archivos que exporte de sus nuevas evaluaciones.

Los cambios no se aplican a las evaluaciones existentes que creó antes de cambiar la configuración del cifrado. Esto incluye CSV las nuevas exportaciones de las evaluaciones existentes, además de CSV las exportaciones existentes. Las evaluaciones existentes, y todas sus CSV exportaciones, siguen utilizando la clave anterior. KMS Si la IAM identidad que exporta el CSV archivo no tiene permisos para usar la KMS clave anterior, puedes conceder permisos a nivel de política clave.

No puedo exportar pruebas específicas de los resultados de mi búsqueda

Todos los resultados de la búsqueda se incluyen en los resultados.

Si desea incluir solo pruebas específicas en el CSV archivo, le recomendamos que edite los filtros de búsqueda actuales. De esta forma, puede restringir los resultados para centrarse únicamente en las pruebas que desee exportar.

No puedo exportar varios CSV archivos a la vez

Este error se debe a que se ejecutan demasiadas consultas de CloudTrail Lake al mismo tiempo.

Esto puede suceder si agrupa los resultados de la búsqueda e intenta exportar inmediatamente un CSV archivo para cada elemento de línea de los resultados agrupados. Al obtener los resultados de la búsqueda y exportar un CSV archivo, cada una de estas acciones invoca una consulta. Solo puede ejecutar hasta cinco consultas a la vez. Si ejecuta el número máximo de consultas simultáneas, se mostrará un error MaxConcurrentQueriesException.

Para evitar este error, asegúrate de no exportar demasiados CSV archivos a la vez.

Para resolver este error, espera a que se completen CSV las exportaciones en curso. La mayoría de las exportaciones tardan unos minutos. Sin embargo, si exporta una gran cantidad de datos, la exportación puede tardar hasta una hora en completarse. No dude en salir del buscador de evidencias mientras la exportación esté en curso.

Puede comprobar el estado de la exportación desde el centro de descargas de la consola Audit Manager. Cuando los archivos exportados estén listos, vuelva a los resultados agrupados en el buscador de evidencias. A continuación, podrá seguir obteniendo los resultados y exportar un CSV archivo para cada elemento de línea.