Comprendre AWS Audit Manager les concepts et la terminologie

Évaluation

Vous pouvez utiliser une évaluation d’Audit Manager pour recueillir automatiquement les éléments probants pertinents pour un audit.

Une évaluation est basée sur un framework, qui est un regroupement de contrôles liés à votre audit. Vous pouvez créer une évaluation à partir d’un framework standard ou personnalisé. Les frameworks standard contiennent des ensembles de contrôle prédéfinis qui prennent en charge une norme ou une réglementation de conformité spécifique. En revanche, les frameworks personnalisés contiennent des contrôles que vous pouvez personnaliser et regrouper en fonction de vos exigences d'audit spécifiques. En utilisant un cadre comme point de départ, vous pouvez créer une évaluation qui précise Comptes AWS ce que vous souhaitez inclure dans le périmètre de votre audit.

Lorsque vous créez une évaluation, Audit Manager commence automatiquement à évaluer vos ressources en Comptes AWS fonction des contrôles définis dans le framework. Ensuite, il recueille les éléments probants pertinents et les convertit dans un format convivial pour les auditeurs. Ensuite, il joint les éléments probants aux contrôles de votre évaluation. Au moment d’effectuer un audit, vous (ou un délégué de votre choix) pouvez examiner les éléments probants recueillis, puis les ajouter à un rapport d’évaluation. Ce rapport d’évaluation vous aide à démontrer que vos contrôles fonctionnent comme prévu.

La collecte d’éléments probants est un processus continu et commence lorsque vous créez votre évaluation. Vous pouvez arrêter la collecte d’éléments probants en faisant passer le statut de l’évaluation sur inactive. Vous pouvez également l’arrêter au niveau du contrôle. Pour ce faire, vous pouvez faire passer le statut d’un contrôle spécifique de votre évaluation sur inactif.

Pour obtenir des instructions sur la façon de créer et de gérer des évaluations, veuillez consulter Gestion des évaluations dans AWS Audit Manager.

Rapport d’évaluation

Un rapport d’évaluation est un document finalisé généré à partir d’une évaluation d’Audit Manager. Ces rapports résument les éléments probants pertinents recueillis pour votre audit. Ils renvoient aux dossiers d’éléments probants appropriés. Les dossiers sont nommés et organisés conformément aux contrôles spécifiés dans votre évaluation. Pour chaque évaluation, vous pouvez passer en revue les éléments probants recueillis par Audit Manager et décider lesquels vous souhaitez inclure dans le rapport d’évaluation.

Pour en savoir plus sur les rapports d’évaluation, veuillez consulter Rapports d’évaluation. Pour savoir comment générer un rapport d’évaluation, veuillez consulter Préparation d'un rapport d'évaluation dans AWS Audit Manager.

Destination du rapport d’évaluation

Une destination de rapport d’évaluation est le compartiment S3 par défaut dans lequel Audit Manager enregistre vos rapports d’évaluation. Pour en savoir plus, veuillez consulter la section Configuration de la destination par défaut de votre rapport d'évaluation.

Audit

Un audit est un examen indépendant des actifs, des opérations ou de l’intégrité commerciale de votre organisation. Un audit des technologies de l’information (TI) examine spécifiquement les contrôles au sein des systèmes d’information de votre organisation. L’objectif d’un audit TI est de déterminer si les systèmes d’information fonctionnent efficacement, protègent les actifs et l’intégrité des données. Tous ces éléments sont importants pour répondre aux exigences réglementaires imposées par une norme ou un règlement de conformité.

Responsable de l’audit

Le terme propriétaire de l’audit a deux significations différentes selon le contexte.

Dans le contexte d’Audit Manager, le propriétaire d’un audit est un utilisateur ou un rôle gérant une évaluation et les ressources qui lui sont associées. Les responsabilités de ce persona au sein d’Audit Manager comprennent la création d’évaluations, l’examen des éléments probants et la génération de rapports d’évaluation. Audit Manager est un service collaboratif, et les propriétaires de l’audit bénéficient de la participation d’autres parties prenantes à leurs évaluations. Par exemple, vous pouvez ajouter d’autres propriétaires d’audit à votre évaluation pour partager les tâches de gestion. Ou bien, si vous êtes propriétaire d’un audit et que vous avez besoin d’aide pour interpréter les éléments probants recueillis pour un contrôle, vous pouvez déléguer cet ensemble de contrôles à une partie prenante spécialisée dans ce domaine. Une telle personne est connue sous le nom de personne déléguée.

En termes commerciaux, le propriétaire d’un audit est une personne qui coordonne et supervise les efforts de préparation à l’audit de son entreprise et présente les éléments probants à un auditeur. Il s’agit généralement d’un professionnel de la gouvernance, gestion des risques et conformité (GRC), tel qu’un responsable de la conformité ou un responsable de la protection des données du RGPD. Les professionnels de la GRC ont l’expertise et l’autorité nécessaires pour gérer la préparation des audits. Plus précisément, ils comprennent les exigences de conformité et peuvent analyser, interpréter et préparer les données de rapport. Cependant, d’autres rôles commerciaux peuvent également assumer la persona de propriétaire d’audit dans Audit Manager. Les professionnels de la GRC ne sont pas les seuls à remplir ce rôle. Par exemple, vous pouvez choisir de faire configurer et gérer vos évaluations dans Audit Manager par un expert technique issu de l’une des équipes suivantes :

SecOps
INFORMATIQUE/ DevOps
Centre des opérations de sécurité/réponse aux incidents
Des équipes similaires qui possèdent, développent, corrigent et déploient des actifs dans le cloud et qui comprennent l’infrastructure cloud de votre organisation

La personne que vous choisissez de désigner en tant que propriétaire de l’audit dans le cadre de votre évaluation Audit Manager dépend en grande partie de votre organisation. Cela dépend également de la manière dont vous structurez vos opérations de sécurité et des spécificités de l’audit. Dans Audit Manager, la même personne peut assumer le rôle du propriétaire de l’audit dans une évaluation et celui de délégué dans une autre.

Quelle que soit la manière dont vous choisissez d’utiliser Audit Manager, vous pouvez gérer la séparation des tâches au sein de votre organisation en utilisant la persona de propriétaire ou délégué de l’audit et en accordant des politiques IAM spécifiques à chaque utilisateur. Grâce à cette approche en deux étapes, Audit Manager vous garantit un contrôle total sur tous les détails d’une évaluation individuelle. Pour plus d’informations, consultez Politiques recommandées pour les personas utilisateurs dans AWS Audit Manager.

AWS source gérée

Une source AWS gérée est une source de preuves qui AWS est conservée pour vous.

Chaque source AWS gérée est un groupe prédéfini de sources de données qui correspond à un contrôle commun ou à un contrôle central spécifique. Lorsque vous utilisez un contrôle commun comme source de preuves, vous collectez automatiquement des preuves pour tous les contrôles de base qui soutiennent ce contrôle commun. Vous pouvez également utiliser les contrôles de base individuels comme source de preuves.

Chaque fois qu'une source AWS gérée est mise à jour, les mêmes mises à jour sont automatiquement appliquées à tous les contrôles personnalisés qui utilisent cette source AWS gérée. Cela signifie que vos contrôles personnalisés collectent des preuves par rapport aux dernières définitions de cette source de preuves. Cela vous permet de garantir une conformité continue à mesure que l'environnement de conformité du cloud évolue.

Voir également :customer managed source,evidence source.

Journal des modifications

Pour chaque contrôle d'une évaluation, Audit Manager suit l'activité des utilisateurs pour ce contrôle. Vous pouvez ensuite consulter une piste d’audit des activités liées à un contrôle spécifique. Pour plus d'informations sur les activités des utilisateurs enregistrées dans le journal des modifications, consultez. Onglet Journal des modifications

Conformité dans le cloud

La conformité dans le cloud est le principe général selon lequel les systèmes fournis dans le cloud doivent être conformes aux normes auxquelles sont confrontés les clients de celui-ci.

Contrôle commun

veuillez consulter control.

Règlement de conformité

Un règlement de conformité est une loi, une règle ou un autre ordre prescrit par une autorité, généralement pour réglementer un comportement. Un exemple est le RGPD.

Norme de conformité

Une norme de conformité est un ensemble structuré de directives qui détaillent les processus d’une organisation dans le but de maintenir la conformité aux réglementations, spécifications ou lois établies. Des exemples incluent les normes PCI DSS et HIPAA.

Contrôle

Un contrôle est une sauvegarde ou une contre-mesure prescrite pour un système d’information ou une organisation. Les contrôles sont conçus pour protéger la confidentialité, l'intégrité et la disponibilité de vos informations, et pour répondre à un ensemble d'exigences définies. Ils garantissent que vos ressources fonctionnent comme prévu, que vos données sont fiables et que votre organisation respecte les lois et réglementations applicables.

Dans Audit Manager, un contrôle peut également représenter une question dans un questionnaire d’évaluation des risques liés aux fournisseurs. Dans ce cas, un contrôle est une question spécifique demandant des informations sur le niveau de sécurité et de conformité d’une organisation.

Les contrôles recueillent en permanence des éléments probants lorsqu’ils sont actifs dans vos évaluations d’Audit Manager. Vous pouvez également ajouter manuellement des éléments probants aux contrôles. Chaque élément de preuve est un dossier qui vous aide à démontrer la conformité aux exigences du contrôle.

Audit Manager fournit les types de contrôles suivants :

Type de commande	Description
Contrôle commun	Vous pouvez considérer un contrôle commun comme une action qui vous aide à atteindre un objectif de contrôle. Dans la mesure où les contrôles courants ne sont spécifiques à aucune norme de conformité, ils vous aident à collecter des preuves pouvant étayer une série d'obligations de conformité qui se chevauchent. Imaginons, par exemple, un objectif de contrôle appelé Classification et gestion des données. Pour atteindre cet objectif, vous pouvez mettre en œuvre un contrôle commun appelé contrôles d'accès pour surveiller et détecter les accès non autorisés à vos ressources. Les contrôles communs automatisés collectent des preuves pour vous. Ils consistent en un regroupement d'un ou de plusieurs contrôles de base connexes. À son tour, chacun de ces contrôles de base collecte automatiquement des preuves pertinentes à partir d'un groupe prédéfini de sources de AWS données. AWS gère ces sources de données sous-jacentes pour vous et les met à jour chaque fois que les réglementations et les normes changent et que de nouvelles sources de données sont identifiées. Les contrôles manuels courants nécessitent que vous téléchargiez vos propres preuves. Cela s'explique par le fait qu'ils nécessitent généralement la fourniture d'enregistrements physiques ou de détails sur des événements qui se produisent en dehors de votre AWS environnement. Pour cette raison, il n'existe souvent aucune source de AWS données pouvant fournir des preuves à l'appui des exigences du contrôle commun manuel. Vous ne pouvez pas modifier un contrôle commun. Toutefois, vous pouvez utiliser n'importe quel contrôle commun comme source de preuves lorsque vous créez un contrôle personnalisé.
Contrôle de base	Il s'agit d'une directive prescriptive pour votre AWS environnement. Vous pouvez considérer un contrôle de base comme une action qui vous aide à répondre aux exigences d'un contrôle commun. Supposons, par exemple, que vous utilisiez un contrôle courant appelé contrôles d'accès pour surveiller les accès non autorisés à vos ressources. Pour prendre en charge ce contrôle commun, vous pouvez utiliser le contrôle de base appelé Bloquer l'accès public en lecture dans les compartiments S3. Comme les contrôles de base ne sont spécifiques à aucune norme de conformité, ils collectent des preuves qui peuvent étayer une série d'obligations de conformité qui se chevauchent. Chaque contrôle de base utilise une ou plusieurs sources de données pour collecter des preuves concernant un élément spécifique Service AWS. AWS gère ces sources de données sous-jacentes pour vous et les met à jour chaque fois que les réglementations et les normes changent et que de nouvelles sources de données sont identifiées. Vous ne pouvez pas modifier un contrôle principal. Cependant, vous pouvez utiliser n'importe quel contrôle de base comme source de preuves lorsque vous créez un contrôle personnalisé.
Contrôle standard	Il s'agit d'un contrôle prédéfini fourni par Audit Manager. Vous pouvez utiliser les contrôles standard pour vous aider à préparer un audit pour une norme de conformité spécifique. Chaque contrôle standard est lié à une norme spécifique framework dans Audit Manager et collecte des preuves que vous pouvez utiliser pour démontrer la conformité à ce cadre. Les contrôles standard collectent des preuves à partir de sources de données sous-jacentes qui AWS gèrent. Ces sources de données sont automatiquement mises à jour chaque fois que les réglementations et les normes changent et que de nouvelles sources de données sont identifiées. Vous ne pouvez pas modifier les commandes standard. Cependant, vous pouvez créer une copie modifiable de n'importe quel contrôle standard.
Contrôle personnalisé	Il s'agit d'un contrôle que vous créez dans Audit Manager pour répondre à vos exigences de conformité spécifiques. Vous pouvez créer un contrôle personnalisé à partir de zéro ou créer une copie modifiable d'un contrôle standard existant. Lorsque vous créez un contrôle personnalisé, vous pouvez définir des paramètres spécifiques evidence source qui déterminent d'où Audit Manager collecte les preuves. Après avoir créé un contrôle personnalisé, vous pouvez le modifier ou l'ajouter à un cadre personnalisé. Vous pouvez également créer une copie modifiable de tout contrôle personnalisé.

Domaine de contrôle

Vous pouvez considérer un domaine de contrôle comme une catégorie de contrôles qui n'est spécifique à aucune norme de conformité. La protection des données est un exemple de domaine de contrôle.

Les contrôles sont souvent regroupés par domaine pour des raisons d'organisation simples. Chaque domaine a de multiples objectifs.

Les groupements de domaines de contrôle sont l’une des fonctionnalités les plus puissantes du tableau de bord d’Audit Manager. Audit Manager met en évidence les contrôles de vos évaluations qui contiennent des éléments probants non conformes et les regroupe par domaine de contrôle. Cela vous permet de concentrer vos efforts de remédiation sur des domaines spécifiques lorsque vous vous préparez à un audit.

Objectif de contrôle

Un objectif de contrôle décrit l'objectif des contrôles communs qui se situent en dessous de celui-ci. Chaque objectif peut avoir plusieurs contrôles communs. Si ces contrôles communs sont mis en œuvre avec succès, ils vous aideront à atteindre l'objectif.

Chaque objectif de contrôle relève d'un domaine de contrôle. Par exemple, le domaine de contrôle de la protection des données peut avoir un objectif de contrôle nommé Classification et traitement des données. Pour atteindre cet objectif de contrôle, vous pouvez utiliser un contrôle commun appelé contrôles d'accès pour surveiller et détecter les accès non autorisés à vos ressources.

Contrôle de base

veuillez consulter control.

Contrôle personnalisé

veuillez consulter control.

Source gérée par le client

Une source gérée par le client est une source de preuves que vous définissez.

Lorsque vous créez un contrôle personnalisé dans Audit Manager, vous pouvez utiliser cette option pour créer vos propres sources de données individuelles. Cela vous donne la flexibilité de collecter des preuves automatisées à partir d'une ressource spécifique à l'entreprise, telle qu'une règle personnalisée AWS Config . Vous pouvez également utiliser cette option si vous souhaitez ajouter des preuves manuelles à votre contrôle personnalisé.

Lorsque vous utilisez des sources gérées par le client, vous êtes responsable de la maintenance de toutes les sources de données que vous créez.

Voir également :AWS managed source,evidence source.

Source de données

Audit Manager utilise des sources de données pour collecter des preuves en vue d'un contrôle. Une source de données possède les propriétés suivantes :

Un type de source de données définit le type de source de données à partir duquel Audit Manager collecte des preuves.
- Pour les preuves automatisées, le type peut être AWS Security Hub, AWS Config AWS CloudTrail, ou des appels AWS d'API.
- Si vous téléchargez vos propres preuves, le type est Manuel.
- L'API Audit Manager désigne un type de source de données sous le nom de SourceType.
Un mappage de source de données est un mot clé qui indique d'où proviennent les preuves pour un type de source de données donné.
- Par exemple, il peut s'agir du nom d'un CloudTrail événement ou du nom d'une AWS Config règle.
- L'API Audit Manager fait référence au mappage d'une source de données sous le nom de SourceKeyword.
Le nom d'une source de données indique le couplage entre un type de source de données et le mappage.
- Pour les contrôles standard, Audit Manager fournit un nom par défaut.
- Pour les contrôles personnalisés, vous pouvez fournir votre propre nom.
- L’API Audit Manager fait référence au nom d’une source de données sous le nom de sourceName.

Un seul contrôle peut avoir plusieurs types de sources de données et plusieurs mappages. Par exemple, un contrôle peut collecter des preuves à partir d'une combinaison de types de sources de données (tels que AWS Config Security Hub). Un autre contrôle peut avoir AWS Config comme seul type de source de données, avec plusieurs AWS Config règles sous forme de mappages.

Le tableau suivant répertorie les types de sources de données automatisées et présente des exemples de mappages correspondants.

Type de source de données	Description	Exemple de mappage
AWS Security Hub	Utilisez ce type de source de données pour obtenir un instantané de votre niveau de sécurité des ressources. Audit Manager utilise le nom d’un contrôle Security Hub comme mot-clé de mappage et communique le résultat de ce contrôle de sécurité directement depuis Security Hub.	`EC2.1`
AWS Config	Utilisez ce type de source de données pour obtenir un instantané de votre niveau de sécurité des ressources. Audit Manager utilise le nom d'une AWS Config règle comme mot-clé de mappage et rapporte le résultat de cette vérification de règle directement à partir de AWS Config.	`SNS_ENCRYPTED_KMS`
AWS CloudTrail	Utilisez ce type de source de données pour suivre une activité utilisateur spécifique nécessaire à votre audit. Audit Manager utilise le nom d'un CloudTrail événement comme mot-clé de mappage et collecte l'activité utilisateur associée à partir de vos CloudTrail journaux.	`CreateAccessKey`
AWS Appels d'API	Utilisez ce type de source de données pour prendre un instantané de la configuration de vos ressources par le biais d'un appel d'API à une source spécifique Service AWS. Audit Manager utilise le nom de l’appel d’API comme mot-clé de mappage et recueille la réponse de l’API.	`kms_ListKeys`

Délégué

Un délégué est un AWS Audit Manager utilisateur dont les autorisations sont limitées. Les délégués possèdent généralement une expertise commerciale ou technique spécialisée. Par exemple, cette expertise peut porter sur les politiques de conservation des données, les plans de formation, l’infrastructure réseau ou la gestion des identités. Les délégués aident les propriétaires de l’audit à examiner les éléments probants recueillis pour les contrôles relevant de leur domaine d’expertise. Les délégués peuvent examiner les ensembles de contrôles et les éléments probants associés, ajouter des commentaires, charger des éléments probants supplémentaires et mettre à jour le statut de chacun des contrôles que vous leur attribuez à des fins de révision.

Les propriétaires de l’audit attribuent des ensembles de contrôles spécifiques aux délégués, et non des évaluations complètes. Par conséquent, les délégués ont un accès limité aux évaluations. Pour obtenir des instructions sur la façon de déléguer un ensemble de contrôles, consultez Délégations en AWS Audit Manager.

Éléments probants

Un élément probant est un enregistrement qui contient les informations nécessaires pour démontrer la conformité aux exigences d’un contrôle. Des exemples d’éléments probants comprennent une activité de modification invoquée par un utilisateur et un instantané de la configuration du système.

Il existe deux principaux types d’éléments probants dans Audit Manager : les éléments probants automatisés et les éléments probants manuels.

Type de preuve	Description
Preuves automatisées	Il s'agit des preuves que l'Audit Manager collecte automatiquement. Ils comprennent les trois catégories d’éléments probants automatisés suivants : Contrôle de conformité : le résultat d'un contrôle de conformité est capturé à partir de AWS Security Hub AWS Config, ou des deux. Parmi les exemples de contrôles de conformité, citons le résultat d'un contrôle de sécurité effectué par Security Hub pour un contrôle PCI DSS et une évaluation des AWS Config règles pour un contrôle HIPAA. Pour plus d’informations, consultez AWS Config Rules soutenu par AWS Audit Manager et AWS Security Hub commandes prises en charge par AWS Audit Manager. Activité utilisateur — L'activité utilisateur qui modifie la configuration d'une ressource est capturée à partir des CloudTrail journaux au fur et à mesure que cette activité se produit. Des exemples d’activités des utilisateurs comprennent une mise à jour de la table de routage, une modification des paramètres de sauvegarde d’une instance Amazon RDS et une modification de la politique de chiffrement des compartiments S3. Pour plus d’informations, consultez AWS CloudTrail noms d'événements pris en charge par AWS Audit Manager. Données de configuration : un instantané de la configuration des ressources est capturé directement à partir d’un Service AWS sur une base quotidienne, hebdomadaire ou mensuelle. Des exemples d’instantanés de configuration comprennent une liste de routes pour une table de routage VPC, un paramètre de sauvegarde d’instance Amazon RDS et une politique de chiffrement des compartiments S3. Pour plus d’informations, consultez AWS Appels d'API pris en charge par AWS Audit Manager.
Preuve manuelle	Il s'agit de la preuve que vous ajoutez vous-même à Audit Manager. Vous pouvez ajouter vos propres éléments probants de trois manières : Importer un fichier à partir d’Amazon S3 Charger un fichier à partir de votre navigateur Saisir une réponse textuelle à une question d’évaluation des risques Pour plus d’informations, consultez Ajouter des preuves manuelles dans AWS Audit Manager.

Type de preuve

Description

Preuves automatisées

Il s'agit des preuves que l'Audit Manager collecte automatiquement. Ils comprennent les trois catégories d’éléments probants automatisés suivants :

Contrôle de conformité : le résultat d'un contrôle de conformité est capturé à partir de AWS Security Hub AWS Config, ou des deux.

Parmi les exemples de contrôles de conformité, citons le résultat d'un contrôle de sécurité effectué par Security Hub pour un contrôle PCI DSS et une évaluation des AWS Config règles pour un contrôle HIPAA.

Pour plus d’informations, consultez AWS Config Rules soutenu par AWS Audit Manager et AWS Security Hub commandes prises en charge par AWS Audit Manager.
Activité utilisateur — L'activité utilisateur qui modifie la configuration d'une ressource est capturée à partir des CloudTrail journaux au fur et à mesure que cette activité se produit.

Des exemples d’activités des utilisateurs comprennent une mise à jour de la table de routage, une modification des paramètres de sauvegarde d’une instance Amazon RDS et une modification de la politique de chiffrement des compartiments S3.

Pour plus d’informations, consultez AWS CloudTrail noms d'événements pris en charge par AWS Audit Manager.
Données de configuration : un instantané de la configuration des ressources est capturé directement à partir d’un Service AWS sur une base quotidienne, hebdomadaire ou mensuelle.

Des exemples d’instantanés de configuration comprennent une liste de routes pour une table de routage VPC, un paramètre de sauvegarde d’instance Amazon RDS et une politique de chiffrement des compartiments S3.

Pour plus d’informations, consultez AWS Appels d'API pris en charge par AWS Audit Manager.

Preuve manuelle

Il s'agit de la preuve que vous ajoutez vous-même à Audit Manager. Vous pouvez ajouter vos propres éléments probants de trois manières :

Importer un fichier à partir d’Amazon S3
Charger un fichier à partir de votre navigateur
Saisir une réponse textuelle à une question d’évaluation des risques

Pour plus d’informations, consultez Ajouter des preuves manuelles dans AWS Audit Manager.

La collecte automatisée d’éléments probants débute lorsque vous créez une évaluation. Il s’agit d’un processus continu, et Audit Manager recueille des éléments probants à différentes fréquences en fonction du type d’éléments probants et de la source de données sous-jacente. Pour plus d’informations, consultez Comprendre le mode de AWS Audit Manager collecte des preuves.

Pour obtenir des instructions sur la façon d’examiner les éléments probants dans une évaluation, veuillez consulter Examen des preuves dans AWS Audit Manager.

Source de preuves

Une source de preuves définit l'endroit d'où un contrôle collecte des preuves. Il peut s'agir d'une source de données individuelle ou d'un groupe prédéfini de sources de données mappé à un contrôle commun ou à un contrôle central.

Lorsque vous créez un contrôle personnalisé, vous pouvez collecter des preuves auprès de sources AWS gérées, de sources gérées par le client, ou des deux.

Astuce

Nous vous recommandons d'utiliser des sources AWS gérées. Chaque fois qu'une source AWS gérée est mise à jour, les mêmes mises à jour sont automatiquement appliquées à tous les contrôles personnalisés qui utilisent ces sources. Cela signifie que vos contrôles personnalisés collectent toujours des preuves par rapport aux dernières définitions de cette source de preuves. Cela vous permet de garantir une conformité continue à mesure que l'environnement de conformité du cloud évolue.

Voir également :AWS managed source,customer managed source.

Méthode de collecte d’éléments probants

Un contrôle peut recueillir des éléments probants de deux manières.

Méthode de collecte d’éléments probants	Description
Automatisé	Les contrôles automatisés collectent automatiquement des preuves à partir de sources de AWS données. Ces éléments probants automatisés peuvent vous aider à démontrer la conformité totale ou partielle envers le contrôle.
Manuel	Les contrôles manuels nécessitent que vous téléchargiez vos propres preuves pour démontrer la conformité au contrôle.

Note

Vous pouvez joindre des éléments probants manuels à tout contrôle automatisé. Dans de nombreux cas, il est nécessaire d’avoir une combinaison d’éléments probants automatisés et manuels pour démontrer la conformité totale envers un contrôle. Bien qu’Audit Manager puisse fournir des éléments probants automatisés utiles et pertinents, certains éléments probants automatisés peuvent ne démontrer qu’une conformité partielle. Dans ce cas, vous pouvez compléter les éléments probants automatisés fournies par Audit Manager avec vos propres éléments probants.

Par exemple :

AWS cadre des meilleures pratiques d'IA générative v2Il contient un contrôle appeléError analysis. Ce contrôle vous oblige à identifier les cas de détection d’inexactitudes dans l’utilisation de votre modèle. Cela vous oblige également à effectuer une analyse approfondie des erreurs afin d’en comprendre les causes profondes et d’entreprendre des mesures correctives.
Pour soutenir ce contrôle, Audit Manager collecte des preuves automatisées qui indiquent si les CloudWatch alarmes sont activées pour l' Compte AWS endroit où votre évaluation est en cours d'exécution. Vous pouvez utiliser ces éléments probants pour démontrer une conformité partielle avec le contrôle en prouvant que vos alarmes et contrôles sont configurés correctement.
Pour démontrer une conformité totale, vous pouvez compléter les éléments probants automatisés avec des éléments probants manuels. Par exemple, vous pouvez charger une politique ou une procédure qui indique votre processus d’analyse des erreurs, vos seuils pour les escalades et les rapports, ainsi que les résultats de votre analyse des causes profondes. Vous pouvez utiliser ces éléments probants manuels pour démontrer que les politiques établies sont en place et que des mesures correctives ont été prises lorsque cela vous a été demandé.

Pour un exemple plus détaillé, veuillez consulter la section Contrôles avec sources de données mixtes.

Destination d’exportation

Une destination d’exportation est le compartiment S3 par défaut dans lequel Audit Manager enregistre les fichiers que vous exportez depuis la recherche d’éléments probants. Pour plus d’informations, consultez Configuration de votre destination d'exportation par défaut pour Evidence Finder.

Framework

Un cadre d'Audit Manager structure et automatise les évaluations pour une norme spécifique ou un principe de gouvernance des risques. Ces frameworks incluent un ensemble de contrôles prédéfinis ou définis par le client, et ils vous aident à adapter vos AWS ressources aux exigences de ces contrôles.

Il existe deux types de framework dans Audit Manager.

Type de cadre	Description
Cadre standard	Il s'agit d'un cadre prédéfini basé sur les AWS meilleures pratiques relatives à diverses normes et réglementations de conformité. Vous pouvez utiliser des cadres standard pour vous aider à préparer les audits pour une norme ou une réglementation de conformité spécifique, telle que la norme PCI DSS ou la loi HIPAA.
Framework personnalisé	Il s'agit d'un framework personnalisé que vous définissez en tant qu'utilisateur d'Audit Manager. Vous pouvez utiliser des cadres personnalisés pour vous aider à préparer l'audit en fonction de vos exigences spécifiques en matière de GRC.

Type de cadre

Description

Cadre standard

Il s'agit d'un cadre prédéfini basé sur les AWS meilleures pratiques relatives à diverses normes et réglementations de conformité.

Vous pouvez utiliser des cadres standard pour vous aider à préparer les audits pour une norme ou une réglementation de conformité spécifique, telle que la norme PCI DSS ou la loi HIPAA.

Framework personnalisé

Il s'agit d'un framework personnalisé que vous définissez en tant qu'utilisateur d'Audit Manager.

Vous pouvez utiliser des cadres personnalisés pour vous aider à préparer l'audit en fonction de vos exigences spécifiques en matière de GRC.

Pour voir les instructions de création et de gestion des frameworks, veuillez consulter Utilisation de la bibliothèque de frameworks pour gérer les frameworks dans AWS Audit Manager.

Note

AWS Audit Manager aide à recueillir des preuves pertinentes pour vérifier la conformité aux normes et réglementations de conformité spécifiques. Cependant, il n’évalue pas votre conformité lui-même. Les preuves collectées par ce biais peuvent AWS Audit Manager donc ne pas inclure toutes les informations relatives à votre AWS utilisation nécessaires aux audits. AWS Audit Manager ne remplace pas un conseiller juridique ou un expert en conformité.

Partage de frameworks

Vous pouvez utiliser Partage d'un framework personnalisé dans AWS Audit Manager cette fonctionnalité pour partager rapidement vos frameworks personnalisés entre Comptes AWS les régions. Pour partager un framework personnalisé, vous devez créer une demande de partage. Le destinataire dispose alors de 120 jours pour accepter ou refuser la demande. Lorsqu’il accepte la demande de partage, Audit Manager reproduit le framework personnalisé partagé dans sa bibliothèque de frameworks. Outre la réplication du framework personnalisé, Audit Manager reproduit également tous les ensembles de contrôles personnalisés et les contrôles personnalisés contenus dans ce framework. Ces contrôles personnalisés sont ajoutés à la bibliothèque de contrôles du destinataire. Audit Manager ne réplique pas les frameworks ou les contrôles standard. Cela est dû au fait que ces ressources sont déjà disponibles par défaut dans chaque compte et région.

Ressource

Une ressource est un actif physique ou informationnel évalué dans le cadre d’un audit. Les exemples de AWS ressources incluent les instances Amazon EC2, les instances Amazon RDS, les compartiments Amazon S3 et les sous-réseaux Amazon VPC.

Évaluation des ressources

L’évaluation des ressources est le processus d’évaluation d’une ressource individuelle. Cette évaluation est basée sur l’exigence d’un contrôle. Lorsqu’une évaluation est active, Audit Manager effectue des évaluations des ressources pour chaque ressource individuelle comprise dans le cadre de l’évaluation. Une évaluation des ressources exécute les tâches suivantes :

Recueille des éléments probants, notamment les configurations des ressources, les journaux d’événements et les résultats
Traduit et mappe les éléments probants sur les contrôles
Stocke et suit la lignée des éléments probants pour garantir l’intégrité

Conformité des ressources

La conformité des ressources fait référence au statut d’évaluation d’une ressource qui a été évaluée lors de la collecte d’éléments probants pour la vérification de conformité.

Audit Manager collecte des preuves de conformité pour les contrôles qui utilisent AWS Config Security Hub comme type de source de données. Plusieurs ressources peuvent être évaluées au cours de cette collecte d’éléments probants. Par conséquent, un même élément probant pour la vérification de conformité peut comprendre une ou plusieurs ressources.

Vous pouvez utiliser le filtre de conformité des ressources dans la recherche d’éléments probants pour explorer l’état de conformité au niveau des ressources. Une fois votre requête de recherche terminée, vous pouvez prévisualiser les ressources qui lui correspondent.

Dans la recherche d’éléments probants, il existe trois valeurs possibles pour la conformité des ressources :

Valeur	Description
Non conforme	Cela fait référence aux ressources présentant des problèmes de contrôle de conformité. Cela se produit si Security Hub signale un résultat d'échec pour la ressource ou s'il AWS Config signale un résultat non conforme.
Conforme	Cela fait référence aux ressources qui ne présentent aucun problème de contrôle de conformité. Cela se produit si Security Hub indique un résultat de réussite pour la ressource, ou s'il AWS Config indique un résultat conforme.
Peu concluant	Cela fait référence aux ressources pour lesquelles aucun contrôle de conformité n'est disponible ou applicable. Cela se produit si AWS Config Security Hub est le type de source de données sous-jacent, mais que ces services ne sont pas activés. Cela se produit également si le type de source de données sous-jacent ne prend pas en charge les contrôles de conformité (tels que les preuves manuelles, les appels d' AWS API ou CloudTrail).

Valeur

Description

Non conforme

Cela fait référence aux ressources présentant des problèmes de contrôle de conformité.

Cela se produit si Security Hub signale un résultat d'échec pour la ressource ou s'il AWS Config signale un résultat non conforme.

Conforme

Cela fait référence aux ressources qui ne présentent aucun problème de contrôle de conformité.

Cela se produit si Security Hub indique un résultat de réussite pour la ressource, ou s'il AWS Config indique un résultat conforme.

Peu concluant

Cela fait référence aux ressources pour lesquelles aucun contrôle de conformité n'est disponible ou applicable.

Cela se produit si AWS Config Security Hub est le type de source de données sous-jacent, mais que ces services ne sont pas activés.

Cela se produit également si le type de source de données sous-jacent ne prend pas en charge les contrôles de conformité (tels que les preuves manuelles, les appels d' AWS API ou CloudTrail).

Service inclus

Audit Manager gère Services AWS les domaines concernés par vos évaluations. Si vous avez une évaluation plus ancienne, il est possible que vous ayez spécifié manuellement les services concernés par le passé. Après le 4 juin 2024, vous ne pourrez plus spécifier ou modifier manuellement les services concernés.

Un service inclus dans le champ d'application est un service pour Service AWS lequel votre évaluation recueille des preuves. Lorsqu'un service est inclus dans le périmètre de votre évaluation, Audit Manager évalue les ressources de ce service. Quelques exemples de ressources possibles :

Instance Amazon EC2
Compartiment S3
Un utilisateur ou un rôle IAM
Table DynamoDB
Composant réseau tel qu’un cloud privé virtuel (VPC) d’Amazon, un groupe de sécurité ou une table de liste de contrôle d’accès (ACL) au réseau

Par exemple, si Amazon S3 est un service concerné, Audit Manager peut collecter des preuves concernant vos compartiments S3. Les preuves exactes collectées sont déterminées par celles d'un contrôledata source. Par exemple, si le type de source de données est AWS Config et que le mappage des sources de données est une AWS Config règle (telle ques3-bucket-public-write-prohibited), Audit Manager collecte le résultat de cette évaluation des règles à titre de preuve.

Note

N'oubliez pas qu'un service concerné est différent d'un type de source de données, qui peut également être un Service AWS ou autre. Pour plus d'informations, consultez Quelle est la différence entre un service concerné et un type de source de données ? la section Dépannage de ce guide.

Contrôle standard

veuillez consulter control.