Risoluzione dei problemi di valutazione e raccolta di prove - AWS Audit Manager
Ho creato una valutazione ma non riesco ancora a visualizzare alcuna provaLa mia valutazione non sta raccogliendo prove di verifica della conformità da AWS Security HubHo disabilitato un controllo di sicurezza in Security Hub. Audit Manager raccoglie le prove dei controlli di conformità per quel controllo di sicurezza?Ho impostato lo stato di un risultato su Suppressed Security Hub. Audit Manager raccoglie prove di verifica della conformità relative a tale risultato?La mia valutazione non sta raccogliendo prove di verifica della conformità da AWS ConfigLa mia valutazione non sta raccogliendo prove dell’attività degli utenti da AWS CloudTrailLa mia valutazione non sta raccogliendo prove dei dati di configurazione per una chiamata AWS APIUn controllo comune non consiste nella raccolta di prove automatizzateLe mie prove vengono generate a intervalli diversi e non sono sicuro della frequenza con cui vengono raccolteHo disabilitato e poi riabilitato Gestione audit e ora le mie valutazioni preesistenti non raccolgono più proveNella pagina dei dettagli della mia valutazione, mi viene richiesto di ricreare la mia valutazioneQual è la differenza tra una fonte di dati e una fonte di prove?La creazione della mia valutazione non è riuscitaCosa succede se rimuovo un account in ambito dalla mia organizzazione?Non riesco a visualizzare i servizi oggetto della mia valutazioneNon riesco a modificare i servizi in ambito per la mia valutazioneQual è la differenza tra un servizio in ambito e un tipo di origine dati?

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione dei problemi di valutazione e raccolta di prove

È possibile utilizzare le informazioni presentate in questa pagina per risolvere i problemi più comuni riguardanti la valutazione e la raccolta di prove in Gestione audit.

Ho creato una valutazione ma non riesco ancora a visualizzare alcuna prova

Se non riesci a visualizzare alcuna prova, è probabile che tu non abbia aspettato almeno 24 ore dopo aver creato la valutazione o che si sia verificato un errore di configurazione.

Ti consigliamo di controllare quanto segue:

  1. Assicurati che siano trascorse 24 ore dalla creazione della valutazione. Le prove automatiche diventano disponibili 24 ore dopo la creazione della valutazione.

  2. Assicurati di utilizzare Audit Manager nello Regione AWS stesso modo in Servizio AWS cui ti aspetti di vedere le prove.

  3. Se ti aspetti di vedere le prove dei controlli di conformità provenienti da AWS Config e AWS Security Hub, assicurati che sia la console Security Hub che la AWS Config console Security Hub mostrino i risultati di questi controlli. I risultati di AWS Config and Security Hub dovrebbero essere visualizzati nello stesso Regione AWS modo in cui si utilizza Audit Manager.

Se non riesci ancora a vedere prove nella tua valutazione e ciò non è dovuto a uno dei problemi indicati, controlla le altre potenziali cause descritte in questa pagina.

La mia valutazione non sta raccogliendo prove di verifica della conformità da AWS Security Hub

Se non vedi le prove della verifica di conformità relative a un AWS Security Hub controllo, ciò potrebbe essere dovuto a uno dei seguenti problemi.

Configurazione mancante in AWS Security Hub

Questo problema può presentarsi se hai saltato alcuni passaggi di configurazione quando hai abilitato AWS Security Hub.

Per risolvere questo problema, assicurati di aver abilitato Security Hub con le impostazioni richieste per Audit Manager. Per istruzioni, consulta Abilita e configura AWS Security Hub.

Un nome di controllo di Security Hub è stato inserito erroneamente nel tuo ControlMappingSource

Quando si utilizza l'Audit Manager API per creare un controllo personalizzato, è possibile specificare un controllo Security Hub come mappatura dell'origine dati per la raccolta delle prove. A tale scopo, devi immette un ID di controllo come keywordValue.

Se non vedi le prove del controllo di conformità relative a un controllo di Security Hub, è possibile che keywordValue sia stato inserito erroneamente nella tua ControlMappingSource. keywordValue prevede la distinzione tra lettere maiuscole e minuscole. Se inserita in modo errato, Gestione audit potrebbe non riconoscere quella regola. Di conseguenza, potresti non raccogliere le prove relative al controllo di conformità per tale controllo come previsto.

Per risolvere il problema, aggiorna il controllo personalizzato e modifica il keywordValue. Il formato corretto di una parola chiave di Security Hub varia. Per una maggiore precisione, consulta l'elenco di. Controlli Security Hub supportati

AuditManagerSecurityHubFindingsReceiverManca EventBridge la regola di Amazon

Quando abiliti Audit Manager, una regola denominata AuditManagerSecurityHubFindingsReceiver viene automaticamente creata e abilitata in Amazon EventBridge. Questa regola consente a Gestione audit di raccogliere gli esiti di Security Hub come prova.

Se questa regola non è elencata e abilitata nel Regione AWS luogo in cui utilizzi Security Hub, Audit Manager non può raccogliere i risultati del Security Hub per quella regione.

Per risolvere il problema, accedi alla EventBridge console e conferma che la AuditManagerSecurityHubFindingsReceiver regola esista nel tuo Account AWS. Se la regola non esiste, ti consigliamo di disabilitare Gestione audit e quindi riattivare il servizio. Se questa azione non risolve il problema o se la disabilitazione di Gestione audit non è un’opzione, contatta AWS Supportper ricevere assistenza.

AWS Config Regole collegate ai servizi create da Security Hub

Tieni presente che Audit Manager non raccoglie prove dalle AWS Config regole collegate ai servizi create da Security Hub. Si tratta di un tipo specifico di AWS Config regola gestita abilitata e controllata dal servizio Security Hub. Security Hub crea istanze di queste regole collegate ai servizi nell' AWS ambiente, anche se esistono già altre istanze delle stesse regole. Di conseguenza, per evitare la duplicazione delle prove, Gestione audit non supporta la raccolta di prove dalle regole collegate ai servizi.

Ho disabilitato un controllo di sicurezza in Security Hub. Audit Manager raccoglie le prove dei controlli di conformità per quel controllo di sicurezza?

Audit Manager non raccoglie prove relative alla disabilitazione dei controlli di sicurezza.

Se si imposta lo stato di un controllo di sicurezza su disabilitato in Security Hub, non viene eseguito alcun controllo di sicurezza per quel controllo nell'account e nella regione correnti. Di conseguenza, non sono disponibili risultati di sicurezza in Security Hub e nessuna prova correlata viene raccolta da Audit Manager.

Rispettando lo stato di disabilitazione impostato in Security Hub, Audit Manager garantisce che la valutazione rifletta accuratamente i controlli di sicurezza attivi e i risultati pertinenti all'ambiente, esclusi i controlli che hai intenzionalmente disabilitato.

Ho impostato lo stato di un risultato su Suppressed Security Hub. Audit Manager raccoglie prove di verifica della conformità relative a tale risultato?

Audit Manager raccoglie prove dei controlli di sicurezza che hanno soppresso i risultati.

Se imposti lo stato del flusso di lavoro di un risultato su soppresso in Security Hub, significa che hai esaminato il risultato e non ritieni necessaria alcuna azione. In Audit Manager, questi risultati soppressi vengono raccolti come prove e allegati alla valutazione. I dettagli delle prove mostrano lo stato della valutazione SUPPRESSED segnalato direttamente da Security Hub.

Questo approccio garantisce che la valutazione dell'Audit Manager rappresenti accuratamente i risultati di Security Hub, fornendo al contempo visibilità su eventuali risultati soppressi che potrebbero richiedere un'ulteriore revisione o considerazione in un audit.

La mia valutazione non sta raccogliendo prove di verifica della conformità da AWS Config

Se non vedi le prove del controllo di conformità relative a una AWS Config regola, ciò potrebbe essere dovuto a uno dei seguenti problemi.

L’identificatore della regola è stato inserito in modo errato nella tua ControlMappingSource

Quando si utilizza l'Audit Manager API per creare un controllo personalizzato, è possibile specificare una AWS Config regola come mappatura dell'origine dati per la raccolta delle prove. Il keywordValue specificato dipende dal tipo di regola.

Se non vedi le prove relative al controllo di conformità relative a una AWS Config regola, è possibile che sia keywordValue stata inserita erroneamente nella tua. ControlMappingSource keywordValue prevede la distinzione tra lettere maiuscole e minuscole. Se inserita in modo errato, Gestione audit potrebbe non riconoscere la regola. Di conseguenza, potresti non raccogliere le prove relative alla controllo di conformità per quella regola come previsto.

Per risolvere il problema, aggiorna il controllo personalizzato e modifica il keywordValue.

  • Per le regole personalizzate, assicurati che keywordValue abbia il prefisso Custom_ seguito dal nome della regola personalizzata. Il formato del nome della regola personalizzata può variare. Per una maggiore precisione, accedi alla console AWS Configper verificare i nomi delle regole personalizzate.

  • Per le regole gestite, assicurati che keywordValue sia l’identificatore della regola inserito in ALL_CAPS_WITH_UNDERSCORES. Ad esempio, CLOUDWATCH_LOG_GROUP_ENCRYPTED. Per una maggiore precisione, consulta l’elenco delle parole chiave supportate per le regole gestite.

    Nota

    Per alcune regole gestite, l’identificatore della regola è diverso dal nome della regola. Ad esempio, l’identificatore della regola per restricted-ssh è INCOMING_SSH_DISABLED. Assicurati di utilizzare l’identificatore della regola, non il nome della regola. Per trovare un identificatore della regola, scegli una regola dall’elenco delle regole gestite e cerca il relativo valore Identificatore.

La regola è una regola collegata al servizio AWS Config

Puoi utilizzare regole gestite e regole personalizzate come mappatura dell’origine dati per la raccolta di prove. Tuttavia, Gestione audit non raccoglie prove dalla maggior parte delle regole collegate ai servizi.

Esistono solo due tipi di regole collegate ai servizi da cui Gestione audit raccoglie prove:

  • Regole collegate ai servizi di Conformance Pack

  • Regole collegate ai servizi di AWS Organizations

Audit Manager non raccoglie prove da altre regole collegate ai servizi, in particolare da regole con un Amazon Resource Name (ARN) che contiene il seguente prefisso: arn:aws:config:*:*:config-rule/aws-service-rule/...

Il motivo per cui Gestione audit non raccoglie prove dalla maggior parte delle regole AWS Config collegate ai servizi è quello di evitare prove duplicate nelle valutazioni. Una regola collegata ai servizi è un tipo specifico di regola gestita che consente ad altri di Servizi AWS creare AWS Config regole nel tuo account. Ad esempio, alcuni controlli Security Hub utilizzano una regola AWS Config collegata al servizio per eseguire i controlli di sicurezza. Per ogni controllo Security Hub che utilizza una AWS Config regola collegata al servizio, Security Hub crea un'istanza della AWS Config regola richiesta AWS nell'ambiente. Ciò accade anche se la regola originale esiste già nel tuo account. Pertanto, per evitare di raccogliere due volte le stesse prove dalla stessa regola, Gestione audit ignora la regola collegata ai servizi e non raccoglie prove da essa.

AWS Config non è abilitato

AWS Config deve essere abilitato nel tuo Account AWS. Dopo la configurazione AWS Config in questo modo, Audit Manager raccoglie le prove ogni volta che viene effettuata la valutazione di una AWS Config regola. Assicurati di aver abilitato AWS Config il tuo Account AWS. Per istruzioni, consulta Abilita e configura AWS Config.

La AWS Config regola ha valutato la configurazione di una risorsa prima di impostare la valutazione

Se la AWS Config regola è impostata per valutare le modifiche alla configurazione per una risorsa specifica, è possibile che si verifichi una mancata corrispondenza tra la valutazione AWS Config e le evidenze in Audit Manager. Ciò accade se la valutazione della regola è avvenuta prima che fosse impostato il controllo nella tua valutazione di Gestione audit. In questo caso, Gestione audit non genera prove finché la risorsa sottostante non cambi nuovamente stato e non attivi una rivalutazione della regola.

Come soluzione alternativa, puoi accedere alla regola nella AWS Config console e rivalutarla manualmente. Ciò richiama una nuova valutazione di tutte le risorse relative a quella regola.

La mia valutazione non sta raccogliendo prove dell’attività degli utenti da AWS CloudTrail

Quando si utilizza l'Audit Manager API per creare un controllo personalizzato, è possibile specificare un nome di CloudTrail evento come mappatura dell'origine dati per la raccolta delle prove. A tale scopo, devi inserire il nome dell’evento come keywordValue.

Se non vedi le prove dell'attività dell'utente relative a un CloudTrail evento, è possibile che sia keywordValue stata inserita erroneamente nel tuo. ControlMappingSource keywordValue prevede la distinzione tra lettere maiuscole e minuscole. Se lo inserisci in modo errato, Gestione audit potrebbe non riconoscere il nome dell’evento. Di conseguenza, potresti non raccogliere le prove dell’attività dell’utente per quell’evento come previsto.

Per risolvere il problema, aggiorna il controllo personalizzato e modifica il keywordValue. Assicurati che l’evento sia scritto come serviceprefix_ActionName. Ad esempio, cloudtrail_StartLogging. Per una maggiore precisione, Servizio AWS rivedi il prefisso e i nomi delle azioni in Service Authorization Reference.

La mia valutazione non sta raccogliendo prove dei dati di configurazione per una chiamata AWS API

Quando si utilizza l'Audit Manager API per creare un controllo personalizzato, è possibile specificare una AWS API chiamata come mappatura dell'origine dati per la raccolta delle prove. A tale scopo, si immette la API chiamata come. keywordValue

Se non vedi la prova dei dati di configurazione di una AWS API chiamata, è possibile che sia keywordValue stata inserita erroneamente nel tuoControlMappingSource. keywordValue prevede la distinzione tra lettere maiuscole e minuscole. Se lo inserisci in modo errato, Audit Manager potrebbe non riconoscere la API chiamata. Di conseguenza, potreste non raccogliere le prove dei dati di configurazione per quella API chiamata come previsto.

Per risolvere il problema, aggiorna il controllo personalizzato e modifica il keywordValue. Assicurati che la API chiamata sia scritta comeserviceprefix_ActionName. Ad esempio, iam_ListGroups. Per una maggiore precisione, consulta l'elenco diAWS Chiamate API supportate da AWS Audit Manager.

Un controllo comune non consiste nella raccolta di prove automatizzate

Quando esamini un controllo comune, potresti visualizzare il seguente messaggio: Questo controllo comune non raccoglie prove automatiche dai controlli principali.

Ciò significa che nessuna fonte di prove AWS gestita può attualmente supportare questo controllo comune. Di conseguenza, la scheda Fonti di evidenza è vuota e non viene visualizzato alcun controllo di base.

Quando un controllo comune non raccoglie prove automatizzate, viene definito controllo comune manuale. I controlli manuali comuni richiedono in genere la fornitura di registrazioni e firme fisiche o dettagli sugli eventi che si verificano al di fuori dell' AWS ambiente. Per questo motivo, spesso non esistono fonti di AWS dati in grado di fornire prove a sostegno dei requisiti del controllo.

Se un controllo comune è manuale, è comunque possibile utilizzarlo come fonte di evidenza per un controllo personalizzato. L'unica differenza è che il controllo comune non raccoglierà automaticamente alcuna prova. Dovrai invece caricare manualmente le tue prove a supporto dei requisiti del controllo comune.

Per aggiungere prove a un controllo comune manuale
  1. Crea un controllo personalizzato

    • Segui i passaggi per creare o modificare un controllo personalizzato.

    • Quando specifichi le fonti di prova nel passaggio 2, scegli il controllo comune manuale come fonte di prova.

  2. Crea un framework personalizzato

    • Segui i passaggi per creare o modificare un framework personalizzato.

    • Quando specifichi un set di controlli nel passaggio 2, includi il nuovo controllo personalizzato.

  3. Crea una valutazione

    • Segui i passaggi per creare una valutazione dal tuo framework personalizzato.

    • A questo punto, il controllo comune manuale è ora una fonte di evidenza in un controllo di valutazione attivo.

  4. Carica prove manuali

Nota

Man mano che in futuro saranno disponibili più fonti di AWS dati, è possibile che il controllo comune AWS venga aggiornato per includere i controlli di base come fonti di evidenza. In questo caso, se il controllo comune è una fonte di prove in uno o più dei controlli di valutazione attivi, trarrai automaticamente vantaggio da questi aggiornamenti. Non sono necessarie ulteriori configurazioni da parte tua e inizierai a raccogliere prove automatizzate a supporto del controllo comune.

Le mie prove vengono generate a intervalli diversi e non sono sicuro della frequenza con cui vengono raccolte

I controlli nelle valutazioni di Gestione audit sono mappati su varie origini dati. Ogni origine dati ha una frequenza di raccolta delle prove diversa. Di conseguenza, non esiste una one-size-fits-all risposta alla frequenza con cui vengono raccolte le prove. Alcune origini dati valutano la conformità, mentre altre acquisiscono solo lo stato delle risorse e modificano i dati senza una determinazione della conformità.

Di seguito è riportato un riepilogo dei diversi tipi di origini dati e della frequenza con cui raccolgono le prove.

Tipo di origine dati Descrizione Frequenza di raccolta delle prove Quando questo controllo è attivo in una valutazione
AWS CloudTrail

Tiene traccia di un’attività specifica dell’utente.

Continuo

Audit Manager filtra CloudTrail i log in base alla parola chiave scelta. I log elaborati vengono importati come prove dell’attività dell’utente.

AWS Security Hub

Acquisisce uno snapshot della posizione di sicurezza delle risorse segnalando gli esiti da Security Hub.

In base alla pianificazione del controllo di Security Hub (in genere ogni 12 ore circa)

Gestione audit recupera gli esiti di sicurezza direttamente da Security Hub. Il risultato viene importato come prova del controllo di conformità.

AWS Config

Acquisisce un'istantanea del vostro stato di sicurezza delle risorse riportando i risultati di. AWS Config

In base alle impostazioni definite nella regola AWS Config Audit Manager recupera la valutazione delle regole direttamente da AWS Config. La valutazione viene importata come prova del controllo di conformità.
AWS APIchiamate

Scatta un'istantanea della configurazione delle risorse direttamente tramite una API chiamata all'indirizzo specificato Servizio AWS.

Giornaliera, settimanale o mensile Audit Manager effettua la API chiamata in base alla frequenza specificata. La risposta viene importata come prova dei dati di configurazione.

Indipendentemente dalla frequenza di raccolta delle prove, le nuove prove vengono raccolte automaticamente finché la valutazione è attiva. Per ulteriori informazioni, consulta Frequenza di raccolta delle prove.

Per ulteriori informazioni, consultare Tipi di fonti di dati supportati per prove automatizzate e Modifica della frequenza con cui un controllo raccoglie le prove.

Ho disabilitato e poi riabilitato Gestione audit e ora le mie valutazioni preesistenti non raccolgono più prove

Quando disabiliti Gestione audit e scegli di non eliminare i tuoi dati, le tue valutazioni esistenti passano a uno stato inattivo e smettono di raccogliere prove. Ciò significa che quando riabiliti Gestione audit, le valutazioni che hai creato in precedenza rimangono disponibili. Tuttavia, non riprendono automaticamente la raccolta delle prove.

Per ricominciare a raccogliere prove per una valutazione preesistente, modifica la valutazione e scegli Salva senza apportare modifiche.

Nella pagina dei dettagli della mia valutazione, mi viene richiesto di ricreare la mia valutazione

Schermata del messaggio pop-up che ti chiede di ricreare la valutazione.

Se viene visualizzato un messaggio che dice Crea nuova valutazione per raccogliere prove più complete, significa che Audit Manager ora fornisce una nuova definizione del framework standard da cui è stata creata la valutazione.

Nella nuova definizione del framework, tutti i controlli standard del framework possono ora raccogliere prove da fonti AWS gestite. Ciò significa che ogni volta che viene effettuato un aggiornamento delle fonti di dati sottostanti per un controllo comune o di base, Audit Manager applica automaticamente lo stesso aggiornamento a tutti i controlli standard correlati.

Per trarre vantaggio da queste fonti AWS gestite, ti consigliamo di creare una nuova valutazione dal framework aggiornato. Dopo aver eseguito questa operazione, puoi modificare lo stato della vecchia valutazione in inattivo. Questa azione aiuta a garantire che la nuova valutazione raccolga le prove più accurate e complete disponibili da fonti AWS gestite. Se non intraprendi alcuna azione, la valutazione continua a utilizzare il vecchio framework e le definizioni di controllo per raccogliere le prove esattamente come faceva prima.

Qual è la differenza tra una fonte di dati e una fonte di prove?

Una fonte di prove determina da dove vengono raccolte le prove. Può trattarsi di una singola fonte di dati o di un raggruppamento predefinito di fonti di dati associato a un controllo principale o a un controllo comune.

Una fonte di dati è il tipo di fonte di evidenza più granulare. Una fonte di dati include i seguenti dettagli che indicano all'Audit Manager da dove raccogliere esattamente i dati relativi alle prove:

La creazione della mia valutazione non è riuscita

Se la creazione della tua valutazione non riesce, potrebbe essere perché hai selezionato troppi Account AWS in ambito di valutazione. Se lo utilizzi AWS Organizations, Audit Manager può supportare fino a 200 account membri nell'ambito di una singola valutazione. Se superi questo numero, la creazione della valutazione potrebbe non riuscire. Come soluzione alternativa, puoi eseguire più valutazioni con account diversi in ambito per ciascuna valutazione.

Cosa succede se rimuovo un account in ambito dalla mia organizzazione?

Quando un account pertinente viene rimosso dall'organizzazione, Gestione audit non raccoglie più prove per quell'account. Tuttavia, l’account continua a comparire nella valutazione sotto la scheda Account AWS. Per rimuovere l’account dall’elenco degli account in ambito, modifica la valutazione. L'account rimosso non viene più visualizzato nell'elenco durante la modifica ed è possibile salvare le modifiche senza includere tale account nell'ambito.

Non riesco a visualizzare i servizi oggetto della mia valutazione

Se non vedi la Servizi AWSscheda, significa che i servizi in questione sono gestiti per te da Audit Manager. Quando crei una nuova valutazione, Audit Manager gestisce i servizi in questione per te da quel momento in poi.

Se hai una valutazione precedente, è possibile che tu abbia già visto questa scheda nella tua valutazione. Tuttavia, Audit Manager rimuove automaticamente questa scheda dalla valutazione e assume la gestione dei servizi inclusi nell'ambito quando si verifica uno dei seguenti eventi:

  • Tu modifichi la tua valutazione

  • Modifichi uno dei controlli personalizzati utilizzati nella valutazione

Audit Manager deduce i servizi interessati esaminando i controlli di valutazione e le relative fonti di dati e quindi mappando queste informazioni con le corrispondenti. Servizi AWS Se una fonte di dati sottostante cambia per la tua valutazione, aggiorniamo automaticamente l'ambito secondo necessità per riflettere i servizi corretti. Ciò garantisce che la valutazione raccolga prove accurate e complete su tutti i servizi pertinenti del vostro AWS ambiente.

Non riesco a modificare i servizi in ambito per la mia valutazione

Il Modifica di una valutazione in AWS Audit Manager flusso di lavoro non ha più una fase di modifica dei servizi. Questo perché Audit Manager ora gestisce Servizi AWS quali rientrano nell'ambito della valutazione.

Se disponi di una valutazione precedente, è possibile che tu abbia definito manualmente i servizi inclusi nell'ambito al momento della creazione di tale valutazione. Tuttavia, non potrai modificare questi servizi in futuro. Audit Manager assume automaticamente la gestione dei servizi oggetto della valutazione quando si verifica uno dei seguenti eventi:

  • Tu modifichi la tua valutazione

  • Modifichi uno dei controlli personalizzati utilizzati nella valutazione

Audit Manager deduce i servizi interessati esaminando i controlli di valutazione e le relative fonti di dati e quindi mappando queste informazioni con le corrispondenti. Servizi AWS Se una fonte di dati sottostante cambia per la tua valutazione, aggiorniamo automaticamente l'ambito secondo necessità per riflettere i servizi corretti. Ciò garantisce che la valutazione raccolga prove accurate e complete su tutti i servizi pertinenti del vostro AWS ambiente.

Qual è la differenza tra un servizio in ambito e un tipo di origine dati?

A service in scope è Servizio AWS un elemento incluso nell'ambito della valutazione. Quando un servizio è in ambito, Gestione audit raccoglie prove sull’utilizzo di quel servizio e delle sue risorse da parte tua.

Nota

Audit Manager gestisce ciò Servizi AWS che rientra nell'ambito delle vostre valutazioni. Se disponi di una valutazione precedente, è possibile che in passato tu abbia specificato manualmente i servizi inclusi nell'ambito. In futuro, non sarà possibile specificare o modificare i servizi inclusi nell'ambito.

Un tipo di origine dati indica da dove vengono raccolte esattamente le prove. Se carichi le tue prove, il tipo di origine dati è Manuale. Se Gestione audit raccoglie le prove, l'origine dati può essere di quattro tipi.

  1. AWS Security Hub — Acquisisce un'istantanea del livello di sicurezza delle risorse riportando i risultati del Security Hub.

  2. AWS Config — Acquisisce un'istantanea della situazione in materia di sicurezza delle risorse riportando i risultati di. AWS Config

  3. AWS CloudTrail — Tiene traccia dell'attività specifica dell'utente per una risorsa.

  4. AWS APIchiamate: scatta un'istantanea della configurazione delle risorse direttamente tramite una API chiamata a una specifica Servizio AWS.

Ecco due esempi per illustrare la differenza tra un servizio in ambito e un tipo di origine dati.

Esempio 1

Supponiamo che tu voglia raccogliere prove per un controllo denominato 4.1.2 - Impedisci l’accesso pubblico in scrittura ai bucket S3. Questo controllo verifica i livelli di accesso delle tue policy relative ai bucket S3. Per questo controllo, Audit Manager utilizza una AWS Config regola specifica (s3- bucket-public-write-prohibited) per cercare una valutazione dei bucket S3. In questo esempio, è vero quanto segue:

Esempio 2

Supponiamo che tu voglia raccogliere prove per un HIPAA controllo denominato 164.308 (a) (5) (ii) (C). Questo controllo richiede una procedura di monitoraggio per rilevare accessi inappropriati. Per questo controllo, Audit Manager utilizza CloudTrail i log per cercare tutti gli eventi di accesso alla AWS Management Console. In questo esempio, è vero quanto segue: