Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Evidence finder
Evidence finder offre un modo efficace per cercare prove in Gestione audit. Invece di sfogliare cartelle di prove racchiuse in profondità, per trovare ciò che stai cercando ora puoi utilizzare evidence finder per interrogare rapidamente le prove. Se utilizzi evidence finder come amministratore delegato, puoi cercare prove in tutti gli account dei membri della tua organizzazione.
Utilizzando una combinazione di filtri e raggruppamenti, è possibile restringere progressivamente l'ambito della query di ricerca. Ad esempio, se desideri una visione di alto livello dello stato del sistema, esegui una ricerca ampia e filtra per valutazione, intervallo di date e conformità delle risorse. Se il tuo obiettivo è correggere una risorsa specifica, puoi eseguire una ricerca ristretta per individuare le prove relative a un controllo o a un ID di risorsa specifico. Dopo aver definito i filtri, puoi raggruppare e visualizzare in anteprima i risultati di ricerca corrispondenti prima di creare un rapporto di valutazione.
Per utilizzare evidence finder, è necessario abilitare questa funzionalità dalle impostazioni di Gestione audit.
Punti chiave
Capire come funziona Evidence Finder con Lake CloudTrail
Evidence finder utilizza la funzionalità di interrogazione e archiviazione di Data Lake AWS CloudTrail. Prima di iniziare a utilizzare Evidence Finder, è utile capire qualcosa in più su come funziona CloudTrail Lake.
CloudTrail Lake aggrega i dati in un unico archivio di dati sugli eventi ricercabile che supporta query potenti. SQL Ciò significa che puoi cercare dati all'interno dell'organizzazione e all'interno di intervalli di tempo personalizzati. Con evidence finder, puoi utilizzare questa funzionalità di ricerca direttamente nella console Gestione audit.
Quando richiedi di abilitare evidence finder, Gestione audit crea un archivio di dati degli eventi per tuo conto. Una volta abilitato evidence finder, tutte le prove future di Gestione audit vengono inserite nell’archivio di dati degli eventi, dove sono disponibili per le query di ricerca dell’evidence finder. Dopo aver abilitato evidence finder, riempiamo anche il nuovo archivio di dati degli eventi con i dati relativi alle prove degli ultimi due anni. Se abiliti evidence finder come amministratore delegato, eseguiamo il riempimento dei dati per tutti gli account dei membri della tua organizzazione.
Tutti i dati relativi alle prove, nuovi o ripristinati, vengono conservati nell'archivio dati degli eventi per 2 anni. È possibile modificare il periodo di conservazione predefinito in qualsiasi momento. Per istruzioni, consulta Aggiornamento di un archivio di dati degli eventi nella Guida per l'utente AWS CloudTrail . Puoi conservare i dati dell'evento in un archivio di dati degli eventi per un massimo di 7 anni o 2.555 giorni.
Nota
Quando vengono aggiunti nuovi dati di evidenza all'archivio dati degli eventi, CloudTrail Lake addebita costi per l'archiviazione e l'ingestione dei dati.
Per le richieste su CloudTrail Lake, si paga in base al consumo. Ciò significa che per ogni query di ricerca che esegui in evidence finder, ti vengono addebitati i costi per i dati scansionati.
Per ulteriori informazioni sui prezzi di CloudTrail Lake, consulta la pagina AWS CloudTrail dei prezzi
Passaggi successivi
Per iniziare, abilita lo strumento di ricerca delle prove dalle impostazioni di Audit Manager. Per istruzioni, consulta Attivazione di evidence finder.