Esportazione dei risultati della ricerca da Evidence Finder - AWS Audit Manager
PrerequisitiProceduraRisorse aggiuntive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esportazione dei risultati della ricerca da Evidence Finder

Dopo aver esaminato i risultati della ricerca, puoi generare un rapporto di valutazione basato su tali risultati. In alternativa, puoi esportare i risultati della ricerca di Evidence Finder in un CSV file.

Prerequisiti

La procedura seguente presuppone che tu abbia già seguito i passaggi per eseguire una ricerca e rivedere i risultati della ricerca in Evidence Finder.

Procedura

Generazione di un rapporto di valutazione dai risultati della ricerca

Dopo essere soddisfatto dei risultati della ricerca, puoi generare un rapporto di valutazione.

Generazione di un report di valutazione dai risultati della ricerca

  1. Nella parte superiore della tabella Visualizza risultati, scegli Genera report di valutazione.

  2. Inserisci un nome e una descrizione per il report di valutazione ed esamina i dettagli del report di valutazione.

  3. Scegli Genera report di valutazione.

Per generare il report di valutazione saranno necessari alcuni minuti. Mentre ciò accade, puoi uscire da evidence finder e una notifica di successo verde confermerà quando il report è pronto. È quindi possibile accedere al centro download di Gestione audit e scaricare il report di valutazione.

Nota

Gestione audit genera un report una tantum utilizzando solo le prove dei risultati della ricerca. Questo report non include alcuna prova aggiunta manualmente a un report dalla pagina di valutazione.

Si applicano dei limiti alla quantità di prove che possono essere incluse in un report di valutazione. Per ulteriori informazioni, consulta Risoluzione dei problemi in Evidence Finder.

Esportazione dei risultati della ricerca in un file CSV

Potresti aver bisogno di una versione portatile dei risultati di ricerca del tuo evidence finder. In tal caso, puoi esportare i risultati della ricerca in un CSV file.

Dopo aver esportato i risultati della ricerca, il CSV file è disponibile nel centro download di Audit Manager per sette giorni. Una copia del CSV file viene inoltre consegnata al bucket S3 preferito, noto come destinazione di esportazione. Il CSV file rimane disponibile in questo bucket finché non lo elimini.

Audit Manager utilizza la funzionalità CloudTrail Lake per esportare e fornire CSV file da Evidence Finder. I seguenti fattori definiscono il funzionamento del processo di CSV esportazione:

  • Tutti i risultati della ricerca sono inclusi nel CSV file. Se desideri includere solo risultati di ricerca specifici, ti consigliamo di modificare i filtri di ricerca. In questo modo, puoi restringere i risultati in modo da indirizzare solo le prove che desideri esportare.

  • CSVi file vengono esportati in formato compresso. GZIP Il nome di CSV file predefinito èqueryID/result.csv.gz, dove queryID è l'ID della query di ricerca.

  • La dimensione massima del file per un'CSVesportazione è di 1 TB. Se esporti più di 1 TB di dati, i risultati vengono suddivisi in più di un file. A ogni CSV file viene assegnato un nomeresult_number.csv.gz. Il numero di CSV file che ottieni dipende dalla dimensione totale dei risultati della ricerca. Ad esempio, l'esportazione di 2 TB di dati fornisce due file di risultati delle query: result_1.csv.gz e result_2.csv.gz.

  • Oltre al CSV file, nel bucket S3 viene inviato un file di JSON firma. Questo file funge da checksum per verificare che le informazioni contenute nel CSV file siano accurate. Per ulteriori informazioni, consulta CloudTrail Sign File Structure nella AWS CloudTrail Developer Guide. Per determinare se i risultati della query sono stati modificati, eliminati o sono rimasti invariati dopo la consegna, è possibile utilizzare la convalida dell'integrità dei risultati delle CloudTrail query. Per istruzioni, vedi Convalidare i risultati delle query salvate nella Guida per gli sviluppatori AWS CloudTrail .

Nota

Le risposte testuali manuali alle prove non sono attualmente incluse nelle anteprime o nelle esportazioni di Evidence Finder. CSV Per visualizzare i dati delle risposte testuali, scegli il nome delle prove manuali nei risultati di Evidence finder per aprire la pagina dei dettagli delle prove. Se è necessario visualizzare i dati di risposta testuale al di fuori della console Gestione audit, si consiglia di generare un rapporto di valutazione dai risultati dell'evidence finder. Tutti i dettagli manuali sulle prove, comprese le risposte testuali, sono inclusi nei report di valutazione.

Segui questa procedura per esportare i risultati della ricerca per la prima volta. Questa procedura offre la possibilità di specificare una destinazione di esportazione predefinita per tutte le esportazioni future. Se non desideri salvare subito una destinazione di esportazione predefinita, puoi farlo in un secondo momento aggiornando le impostazioni della destinazione di esportazione.

Importante

Prima di iniziare, assicurati di avere a disposizione un bucket S3 da utilizzare come destinazione di esportazione. Puoi usare uno dei tuoi bucket S3 esistenti oppure puoi creare un nuovo bucket in Amazon S3. Inoltre, il bucket S3 deve disporre della politica di autorizzazioni richiesta per consentire la scrittura dei file di esportazione CloudTrail al suo interno. Più specificamente, la policy del bucket deve includere un's3:PutObjectazione e un bucket ed essere CloudTrail elencato come ARN principale del servizio. Forniamo un esempio di policy di autorizzazione che puoi utilizzare. Per istruzioni su come collegare questa policy al tuo bucket S3, vedi Aggiungere una policy del bucket utilizzando la console Amazon S3.

Per ulteriori suggerimenti, consulta. Suggerimenti di configurazione per la destinazione di esportazione Se riscontri problemi durante l'esportazione di un CSV file, consultacsv-exports.

Esportazione dei risultati della ricerca (esperienza di prima esecuzione)

  1. Nella parte superiore della tabella Visualizza risultati, scegli Esporta CSV.

  2. Specifica il bucket S3 in cui desideri esportare i file.

    • Scegli Sfoglia S3 per selezionarlo dall'elenco dei bucket.

    • In alternativa, puoi inserire il bucket URI in questo formato: s3://bucketname/prefix

    Suggerimento

    Per mantenere organizzato il bucket di destinazione, puoi creare una cartella opzionale per le CSV esportazioni. A tale scopo, aggiungete una barra (/) e un prefisso al valore nella URI casella Risorsa (ad esempio,). /evidenceFinderExports Audit Manager include quindi questo prefisso quando aggiunge il CSV file al bucket e Amazon S3 genera il percorso specificato dal prefisso. Per ulteriori informazioni sui prefissi in Amazon S3, vedi Organizzare oggetti nella console Amazon S3 nella Guida per l'utente Amazon Simple Storage Service.

  3. (Facoltativo) Se non desideri salvare questo bucket come destinazione di esportazione predefinita, deseleziona la casella di controllo Salva questo bucket come destinazione di esportazione predefinita nelle impostazioni del mio evidence finder.

  4. Scegli Export (Esporta).

Dopo aver salvato un bucket S3 predefinito come destinazione di esportazione predefinita, puoi seguire questi passaggi da ora in avanti.

Esportazione dei risultati della ricerca (dopo aver salvato una destinazione di esportazione predefinita)

  1. Nella parte superiore della tabella Visualizza risultati, scegli Esporta. CSV

  2. Nel prompt che appare, controlla il bucket S3 predefinito in cui verrà salvato il file esportato.

    1. (Facoltativo) Per continuare a utilizzare questo bucket e nascondere questo messaggio in futuro, seleziona la casella Non ricordarmelo più.

    2. (Facoltativo) Per modificare questo bucket, segui la procedura per aggiornare le impostazioni della destinazione di esportazione.

  3. Scegli Conferma.

A seconda della quantità di dati che stai esportando, il completamento del processo di esportazione può richiedere alcuni minuti. Puoi uscire da evidence finder mentre l'esportazione è in corso. Quando esci da evidence finder, la ricerca viene interrotta e i risultati della ricerca vengono eliminati nella console. Tuttavia, il processo di CSV esportazione continua in background. Il CSV file conterrà il set completo di risultati di ricerca corrispondenti alla tua query.

Visualizzazione dei risultati dopo averli esportati

Per trovare il tuo CSV file e controllarne lo stato, vai all'Audit ManagerCentro di download di Gestione audit. Quando il file esportato è pronto, puoi CSVscaricarlo dal centro download.

Puoi anche trovare e scaricare il CSV file dal bucket S3 di destinazione dell'esportazione.

Per trovare il CSV file e firmarlo nella console Amazon S3

  1. Apri la console Amazon S3.

  2. Scegli il bucket di destinazione di esportazione che hai specificato quando hai esportato il file. CSV

  3. Naviga nella gerarchia degli oggetti fino a trovare il CSV file e il file di firma. Il CSV file ha un'.csv.gzestensione e il file di firma ha un'.jsonestensione.

Sarà possibile navigare in una gerarchia di oggetti simile a quella dell'esempio seguente, ma con valori diversi per nome di bucket della destinazione di esportazione, ID account, regione e data.

All Buckets
    Export_Destination_Bucket_Name
        AWSLogs
            Account_ID;
                CloudTrail-Lake
                    Query
                        YYYY
                            MM
                              DD
                                Query_ID

Risorse aggiuntive