証拠ファインダー

証拠ファインダーは、Audit Manager で証拠を検索するための強力な手段です。検索する際に、深くネストされた証拠フォルダを閲覧する代わりに、証拠ファインダーを使用して証拠をすばやく検索できるようになりました。委任された管理者として Evidence Manager を使用している場合は、組織内のすべてのメンバーアカウントで証拠を検索できます。

フィルターとグルーピングを組み合わせて使用することで、検索クエリの範囲を徐々に絞り込むことができます。例えば、システムの状態を大まかに把握したい場合は、広範囲にわたる検索を行い、評価、日付範囲、およびリソースコンプライアンスに基づいてフィルタリングします。特定のリソースを修復することが目的であれば、特定の統制 ID またはリソース ID の証拠を絞り込んで絞り込むことができます。フィルターを定義したら、評価レポートを作成する前に、一致する検索結果をグループ化してプレビューできます。

エビデンスファインダーを使用するには、Audit Manager の設定からこの機能を有効にする必要があります。

重要ポイント

証拠ファインダーが Lake と CloudTrailどのように連携するかを理解する

証拠ファインダーは AWS CloudTrail Lake のクエリ機能とストレージ機能を使用します。証拠ファインダーの使用を開始する前に、 CloudTrail Lake の仕組みについてもう少し理解しておくと役に立ちます。

CloudTrail Lake は、強力な SQL クエリをサポートする単一の検索可能なイベントデータストアにデータを集約します。つまり、組織全体のデータをカスタムの時間範囲内で検索できるということです。証拠ファインダーを使用すると、この検索機能をAudit Manager コンソールで直接使用できます。

証拠ファインダーの有効化をリクエストすると、Audit Manager がユーザーに代わってイベントデータストアを作成します。証拠ファインダーを有効にすると、今後の Audit Manager の証拠はすべてイベントデータストアに取り込まれ、証拠ファインダーの検索クエリに使用できるようになります。証拠ファインダーを有効にすると、新しく作成されたイベントデータストアに、過去 2 年分の証拠データがバックフィルされます。委任管理者として証拠ファインダーを有効にすると、組織内のすべてのメンバーアカウントのデータがバックフィルされます。

バックフィルされたものか新しいものかを問わず、すべての証拠データはイベントデータストアに 2 年間保持されます。デフォルトの保持期間は、いつでも変更できます。手順については、「AWS CloudTrail ユーザーガイド」の「イベントデータストアの更新」を参照してください。イベントデータは、イベントデータストアに最大 7 年間 (2,555 日) 保持できます。

注記

新しい証拠データがイベントデータストアに追加されると、データストレージと取り込みに対して CloudTrail レイク料金が発生します。

CloudTrail Lake クエリの場合、支払いはそのままです。これは、証拠ファインダーで検索クエリを実行するたびに、スキャンされたデータに対して料金が請求されることを意味します。

CloudTrail Lake の料金の詳細については、AWS CloudTrail 「の料金」を参照してください。

次のステップ

開始するには、Audit Manager の設定から証拠ファインダーを有効にします。手順については、「証拠ファインダーの有効化」を参照してください。

追加リソース

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

評価レポート

証拠の検索