更改控件收集证据的频率
AWS Audit Manager 可以从各种数据来源收集证据。证据收集的频率取决于控件所使用的数据来源类型。
以下章节提供了有关每种控件数据来源类型的证据收集频率以及如何对其进行更改(如果适用)的更多信息。
关键点
-
对于 AWS API 调用,Audit Manager 使用对另一个 AWS 服务 的描述 API 调用来收集证据。您可以直接在 Audit Manager 中指定证据收集频率(仅适用于自定义控件)。
-
对于 AWS Config,Audit Manager 直接从 AWS Config 中报告合规性检查的结果。频率遵循 AWS Config 规则中定义的触发条件。
-
对于 AWS Security Hub,Audit Manager 直接从 Security Hub 中报告合规性检查的结果。频率遵循 Security Hub 检查的时间表。
-
对于 AWS CloudTrail,Audit Manager 会持续从 CloudTrail 收集证据。您无法更改此类证据的收集频率。
AWS API 调用的配置快照
注意
以下内容仅适用于自定义控件。对于标准控件,您无法更改证据收集频率。
如果自定义控件使用 AWS API 调用作为数据来源类型,则可以按照以下步骤在 Audit Manager 中更改证据收集频率。
更改以 API 调用作为数据来源的自定义控件的证据收集频率
在 https://console.aws.amazon.com/auditmanager/home
处打开 AWS Audit Manager 控制台。 -
在导航窗格中,选择控件库,然后选择自定义选项卡。
-
选择要编辑的自定义控件,然后选择编辑。
-
在编辑控件详细信息页面上,选择编辑。
-
在客户管理型来源下,查找要更新的 API 调用数据来源。
-
从表格中选择数据来源,然后选择移除。
-
选择添加。
-
选择 AWS API 调用。
-
选择您在第 5 步中移除的 API 调用,然后选择您的首选证据收集频率。
-
在数据来源名称下方,提供描述性名称。
-
(可选)在其他详细信息下,输入数据来源描述和疑难解答描述。
-
选择下一步。
-
在编辑行动计划页面上,选择下一步。
-
在查看和更新页面上,查看自定义控件的信息。若要更改步骤信息,请选择编辑。
-
完成后,选择保存更改。
在编辑控件后,所做的更改将在第二天 00:00 (UTC) 在包含该控件的所有活动评测中生效。
来自 AWS Config 的合规性检查
注意
以下内容适用于使用 AWS Config 规则 作为数据来源的标准控件和自定义控件。
如果控件使用 AWS Config 作为数据来源类型,则无法直接在 Audit Manager 中更改证据收集频率。这是因为频率遵循 AWS Config 规则中定义的触发条件。
AWS Config 规则 的触发器有两种类型:
-
配置变更 - 当创建、更改或删除特定类型的资源时,AWS Config 会针对规则运行评测。
-
定期 - AWS Config 按照您选择的频率运行评测(例如,每 24 小时)。
要了解有关 AWS Config 规则 的触发器的更多信息,请参阅 AWS Config 开发者指南中的触发器类型。
有关如何管理 AWS Config 规则 的说明,请参阅管理您的 AWS Config 规则。
来自 Security Hub 的合规性检查
注意
以下内容适用于使用 Security Hub 检查作为数据来源的标准控件和自定义控件。
如果控件使用 Security Hub 作为数据来源类型,则无法直接在 Audit Manager 中更改证据收集频率。这是因为频率遵循了 Security Hub 检查的时间表。
-
在最近一次运行后的 12 小时内,将自动运行定期检查。您无法更改周期。
-
在关联的资源更改状态时,将运行更改触发的检查。即使资源没有更改状态,更改触发的检查的更新时间也将每 18 小时刷新一次。这有助于指明控件仍处于启用状态。通常,Security Hub 尽可能使用更改触发的规则。
要了解更多信息,请参阅 AWS Security Hub 用户指南中的安全检查运行时间表。
来自 AWS CloudTrail 的用户活动日志
注意
以下内容适用于使用 AWS CloudTrail 用户活动日志作为数据来源的标准控件和自定义控件。
对于使用来自 CloudTrail 的活动日志作为数据来源类型的控件,您无法更改证据收集频率。Audit Manager 会持续从 CloudTrail 收集此类证据。这种频率是持续的,因为用户活动可以在一天中的任何时间发生。
