您可以使用 Audit Manager 捕获 AWS CloudTrail 管理事件和全局服务事件作为审计证据。创建或编辑自定义控件时,可以将一个或多个 CloudTrail 事件名称指定为证据收集的数据来源映射。然后,Audit Manager 会根据您选择的关键字筛选您的 CloudTrail 日志,并将结果作为用户活动证据导入。
注意
Audit Manager 仅捕获管理事件和全局服务事件。数据事件和见解事件不能作为证据。有关不同类型 CloudTrail 事件的更多信息,请参阅 AWS CloudTrail 用户指南中的 CloudTrail 概念。
除上述情况外,Audit Manager 不支持以下 CloudTrail 事件:
-
kms_GenerateDataKey
-
kms_Decrypt
-
sts_AssumeRole
-
kinesisvideo_GetDataEndpoint
-
kinesisvideo_GetSignalingChannelEndpoint
-
kinesisvideo_DescribeSignalingChannel
-
kinesisvideo_DescribeStream
自 2023 年 5 月 11 日起,Audit Manager 不再支持只读的 CloudTrail 事件作为证据收集的关键词。我们总共删除了 3,135 个只读关键词。由于客户和 AWS 服务 都对 API 进行读取调用,因此只读事件干扰很多。因此,只读关键字会收集大量不可靠或与审计无关的证据。只读关键词包括 List
、Describe
和 Get
API 调用(例如,用于 Amazon S3 的 GetObject 和 ListBuckets)。如果您使用其中一个关键字来收集证据,则无需执行任何操作。这些关键词已自动从 Audit Manager 控制台和您的评测中删除,并且不再为这些关键词收集证据。
其他资源
-
如需帮助解决有关此数据来源类型的证据收集问题,请参阅我的评测没有从 AWS CloudTrail 中收集用户活动证据。
-
要使用此数据来源类型创建自定义控件,请参阅在 AWS Audit Manager 中创建自定义控件。
-
要创建使用您的自定义控件的自定义框架,请参阅在 AWS Audit Manager 创建自定义框架。
-
要将自定义控件添加到现有自定义框架,请参阅在 AWS Audit Manager 中编辑自定义框架。