本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
对评测和证据收集问题进行排查
您可以使用此页面上的信息来解决 Audit Manager 中常见的评测和证据收集问题。
证据收集问题
我创建了评测,但我还看不到任何证据
如果您看不到任何证据,则很可能是距离您创建评测还不满 24 小时,或者存在配置错误。
建议您检查以下项目:
-
确保距离您创建评测已满 24 小时。评测创建后 24 小时可获得自动证据。
-
确保你使用的 Audit Manager 与你期望看到的证据 AWS 区域 相同。 AWS 服务
-
如果您希望看到和的合规性检查证据 AWS Security Hub,请确保 AWS Config 和 Security AWS Config Hub 控制台都显示这些检查的结果。 AWS Config 和 Security Hub 结果的显示方式应与您在中使用 Audit Manager 的结果相同 AWS 区域 。
如果您仍然无法在评测中看到证据,且并非上述某一问题导致,请查看本页上描述的其他潜在原因。
我的评估没有从中收集合规检查证据 AWS Security Hub
如果您没有看到 AWS Security Hub 控制措施的合规性检查证据,则可能是由于以下问题之一。
- AWS Security Hub 中配置缺失
-
如果您在启用 AWS Security Hub时遗漏了某些配置步骤,则可能会导致此问题。
要修复此问题,请确保您启用了 Security Hub,并设置了 Audit Manager 所需的设置。有关说明,请参阅启用并设置 AWS Security Hub。
- 您
ControlMappingSource
中输入的 Security Hub 控件名称不正确 -
使用 Audit Manager API 创建自定义控件时,可以将 Security Hub 控件指定为证据收集的数据源映射。为此,请输入控件 ID 作为
keywordValue
。如果您没有看到 Security Hub 控件的合规检查证据,则可能您
ControlMappingSource
中输入的keywordValue
不正确导致。keywordValue
区分大小写。如果输入不正确,Audit Manager 可能无法识别该规则。因此,您可能无法按预期收集该控件的合规检查证据。如需解决此问题,请更新自定义控件并修改
keywordValue
。Security Hub 关键字的正确格式不固定。为了准确起见,请参考清单支持的 Security Hub 控件 。 AuditManagerSecurityHubFindingsReceiver
缺少亚马逊 EventBridge 规则-
启用 Audit Manager 后,将在亚马逊中自动创建并启用名为
AuditManagerSecurityHubFindingsReceiver
的规则 EventBridge。此规则允许 Audit Manager 收集 Security Hub 的调查发现作为证据。如果您的 Security Hub 使用 AWS 区域 位置中未列出并启用此规则,则 Audit Manager 将无法收集该区域的 Security Hub 调查结果。
要解决此问题,请转到EventBridge 控制台
并确认 AuditManagerSecurityHubFindingsReceiver
规则存在于您的控制台中 AWS 账户。如果该规则不存在,我们建议您禁用 Audit Manager 后重新启用该服务。如果此操作不解决问题,或者无法禁用 Audit Manager,请联系 AWS Support获取帮助。 - 由 Security AWS Config Hub 创建的服务相关规则
-
请记住,Audit Manager 不会从 Sec urity Hub 创建的服务相关 AWS Config 规则中收集证据。这是一种特定类型的托管 AWS Config 规则,由 Security Hub 服务启用和控制。Security Hub 会在您的 AWS 环境中创建这些服务相关规则的实例,即使相同规则的其他实例已经存在。因此,为防止证据重复,Audit Manager 不支持从服务相关规则中收集证据。
我在 Security Hub 中禁用了一个安全控件。Audit Manager 是否为该安全控制收集合规性检查证据?
Audit Manager 不收集已禁用安全控制的证据。
如果您在 Security Hub 中将安全控制的状态设置为禁用,则不会在当前账户和区域中对该控件执行安全检查。因此,Security Hub 中没有安全调查结果,Audit Manager 也没有收集任何相关证据。
通过尊重您在 Security Hub 中设置的禁用状态,Audit Manager 可确保您的评估准确反映与您的环境相关的有效安全控制措施和发现,不包括您故意禁用的任何控件。
我在 Security Hub Suppressed
中将发现的状态设置为。Audit Manager 是否收集有关该发现的合规检查证据?
Audit Manager 会收集隐藏调查结果的安全控制措施的证据。
如果您在 Security Hub 中将查找结果的工作流程状态设置为 “已隐藏”,则表示您已查看该调查结果并且认为不需要采取任何操作。在 Audit Manager 中,这些隐蔽的发现被收集为证据,并附在您的评估中。证据详情显示了直接从 Security Hub SUPPRESSED
报告的评估状态。
这种方法可确保您的 Audit Manager 评估准确地反映来自 Security Hub 的调查结果,同时还能让人们了解任何隐含的、可能需要在审计中进一步审查或考虑的调查结果。
我的评估没有从中收集合规检查证据 AWS Config
如果您看不到某项 AWS Config 规则的合规性检查证据,则可能是由于以下问题之一。
- 您
ControlMappingSource
中输入的规则标识符不正确 -
使用 Audit Manager API 创建自定义控件时,可以将 AWS Config 规则指定为证据收集的数据源映射。您指定的
keywordValue
取决于规则的类型。如果您没有看到某项 AWS Config 规则的合规性检查证据,则可能是您的规则输入不正确
ControlMappingSource
。keywordValue
keywordValue
区分大小写。如果输入不正确,Audit Manager 可能无法识别规则。因此,您可能无法按预期收集该规则的合规检查证据。如需解决此问题,请更新自定义控件并修改
keywordValue
。-
对于自定义规则,请确保
keywordValue
的Custom_
前缀后跟自定义规则名称。自定义规则名称的格式不固定。为确保准确,请访问 AWS Config 控制台验证您的自定义规则名称。 -
对于托管规则,请确保
keywordValue
是ALL_CAPS_WITH_UNDERSCORES
中的规则标识符。例如,CLOUDWATCH_LOG_GROUP_ENCRYPTED
。为了确保准确,请参阅支持的托管规则关键字列表。注意
对于某些托管规则,规则标识符与规则名称不同。例如,restricted-ssh 的规则标识符是
INCOMING_SSH_DISABLED
。确保使用规则标识符,而不是规则名称。如需查找规则标识符,请从托管规则列表中选择一条规则,然后查找其标识符值。
-
- 该规则是服务相关 AWS Config 规则
-
您可以使用托管规则和自定义规则作为证据收集的数据来源映射。但是,大多数服务相关规则都不是 Audit Manager 证据收集的来源。
Audit Manager 仅从两种类型的服务相关规则中收集证据:
-
一致性包中的服务相关规则
-
服务相关规则来自 AWS Organizations
Audit Manager 不会从其他服务相关规则中收集证据,特别是任何带有亚马逊资源名称 (ARN) 且包含以下前缀的规则:
arn:aws:config:*:*:config-rule/aws-service-rule/...
Audit Manager 之所以不从大多数服务相关 AWS Config 规则中收集证据的原因是防止评测中出现重复的证据。服务相关规则是一种特定类型的托管规则, AWS 服务 允许其他人在您的账户中创建 AWS Config 规则。例如,某些 Security Hub 控件使用 AWS Config 与服务相关的规则来运行安全检查。对于每个使用服务相关 AWS Config 规则的 Security Hub 控件,Security Hub 会在您的 AWS 环境中创建一个所需 AWS Config 规则的实例。即使您的账户中已存在原始规则,也会发生这种情况。因此,为了避免两次从同一条规则中收集相同的证据,Audit Manager 会忽略服务相关规则,也不会从中收集证据。
-
- AWS Config 未启用
-
AWS Config 必须在您的中启用 AWS 账户。以这种方式进行设置 AWS Config 后,每次对 AWS Config 规则进行评估时,Audit Manager 都会收集证据。请确保已 AWS Config 在中启用 AWS 账户。有关说明,请参阅启用和设置 AWS Config。
- 在您设置评估之前,该 AWS Config 规则会评估资源配置
-
如果您的 AWS Config 规则设置为评估特定资源的配置更改,则可能会发现 Audit Manager 中的 AWS Config 评估结果与 Audit Manager 中的证据不匹配。如果您在 Audit Manager 评测中设置控件之前,已进行规则评测,则会发生这种情况。在这种情况下,在基础资源状态再次发生变更并触发对规则的重新评测之前,Audit Manager 不会生成证据。
解决方法是,您可以在 AWS Config 控制台中导航到该规则,然后手动重新评估该规则。这将调用对该规则相关所有资源进行的新评测。
我的评测没有从 AWS CloudTrail中收集用户活动证据
使用 Audit Manager API 创建自定义控件时,可以将 CloudTrail 事件名称指定为证据收集的数据源映射。为此,请输入事件名称作为 keywordValue
。
如果您看不到某个事件的用户活动证据,则可能是因为在您的 CloudTrail 事件中输入的keywordValue
内容不正确ControlMappingSource
。keywordValue
区分大小写。如果输入不正确,Audit Manager 可能无法识别事件名称。因此,您可能无法按预期收集该事件的用户活动证据。
如需解决此问题,请更新自定义控件并修改 keywordValue
。确保事件写入为 serviceprefix_ActionName
。例如,cloudtrail_StartLogging
。为确保准确,请查看服务授权参考中的 AWS 服务
前缀和操作名称。
我的评估没有收集 AWS API通话的配置数据证据
使用 Audit Manager API 创建自定义控件时,可以将 AWS API调用指定为证据收集的数据源映射。为此,您可以将API呼叫输入为keywordValue
。
如果您没有看到 AWS API呼叫的配置数据证据,则可能是您的配置数据输入不正确ControlMappingSource
。keywordValue
keywordValue
区分大小写。如果输入不正确,Audit Manager 可能无法识别该API呼叫。因此,您可能无法按预期收集该API调用的配置数据证据。
如需解决此问题,请更新自定义控件并修改 keywordValue
。确保将API呼叫写为serviceprefix_ActionName
。例如,iam_ListGroups
。为了准确起见,请参考清单AWS 支持的 API 调用 AWS Audit Manager。
常见的控制措施是不收集任何自动证据
当您查看常用控制时,您可能会看到以下消息:此常用控件不收集来自核心控制的自动证据。
这意味着目前没有任何 AWS 管理的证据来源可以支持这种共同的控制措施。因此,“证据来源” 选项卡为空,不显示任何核心控件。
当通用控制不收集自动证据时,它被称为手动通用控制。手动常用控制通常需要提供物理记录和签名,或者有关在您的 AWS 环境之外发生的事件的详细信息。因此,通常没有 AWS 数据源可以提供支持控制要求的证据。
如果常用控件是手动控件,您仍然可以将其用作自定义控件的证据来源。唯一的区别是,普通对照组不会自动收集任何证据。相反,您需要手动上传自己的证据,以支持通用控制的要求。
向手动常用控制中添加证据
注意
随着将来有更多 AWS 数据源可用, AWS 可能会更新通用控制措施,将核心控制作为证据来源。在这种情况下,如果通用对照是您的一个或多个主动评估对照中的证据来源,则这些更新将自动使您受益。您无需进行进一步的设置,您将开始收集支持通用控制的自动证据。
我的证据是在不同的时间间隔生成的,我不确定收集证据的频率
Audit Manager 评测中的控件映射至各类数据来源。数据来源的证据收集频率各异。因此,关于收集证据的频率尚无 one-size-fits-all 答案。有些数据来源评测合规性,而其他数据来源仅捕获资源状态并更改数据,而无需确定合规性。
以下是不同数据来源类型及其收集证据频率的摘要。
数据来源类型 | 描述 | 证据收集频率 | 当此控件在评测中处于活动状态时 |
---|---|---|---|
AWS CloudTrail |
跟踪特定的用户活动。 |
持续 |
Audit Manager 会根据您选择的关键字筛选您的 CloudTrail 日志。处理后的日志将作为用户活动证据导入。 |
AWS Security Hub |
通过报告来自 Security Hub 的调查发现,捕获您资源安全状况的快照。 |
根据 Security Hub 检查的时间表 (通常每 12 小时左右检查一次) |
Audit Manager 直接从 Security Hub 检索安全调查发现。调查发现作为合规检查证据导入。 |
AWS Config |
通过报告来自的调查结果,捕获资源安全态势的快照 AWS Config。 |
基于 AWS Config 规则中定义的设置 | Audit Manager 直接从中 AWS Config检索规则评估。评测作为合规检查证据导入。 |
AWS API呼叫 |
通过API调用指定的,直接拍摄资源配置的快照 AWS 服务。 |
每天、每周或每月 | Audit Manager 根据您指定的频率进行API呼叫。响应作为配置数据证据导入。 |
无论证据收集频率如何,只要评测处于活动状态,就会自动收集新的证据。有关更多信息,请参阅 证据收集频率。
要了解更多信息,请参阅支持用于自动证据的数据源类型和更改对照收集证据的频率。
我禁用了 Audit Manager 然后又重新启用了 Audit Manager,现在,我以前的评测不再收集证据
当您禁用 Audit Manager 并选择不删除数据时,您的现有评测将进入休眠状态并停止收集证据。这意味着,当您重新启用 Audit Manager 时,您之前创建的评测仍然可用。但是,他们不会自动恢复证据收集工作。
如需重新开始为先前存在的评测收集证据,请编辑评测并选择保存,而不做任何更改。
在我的评估详情页面上,系统会提示我重新创建我的评估
如果您看到一条消息,上面写着 “创建新评估以收集更全面的证据”,则表示 Audit Manager 现在提供了创建评估所依据的标准框架的新定义。
在新的框架定义中,该框架的所有标准控制措施现在都可以从AWS 托管来源收集证据。这意味着,每当公共控制或核心控制的基础数据源有更新时,Audit Manager 都会自动将相同的更新应用于所有相关的标准控件。
要从这些 AWS 托管资源中受益,我们建议您使用更新的框架创建新的评估。完成此操作后,您可以将旧的评估状态更改为不活跃。此操作有助于确保您的新评估收集可从 AWS 托管来源获得的最准确、最全面的证据。如果你不采取任何行动,你的评估将继续使用旧的框架和控制定义来收集证据,就像以前一样。
数据源和证据来源有什么区别?
证据来源决定从何处收集证据。这可以是单个数据源,也可以是映射到核心控件或普通控件的预定义数据源分组。
数据源是最精细的证据来源。数据源包括以下细节,这些细节告诉 Audit Manager 从哪里收集证据数据:
我的评测创建失败
如果您的评测创建失败,则可能是因为您选择包含在评测范围中的 AWS 账户 过多。如果您使用的是 AWS Organizations,Audit Manager 可以在一次评估的范围内支持多达 200 个成员帐户。如果超过此数量,评测创建可能会失败。作为一种变通办法,您可以运行多个评测,每个评测包含不同的账户。
我从我的组织中移除一个范围内账户后会发生什么?
从您的组织中移除范围内的账户后,Audit Manager 将不再为该账户收集证据。但是,该账户会继续在您的评测中的AWS 账户选项卡下显示。如需将该账户从范围内的账户列表中移除,请编辑评测。在编辑过程中,已移除的账户不再显示在列表中,该账户不在范围内不影响变更的保存。
我看不到我的评估范围内的服务
如果您没有看到该AWS 服务选项卡,则表示范围内的服务由 Audit Manager 为您管理。当您创建新的评估时,Audit Manager 会从那时起为您管理范围内的服务。
如果您有较早的评估,则可能您之前在评估中看到过此选项卡。但是,当发生以下任一事件时,Audit Manager 会自动从您的评估中删除此选项卡,并接管范围内服务的管理:
-
您可以编辑您的评估
-
您可以编辑评估中使用的其中一个自定义控件
Audit Manager 通过检查您的评估控制措施及其数据源,然后将这些信息映射到相应 AWS 服务的数据源来推断范围内的服务。如果基础数据源因您的评估而发生变化,我们会根据需要自动更新范围,以反映正确的服务。这可确保您的评估能够收集有关您 AWS 环境中所有相关服务的准确、全面的证据。
我无法编辑评测的范围内服务
该在中编辑评估 AWS Audit Manager工作流程不再有 “编辑服务” 步骤。这是因为 Audit Manager 现在可以管理 AWS 服务 哪些属于您的评估范围。
如果您有较早的评估,则可能是在创建该评估时手动定义了范围内的服务。但是,您无法继续编辑这些服务。发生以下任一事件时,Audit Manager 会自动接管您的评估范围内服务的管理:
-
您可以编辑您的评估
-
您可以编辑评估中使用的其中一个自定义控件
Audit Manager 通过检查您的评估控制措施及其数据源,然后将这些信息映射到相应 AWS 服务的数据源来推断范围内的服务。如果基础数据源因您的评估而发生变化,我们会根据需要自动更新范围,以反映正确的服务。这可确保您的评估能够收集有关您 AWS 环境中所有相关服务的准确、全面的证据。
范围内的服务和数据来源类型有什么区别?
A service in scope 是 AWS 服务 指您的评估范围中包含的。当某项服务在范围内时,Audit Manager 会收集有关您使用该服务及其资源的证据。
注意
Audit Manager 管理 AWS 服务 哪些属于您的评估范围。如果您有较早的评估,则可能是您过去手动指定了范围内的服务。接下来,您无法在范围内指定或编辑服务。
数据来源类型表示证据的确切收集来源。如果您上传自己的证据,则数据来源类型为手动。Audit Manager 从以下 4 种数据来源之一收集证据。
-
AWS Security Hub — 通过报告来自 Security Hub 的调查结果,捕获资源安全态势的快照。
-
AWS Config — 通过报告来自的调查结果,捕获资源安全态势的快照 AWS Config。
-
AWS CloudTrail — 跟踪资源的特定用户活动。
-
AWS APIcalls — 通过API调用特定资源直接拍摄资源配置的快照 AWS 服务。
以下是两个示例,用于说明范围内服务和数据来源类型之间的区别。
示例 1
假设您要为名为 4.1.2 - 不允许对 S3 桶的公开写入访问权限的控件收集证据。此控件会检查您的 S3 桶策略的访问级别。对于此控件,Audit Manager 使用特定 AWS Config 规则 (s3-bucket-public-write-prohibited) 来查找对您的 S3 存储桶的评估。在本示例中,以下为 true:
-
这service in scope是 Amazon S3
-
正在评测的资源是您的 S3 桶
-
数据源类型是 AWS Config
-
数据源映射是一 AWS Config 条特定的规则 (
s3-bucket-public-write-prohibited
)
示例 2
假设你想为名为 164.308 (aHIPAA) (5) (ii) (C) 的对照收集证据。此控件需要通过监控程序检测不当登录。对于此控件,Audit Manager 使用 CloudTrail 日志来查找所有AWS 管理控制台登录事件。在本示例中,以下为 true:
-
这service in scope是 IAM
-
正在评测的资源是您的用户
-
数据源类型是 CloudTrail
-
数据源映射是一个特定 CloudTrail 事件 (
ConsoleLogin
)