框架问题疑难解答 - Amazon Audit Manager

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

框架问题疑难解答

您可以使用此页面上的信息来解决 Audit Manager 中常见的框架问题。

在我的自定义框架详细信息页面上,系统提示我重新创建自定义框架

提示您重新创建评测的弹出消息的屏幕截图。

如果您看到一条消息,显示有更新的控件定义可用,则表示 Audit Manager 现在为您自定义框架中的某些标准控件提供了更新的定义。

标准控件现在可以从 AWS managed source收集证据。这就表示,每当 Audit Manager 更新通用控件或核心控件的底层数据来源时,都会自动将这些更新应用于相关的标准控件。此举有助于您确保在云合规性环境发生变化时持续保持合规。为确保您受益于这些 AWS 托管资源,我们建议您替换自定义框架中的控件。

在您的自定义框架中,Audit Manager 会指明哪些控件可以更换。您需要先更换这些控件,然后才能复制自定义框架。下次您编辑自定义框架时,我们会提示您更换这些控件以及您想要进行的任何其他编辑。

您可通过两种方式更换自定义框架中的控件:

1. 重新创建自定义框架

如果有大量控件可以更换,我们建议您重新创建自定义框架。如果您的自定义框架基于标准框架,这可能是最佳办法。

  • 例如,假设您以 NIST SP 800-53 Rev 5 为起点创建了自定义框架。此标准框架有 1007 个标准控件,并且您添加了 20 个自定义控件。

  • 在这种情况下,最有效的办法是在框架库中找到 NIST 800-53 (Rev. 5) Low-Moderate-High创建该框架的可编辑副本。在此期间,您可以添加先前使用的 20 个自定义控件。由于您现在使用标准框架的最新定义作为起点,因此您的自定义框架会自动继承所有 1007 个标准控件的最新定义。

2. 编辑自定义框架

如果只有少数控件可更换,我们建议您编辑自定义框架并手动更换这些控件。

  • 例如,假设您从头开始创建自定义框架。在您的自定义框架中,您添加了 20 个自己创建的自定义控件,以及来自 ACSC 八大要点 标准框架的 8 个标准控件。

  • 在这种情况下,由于最多有八个控件具有可用更新,因此最有效的办法是编辑您的自定义框架,并逐个更换这些控件。有关说明,请参阅以下过程。

手动更换自定义框架中的控件
  1. https://console.aws.amazon.com/auditmanager/家中打开 AWS Audit Manager 控制台。

  2. 在左侧导航窗格中,选择框架库,然后选择自定义框架选项卡。

  3. 选择想要编辑的框架,选择 操作,然后选择 编辑

  4. 编辑框架详细信息页面上,选择下一步

  5. 编辑控件集页面上,查看每个控件集的名称,了解其中是否有任何控件有可更换的版本。

  6. 选择受影响的控件集将其展开,并确定其中哪些控件需要更换。

    提示

    如需更快地找出相关控件,请在搜索框中输入 Replacement available

  7. 选中复选框并选择从控件集中移除,即可移除受影响的控件。

  8. 重新添加相同的控件。此操作可以将您刚刚移除的控件更换为最新的控件定义。

    1. 添加控件下,使用控件类型下拉列表并选择标准控件

    2. 找到刚移除的控件的更换版本。

      提示

      在某些情况下,更换控件的名称可能与原始控件的名称不完全相同。在这种情况下,更换控件的名称可能与原始控件的名称非常相似。只有极少数情况下,一个控件可能会被两个控件所取代,反之亦然。

      如果您找不到更换控件,我们建议您进行部分搜索。为此,请输入原始控件名称的一部分,或输入能代表您要查找的控件的关键字。您也可以按合规性类型进行搜索,以进一步缩小结果列表的范围。

    3. 选中控件旁边的复选框,并选择添加到控件集

    4. 在出现的弹出窗口中,选择添加进行确认。

  9. 根据需要重复第 6-8 步,直到更换所有控件。

  10. 选择下一步

  11. 查看并保存页面上,选择保存更改

我无法复制我的自定义框架

如果框架详细信息页面上没有复制按钮,就表示您需要更换自定义框架中的某些控件。

有关如何进行下一步操作的说明,请参阅在我的自定义框架详细信息页面上,系统提示我重新创建自定义框架

我已发送共享请求的状态显示为失败

如果您尝试共享自定义框架但操作失败,我们建议您检查以下内容:

  1. 确保在收件人和指定区域中启用了 Audi AWS 账户 t Manager。有关支持的 AWS Audit Manager 区域列表,请参阅 Amazon Web Services 一般参考中的AWS Audit Manager 终端节点和配额

  2. 请确保在指定收款人账户时输入了正确的 AWS 账户 ID。

  3. 确保您没有将 AWS Organizations 管理账户指定为收件人。您可以与委托管理员共享自定义框架,但是如果您尝试与管理账户共享自定义框架,则操作将失败。

  4. 如果您使用客户托管密钥来加密您的 Audit Manager 数据,请确保您的 KMS 密钥已启用。如果您的 KMS 密钥已禁用,而您尝试共享自定义框架,则操作将失败。有关如何启用已禁用的 KMS 密钥的说明,请参阅AWS Key Management Service 开发人员指南中的启用和禁用密钥

我的共享请求旁边有一个蓝点。这意味着什么?

蓝点通知指示需要您注意的共享请求。

在发送的处于即将到期状态的请求旁边会出现一个蓝色的通知点。Audit Manager 会显示蓝点通知,这样您就可以提醒收件人在共享请求到期之前对其采取行动。

要使蓝色通知点消失,收件人必须接受或拒绝请求。如果您撤销共享请求,蓝点也会消失。

您可以使用以下步骤来检查是否有任何即将到期的共享请求,并向收件人发送提醒 (可选),提醒其采取行动。

查看已发送请求的通知

  1. https://console.aws.amazon.com/auditmanager/家中打开 AWS Audit Manager 控制台。

  2. 如果您收到共享请求通知,Audit Manager 会在导航菜单图标旁边显示红点。

    最小化导航菜单图标屏幕截图,上面有一个红点,表示通知。
  3. 展开导航窗格并查看 共享请求 旁边的内容。通知徽章指示需要注意的共享请求数量。

    展开的导航菜单的屏幕截图,其中突出显示了共享框架请求,以及显示一条通知的通知徽章。
  4. 选择共享请求,然后选择已发送请求选项卡。

  5. 查找蓝点以识别在未来 30 天内到期的共享请求。或者,您也可以通过从所有状态筛选条件下拉列表中选择即将到期来查看即将到期的共享请求。

    收到的共享请求的屏幕截图,框架名称旁有一个蓝点。
  6. (可选) 提醒收件人他们需要在共享请求到期之前对其采取行动。此步骤为可选项,因为 Audit Manager 会在控制台中发送通知,通知收件人共享请求处于有效状态或即将到期的时间。但是,您也可以使用首选沟通渠道向收件人发送自己的提醒。

在收到的处于有效即将到期状态的共享请求旁边会出现一个蓝色的通知点。Audit Manager 会显示蓝点通知,提醒您在共享请求到期之前对其采取行动。要使蓝色通知点消失,您必须接受或拒绝请求。如果发件人撤销共享请求,蓝点也会消失。

您可以使用以下过程检查是否存在有效和即将到期的共享请求。

如需查看已收到请求的通知

  1. https://console.aws.amazon.com/auditmanager/家中打开 AWS Audit Manager 控制台。

  2. 如果您收到共享请求通知,Audit Manager 会在导航菜单图标旁边显示红点。

    最小化导航菜单图标屏幕截图,上面有一个红点,表示通知。
  3. 展开导航窗格并查看 共享请求 旁边的内容。通知徽章指示需要您注意的共享请求数量。

    展开的导航菜单的屏幕截图,其中突出显示了共享请求,以及显示一条通知的通知徽章。
  4. 选择 共享请求。默认情况下,此页面在已收到的请求 选项卡中打开。

  5. 通过查找带有蓝点的项目,识别需要您采取行动的共享请求。

    收到的共享请求的屏幕截图,框架名称旁有一个蓝点。
  6. (可选) 如仅需查看在未来 30 天内到期的请求,请找到所有状态下拉列表并选择即将到期

我的共享框架包含使用自定义 AWS Config 规则作为数据源的控件。收件人能否为这些控件收集证据?

是的,您的收件人可以为这些控件收集证据,但是在此之前需要采取一些步骤。

要让 Audit Manager 使用 AWS Config 规则作为数据源映射收集证据,必须满足以下条件。这些标准适用于托管规则和自定义规则。

  • 该规则必须存在于收件人的 AWS 环境中。

  • 必须在收件人的 AWS 环境中启用该规则。

请记住,收款人的 AWS 环境中可能尚不存在您账户中的 AWS Config 规则。此外,当收件人接受共享请求时,Audit Manager 不会在其账户中重新创建您的任何自定义规则。要让收件人使用您的自定义规则作为数据源映射收集证据,他们必须在自己的实例中创建相同的自定义规则 AWS Config。接收者在中创建启用规则后 AWS Config,Audit Manager 可以从该数据源收集证据。

我们建议您与收件人沟通,让他们知道是否应在他们的实例中创建任何自定义 AWS Config 规则 AWS Config。

我更新了共享框架中使用的自定义规则。我需要采取措施吗?

用于 AWS 环境中的规则更新

在 AWS 环境中更新自定义规则时,无需在 Audit Manager 中执行任何操作。Audit Manager 按下表所述方式检测并处理规则更新。当检测到规则更新时,Audit Manager 不会通知您。

场景 Audit Manager 会做什么 您需要了解的内容

您的实例中的自定义规则已更新 AWS Config。

Audit Manager 继续使用更新的规则定义报告该规则的调查发现。 无需任何操作。

您的实例中的自定义规则已删除 AWS Config。

Audit Manager 停止报告已删除规则的调查发现。

无需任何操作。

如果需要,您可以编辑使用已删除规则作为数据来源映射的自定义控件。然后,您可以移除已删除的规则,以清理控件的数据来源设置。否则,已删除的规则名称将保留为未使用的数据来源映射。

用于 AWS 环境之外的规则更新

在收件人的 AWS 环境中,Audit Manager 不会检测到规则更新。这是因为发件人和收件人各自在不同的 AWS 环境中工作。下表提供了针对此场景建议进行的操作。

您的角色 场景 建议的操作

发件人

  • 您共享了一个使用自定义规则作为数据来源映射的框架。

  • 共享框架后,您在中更新或删除了其中一条规则 AWS Config。

请联系收件人,告知他们更新情况。这样,他们就可以进行相同的更新并与最新的规则定义保持同步。
收件人
  • 您接受了使用自定义规则作为数据来源映射的共享框架。

  • 在您的实例中重新创建自定义规则后 AWS Config,发件人更新或删除了其中一条规则。

在您自己的 AWS Config实例中更新相应的规则。