本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
您可以使用 Audit Manager 擷取 AWS CloudTrail 管理事件和全域服務事件,作為稽核的證據。建立或編輯自訂控制項時,您可以指定一或多個 CloudTrail 事件名稱做為證據收集的資料來源對應。然後,Audit Manager 會根據您選擇的關鍵字篩選 CloudTrail 記錄檔,並將結果匯入為使用者活動證據。
注意
Audit Manager 僅擷取管理事件和全域服務事件。資料事件和洞見事件無法作為證據。如需有關不同類型 CloudTrail 事件的詳細資訊,請參閱《AWS CloudTrail 使用指南》中的CloudTrail 概念。
除了上述情況之外,Audit Manager 不支援下列 CloudTrail 事件:
-
kms_ GenerateDataKey
-
kms_Decrypt
-
sts_ AssumeRole
-
动力视频 _ GetDataEndpoint
-
动力视频 _ GetSignalingChannelEndpoint
-
动力视频 _ DescribeSignalingChannel
-
动力视频 _ DescribeStream
自 2023 年 5 月 11 日起,Audit Manager 不再支援唯讀 CloudTrail 事件做為證據收集的關鍵字。我們總共刪除了 3,135 個唯讀關鍵字。由於客戶和 AWS 服務 兩者都對 API 進行讀取呼叫,因此唯讀事件會很雜亂。因此,唯讀關鍵字會收集許多不可靠或與稽核無關的證據。唯讀關鍵字包括List
Describe
、和 Get
API 呼叫 (例如 GetObject,ListBuckets適用於 Amazon S3)。如果您使用這些關鍵字之一來收集證據,則無需執行任何作業。系統已自動從 Audit Manager 主控台和您的評估中移除關鍵字,而且不會再為這些關鍵字收集證據。
其他資源
-
若要尋找有關此資料來源類型之證據收集問題的說明,請參閱我的評估不會從 AWS CloudTrail中收集使用者活動證據。
-
若要使用此資料來源類型建立自訂控制項,請參閱在中建立自訂控制項 AWS Audit Manager。
-
若要建立使用自訂控制項的自訂架構,請參閱在中建立自訂架構 AWS Audit Manager。
-
若要將您的自訂控制項新增至現有的自訂架構,請參閱編輯自訂架構 AWS Audit Manager。