本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS CloudTrail 支援的事件名稱 AWS Audit Manager
您可以使用 Audit Manager 擷取 AWS CloudTrail 管理事件和全域服務事件,作為稽核的證據。建立或編輯自訂控制項時,您可以指定一或多個 CloudTrail 事件名稱做為證據收集的資料來源對應。然後,Audit Manager 會根據您選擇的關鍵字篩選 CloudTrail 記錄檔,並將結果匯入為使用者活動證據。
注意
Audit Manager 僅擷取管理事件和全域服務事件。資料事件和洞見事件無法作為證據。如需有關不同類型 CloudTrail 事件的詳細資訊,請參閱《AWS CloudTrail 使用指南》中的CloudTrail 概念。
除了上述情況之外,Audit Manager 不支援下列 CloudTrail 事件:
-
kms_ GenerateDataKey
-
kms_Decrypt
-
sts_ AssumeRole
-
动力视频 _ GetDataEndpoint
-
动力视频 _ GetSignalingChannelEndpoint
-
动力视频 _ DescribeSignalingChannel
-
动力视频 _ DescribeStream
自 2023 年 5 月 11 日起,Audit Manager 不再支援唯讀 CloudTrail 事件做為證據收集的關鍵字。我們總共刪除了 3,135 個唯讀關鍵字。由於客戶和 AWS 服務 兩者都對 API 進行讀取呼叫,因此唯讀事件會很雜亂。因此,唯讀關鍵字會收集許多不可靠或與稽核無關的證據。唯讀關鍵字包括List
Describe
、和 Get
API 呼叫 (例如 GetObject,ListBuckets適用於 Amazon S3)。如果您使用這些關鍵字之一來收集證據,則無需執行任何作業。系統已自動從 Audit Manager 主控台和您的評估中移除關鍵字,而且不會再為這些關鍵字收集證據。
其他資源
-
若要尋找有關此資料來源類型之證據收集問題的說明,請參閱我的評估不會從 AWS CloudTrail中收集使用者活動證據。
-
若要使用此資料來源類型建立自訂控制項,請參閱在中建立自訂控制項 AWS Audit Manager。
-
若要建立使用自訂控制項的自訂架構,請參閱在中建立自訂架構 AWS Audit Manager。
-
若要將您的自訂控制項新增至現有的自訂架構,請參閱編輯自訂架構 AWS Audit Manager。