本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
了解如何 AWS Audit Manager 收集證據
中的每個主動評估都 AWS Audit Manager 會自動收集來自一系列資料來源的證據。在每項評估中,您可以定義哪個 AWS 帳戶 Audit Manager 將收集證據,而稽核管理員則會管理範圍內的哪 AWS 服務 些項目。這些服務和帳戶中的每一個都包含您擁有和使用的多個資源。Audit Manager 中的證據收集涉及對每個範圍內資源的評估。這稱為資源評估。
下列步驟說明 Audit Manager 如何為各資源評估收集證據:
1. 從資料來源評估資源
啟動收集證據時,Audit Manager 會從資料來源對範圍內的資源進行評估。它會擷取組態快照集、相關符合性檢查結果或使用者活動來達成此目的。然後執行分析,以判斷此資料支援哪個控制項。資源評估的結果將被保存,並轉換為證據。如需不同證據類型的詳細資訊,請參閱evidence本指南的AWS Audit Manager 概念與術語一節。
2. 將評估結果轉換為證據
資源評估的結果包含從該資源擷取的原始資料,以及指示資料支援哪些控制項的中繼資料。Audit Manager 會將原始資料轉換為易於稽核的格式。接著,轉換後的資料和中繼資料會儲存為 Audit Manager 證據,再附加至控制項。
3. 將證據附加至相關控制項
Audit Manager 會讀取證據中繼資料。然後會將儲存的證據附加至評估中的相關控制項。附加的證據會在 Audit Manager 中顯示。如此一來,就完成了資源評估的週期。
注意
視控制項組態而定,在某些情況下,相同的證據可以附加至來自多個 Audit Manager 評估的多個控制項。當相同的證據附加到多個控制項時,Audit Manager 只會測量一次資源評估。這是因為相同的證據只會收集一次。然而,Audit Manager 評估中的一個控制項可以有來自多個資料來源的多項證據。
證據收集頻率
證據收集程序為持續過程,會在您建立評估時開始。Audit Manager 會以不同頻率從多個資料來源收集證據。因此,對於收集證據的頻率沒有 one-size-fits-all 答案。證據收集的頻率取決於證據類型及其資料來源,如下所述。
-
符合性檢查 — Audit Manager 會從 AWS Security Hub 和收集此證據類型 AWS Config。
-
對於 Security Hub,證據收集遵循 Security Hub 檢查的時間表。如需有關 Security Hub 檢查排程的詳細資訊,請參閱 AWS Security Hub 使用指南中的執行安全檢查排程。如需 Audit Manager 支援之 Security Hub 檢查的詳細資訊,請參閱AWS Security Hub 支援的控制項 AWS Audit Manager。
-
對於 AWS Config,證據收集遵循 AWS Config 規則中定義的觸發程序。如需有關 AWS Config 規則觸發的詳細資訊,請參閱 AWS Config 使用指南中的觸發類型。如需「 AWS Config 規則 Audit Manager」所支援的詳細資訊,請參閱AWS Config 規則 支持 AWS Audit Manager。
-
-
使用者活動 — Audit Manager 會以持續的方式收集此證明類型。 AWS CloudTrail 這個頻率是連續的,因為使用者活動可以在一天中的任何時間發生。如需詳細資訊,請參閱AWS CloudTrail 支援的事件名稱 AWS Audit Manager。
-
組態資料 — Audit Manager 使用對 Amazon EC2、Amazon S3 或 AWS 服務 等其他證據的描述API呼叫來收集此證據類型IAM。您可以選擇要調用的API操作。您也可以在 Audit Manager 中將頻率設定為每日、每週或每月。您可以在控制項資源庫中建立或編輯控制項時,指定此頻率。如需關於編輯與建立控制項的說明,請參閱 使用控制項程式庫管理控制項 AWS Audit Manager。如需 Audit Manager 支援之API呼叫的詳細資訊,請參閱AWS 支援的 API 呼叫 AWS Audit Manager。
無論資料來源的證據收集頻率為何,只要控制項和評估處於有效狀態,就會自動收集新證據。
