本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
了解如何 AWS Audit Manager 收集證據
中的每個主動評估 AWS Audit Manager 自動從一系列資料來源收集證據。在每個評估中,您可以定義哪些 AWS 帳戶 Audit Manager 將收集證據,並且 Audit Manager 負責管理 AWS 服務 在範圍內。這些服務和帳戶中的每一個都包含您擁有和使用的多個資源。Audit Manager 中的證據收集涉及對每個範圍內資源的評估。這稱為資源評估。
下列步驟說明 Audit Manager 如何為各資源評估收集證據:
1. 從資料來源評估資源
啟動收集證據時,Audit Manager 會從資料來源對範圍內的資源進行評估。它會擷取組態快照集、相關符合性檢查結果或使用者活動來達成此目的。然後執行分析,以判斷此資料支援哪個控制項。資源評估的結果將被保存,並轉換為證據。如需有關不同證據類型的詳細資訊,請參閱evidence中的 AWS Audit Manager 本指南的概念和術語部分。
2. 將評估結果轉換為證據
資源評估的結果包含從該資源擷取的原始資料,以及指示資料支援哪些控制項的中繼資料。Audit Manager 會將原始資料轉換為易於稽核的格式。接著,轉換後的資料和中繼資料會儲存為 Audit Manager 證據,再附加至控制項。
3. 將證據附加至相關控制項
Audit Manager 會讀取證據中繼資料。然後會將儲存的證據附加至評估中的相關控制項。附加的證據會在 Audit Manager 中顯示。如此一來,就完成了資源評估的週期。
注意
視控制項組態而定,在某些情況下,相同的證據可以附加至來自多個 Audit Manager 評估的多個控制項。當相同的證據附加到多個控制項時,Audit Manager 只會測量一次資源評估。這是因為相同的證據只會收集一次。然而,Audit Manager 評估中的一個控制項可以有來自多個資料來源的多項證據。
證據收集頻率
證據收集程序為持續過程,會在您建立評估時開始。Audit Manager 會以不同頻率從多個資料來源收集證據。因此,對於收集證據的頻率沒有 one-size-fits-all 答案。證據收集的頻率取決於證據類型及其資料來源,如下所述。
-
符合性檢查 — Audit Manager 從中收集此證據類型 AWS Security Hub 以及 AWS Config.
-
對於 Security Hub,證據收集遵循 Security Hub 檢查的時間表。如需有關 Security Hub 檢查排程的詳細資訊,請參閱中的執行安全性檢查排程 AWS Security Hub 使用者指南。如需 Audit Manager 支援之 Security Hub 檢查的詳細資訊,請參閱AWS Security Hub 支援的控制項 AWS Audit Manager。
-
用於 AWS Config,證據收集遵循您在中定義的觸發器 AWS Config 規則。如需有關的觸發程式的詳細資訊 AWS Config 規則,請參閱 AWS Config 使用者指南。有關的更多信息 AWS Config 規則 Audit Manager 支援,請參閱AWS Config 規則 支持 AWS Audit Manager。
-
-
使用者活動 — Audit Manager 從中收集此證據類型 AWS CloudTrail 以持續的方式。這個頻率是連續的,因為使用者活動可以在一天中的任何時間發生。如需詳細資訊,請參閱AWS CloudTrail 支援的事件名稱 AWS Audit Manager。
-
配置資料 — Audit Manager 使用描述API呼叫另一個證據類型來收集此證據類型 AWS 服務 如 AmazonEC2,Amazon S3 或IAM. 您可以選擇要調用的API操作。您也可以在 Audit Manager 中將頻率設定為每日、每週或每月。您可以在控制項資源庫中建立或編輯控制項時,指定此頻率。如需關於編輯與建立控制項的說明,請參閱 使用控制項程式庫管理控制項 AWS Audit Manager。如需 Audit Manager 支援之API呼叫的詳細資訊,請參閱AWS 支援的 API 呼叫 AWS Audit Manager。
無論資料來源的證據收集頻率為何,只要控制項和評估處於有效狀態,就會自動收集新證據。
