尋找証据, 在, 証据, 發現者 - AWS Audit Manager
必要條件程序後續步驟其他資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

尋找証据, 在, 証据, 發現者

您可以使用證據查找器執行有針對性的搜索,並快速顯示相關證據以供審查。

在此頁面上,您將瞭解如何依評估、日期範圍、資源合規性狀態和其他屬性等條件篩選搜尋。套用這些篩選條件可將搜尋範圍縮小為您需要的證據。您也可以按特定欄位對結果進行分組,以便更好地分析模式。

必要條件

請確定您已完成在 Audit Manager 設定中啟用證據搜尋工具的步驟。如需說明,請參閱啟用證據搜尋工具

此外,請確保您具有在證據查找器中執行搜索查詢的權限。如需您可以使用的權限原則範例,請參閱允許使用者在證據搜尋工具中執行搜索查詢

程序

請依照下列步驟在 Audit Manager 主控台中搜尋證據。

  1. 執行搜尋查詢

  2. 停止進行中的搜尋查詢 (選用)

  3. 編輯搜尋查詢的篩選條件 (選用)

注意

您也可以使用 CloudTrail API來查詢您的證據資料。如需詳細資訊,請參閱〈AWS CloudTrail API參考StartQuery中的〈〉。如果您偏好使用 AWS CLI,請參閱「使用AWS CloudTrail 者指南」中的「啟動查詢」。

請按照以下步驟,在證據搜尋工具中執行搜尋查詢。

要搜尋證據

  1. https://console.aws.amazon.com/auditmanager/首頁開啟 AWS Audit Manager 主控台。

  2. 在導覽窗格中,選擇證據搜尋工具

  3. 接下來,套用篩選條件以縮小搜尋範圍。

    1. 針對評估,選擇評估。

    2. 日期範圍選取範圍。

    3. 針對資源合規性,選取評估狀態。

    證據搜尋工具中所需的評估、日期範圍和資源合規性篩選條件。

  4. (選用) 選擇其他篩選條件 - 選用以進一步縮小搜尋範圍。

    1. 選擇新增條件,選取條件,然後為該條件選取一或多個值。

    2. 繼續以相同的方式提出更多篩選條件。

    3. 若要移除不想要的篩選條件,請選擇移除

    證據搜尋工具中特定控制項的其他篩選條件。

  5. 分組底下,指定是否要將搜尋結果分組。

    1. 如果想對結果進行分組,請選取一個值作為分組結果依據。

    2. 如果您不想對結果進行分組,請繼續執行步驟 6。

    已選取分組結果選項,並按照數值選取群組。

  6. 選擇 Search (搜尋)。

    用於在證據搜尋工具中啟動搜尋查詢的搜尋按鈕。

您的搜尋可能需要幾分鐘的時間,視您擁有的證據資料量而定。在搜尋過程中,您可以隨時離開證據搜尋工具。備妥搜尋結果時,即會出現閃光列通知您。

如果您因為任何理由而想要停止搜尋查詢,請依照下列步驟執行。

注意

停止搜尋查詢仍可能會產生費用。停止搜尋查詢之前,即會依掃描的證據資料量向您收取費用。停止後,您可以檢視傳回的部分結果。

若要停止進行中的搜尋查詢

  1. 在螢幕上方的藍色進度閃光列中,選擇停止搜尋

    藍色閃光列即表示搜尋查詢進行中。

  2. (選用) 檢閱停止搜尋查詢之前傳回的部分結果。

    1. 如果您在證據搜尋工具頁面上,螢幕上會顯示部分結果。

    2. 如果您離開證據搜尋工具,請在綠色確認閃光列中選擇檢視部分結果

    綠色閃光列即表示已停止搜尋。

請依照下列步驟返回最近的搜尋查詢,並視需要調整篩選條件。

注意

您編輯篩選條件並選擇搜尋時,這即會啟動新的搜尋查詢。

若要編輯最近的搜尋查詢

  1. 檢視結果頁面中,從頁面導覽路徑導覽選單中選取證據搜尋工具

    控制台上的導航導航菜單突出顯示證據查找器。

  2. 選擇篩選條件和分組以展開篩選條件選項。

    證據搜尋工具的可擴充篩選器和分組部分。

  3. 接下來,編輯篩選條件或開始新的搜尋。

    1. 若要編輯篩選條件,請調整或移除目前的篩選條件和分組選項。

    2. 若要重新開始,請選擇清除篩選條件,然後套用您選擇的篩選條件和分組選項。

    清除篩選條件按鈕,您可以用來重新開始新的搜尋查詢。

  4. 完成後,請選擇搜尋

    用於在證據搜尋工具中啟動新的搜尋查詢的搜尋按鈕。

後續步驟

搜尋完成後,您可以檢視符合搜尋條件的結果。如需說明,請參閱在證據搜尋工具中檢視結果

其他資源