Bewertungsberichte

Ein Bewertungsbericht fasst die ausgewählten Nachweise zusammen, die für eine Bewertung gesammelt wurden. Er enthält auch Links zu PDF-Dateien mit Einzelheiten zu den einzelnen Nachweisen. Der konkrete Inhalt, das Unternehmen und die Benennungskonvention eines Bewertungsberichts hängen von den Parametern ab, die Sie bei der Erstellung des Berichts auswählen.

Bewertungsberichte helfen Ihnen bei der Auswahl und Zusammenstellung der Nachweise, die für Ihr Audit relevant sind. Sie bewerten jedoch nicht die Richtigkeit der Nachweise selbst. Stattdessen stellt Audit Manager einfach die ausgewählten Nachweisdetails als Ausgabe bereit, die Sie mit Ihrem Prüfer teilen können.

Inhalt

• Grundlegendes zur Ordnerstruktur des Bewertungsberichts
• In einem Bewertungsbericht navigieren
• Überprüfung der Abschnitte eines Bewertungsberichts
  • Deckblatt
  • Übersichtsseite
    • Zusammenfassungsbericht
    • Zusammenfassung der Bewertung
  • Seite mit dem Inhaltsverzeichnis
  • Kontrollseite
    • Zusammenfassung der Kontrolle
    • Gesammelte Nachweise
  • Nachweisübersichtsseite
  • Seite mit den Nachweisdetails
• Validierung eines Bewertungsberichts
• Weitere Ressourcen

Grundlegendes zur Ordnerstruktur des Bewertungsberichts

Wenn Sie einen Bewertungsbericht herunterladen, erstellt Audit Manager einen ZIP-Ordner. Dieser enthält Ihren Bewertungsbericht und die zugehörigen Nachweisdateien in verschachtelten Unterordnern.

Der Zip-Ordner ist wie folgt aufgebaut:

• Bewertungsordner (Beispiel: myAssessmentName-a1b2c3d4) – Der Stammordner.

  • Ordner für Bewertungsberichte (Beispiel:reportName-a1b2c3d4e5f6g7) — Ein Unterordner, in dem Sie die AssessmentReportSummary Dateien .pdf, digest.txt und README.txt finden.

    • Ordner „Nachweise nach Kontrolle“ (Beispiel: controlName-a1b2c3d4e5f6g) – Ein Unterordner, in dem die Nachweisdateien nach der zugehörigen Kontrolle gruppiert werden.

      • Ordner „Nachweise nach Datenquellen“ (Beispiel: CloudTrail,Security Hub) – Ein Unterordner, der Nachweisdateien nach dem Datenquellentyp gruppiert.

        • Ordner „Nachweise nach Datum“ (Beispiel: 2022-07-01) – Ein Unterordner, der Nachweisdateien nach dem Datum der Nachweissammlung gruppiert.

          • Nachweisdateien – Die Dateien, die Details zu einzelnen Nachweisen enthalten.

In einem Bewertungsbericht navigieren

Öffnen Sie zunächst den ZIP-Ordner und navigieren Sie eine Ebene nach unten zum Ordner für den Bewertungsbericht. Hier finden Sie das PDF des Bewertungsberichts und die Datei README.txt.

Sie können sich die Datei README.txt ansehen, um die Struktur und den Inhalt des ZIP-Ordners zu verstehen. Sie enthält auch Bezugsinformationen zu den Namenskonventionen für jede Datei. Diese Informationen können Ihnen helfen, direkt zu einem Unterordner oder einer Nachweisdatei zu navigieren, wenn Sie nach einem bestimmten Objekt suchen.

Andernfalls öffnen Sie die PDF-Datei des Bewertungsberichts, um nach den Nachweisen zu suchen und die benötigten Informationen zu finden. Auf diese Weise erhalten Sie eine allgemeine Übersicht über den Bericht und eine Zusammenfassung der Bewertung, auf welcher der Bericht basiert.

Verwenden Sie als Nächstes das Inhaltsverzeichnis (Table of Contents, TOC), um den Bericht zu untersuchen. Sie können ein beliebiges mit einem Hyperlink verknüpftes Steuerelement im Inhaltsverzeichnis auswählen, um direkt zu einer Zusammenfassung dieser Kontrolle zu gelangen.

Wenn Sie bereit sind, die Nachweisdetails für eine Kontrolle zu überprüfen, können Sie dies tun, indem Sie den Namen des mit einem Hyperlink verknüpften Nachweises auswählen. Bei automatisierten Nachweisen öffnet der Hyperlink eine neue PDF-Datei mit Details zu diesen Nachweisen. Bei manuellen Nachweisen gelangen Sie über den Hyperlink zum S3-Bucket, der die Nachweise enthält.

Tipp

In der Breadcrumb-Navigation oben auf jeder Seite wird Ihre aktuelle Position im Bewertungsbericht angezeigt, wenn Sie nach Kontrollen und Nachweisen suchen. Wählen Sie das mit einem Hyperlink verknüpfte Inhaltsverzeichnis aus, um jederzeit zum Inhaltsverzeichnis zurückzukehren.

Überprüfung der Abschnitte eines Bewertungsberichts

Anhand der folgenden Informationen erfahren Sie mehr über die einzelnen Abschnitte eines Bewertungsberichts.

Anmerkung

Wenn Sie in den folgenden Abschnitten neben einem der Attribute einen Bindestrich (-) sehen, bedeutet dies, dass der Wert dieses Attributs Null ist oder kein Wert existiert.

• Deckblatt

• Übersichtsseite

• Seite mit dem Inhaltsverzeichnis

• Kontrollseite

• Nachweisübersichtsseite

• Seite mit den Nachweisdetails

Deckblatt

Das Deckblatt enthält den Namen des Bewertungsberichts. Außerdem werden Datum und Uhrzeit der Erstellung des Berichts sowie die Konto-ID des Benutzers angezeigt, der den Bericht erstellt hat.

Das Deckblatt ist wie folgt formatiert. Audit Manager ersetzt die Platzhalter durch die Informationen, die für Ihren Bericht relevant sind.

Assessment report name
Report generated on MM/DD/YYYY at HH:MM:SS AM/PM UCT by AccountID

Übersichtsseite

Die Übersichtsseite besteht aus zwei Teilen: einer Zusammenfassung des Berichts selbst und einer Zusammenfassung der Bewertung, über die berichtet wird.

Zusammenfassungsbericht

In diesem Abschnitt wird der Bewertungsbericht zusammengefasst.

Name	Beschreibung
Name des Berichts	Der Name des Berichts.
Beschreibung	Die Beschreibung, die vom Prüfungsverantwortlichen bei der Erstellung des Berichts eingegeben wurde.
Datum der Generierung	Das Datum, an dem der Bericht generiert wurde. Die Zeit wird im UTC-Format (Coordinated Universal Time) dargestellt.
Kontrollen insgesamt enthalten	Die Anzahl der Kontrollen, die im Bericht enthalten sind und für die Beweise gesammelt wurden. Dies ist eine Teilmenge der Gesamtzahl der Kontrollen in der Bewertung.
AWS-Konten enthalten	Die Anzahl derer AWS-Konten , die im Bericht enthalten sind und Beweise gesammelt haben. Dies ist ein Teil der Gesamtzahl der AWS-Konten in der Bewertung enthaltenen.
Auswahl des Bewertungsberichts	Die Anzahl der Nachweise, die für die Aufnahme in den Bericht ausgewählt wurden. Dies beinhaltet die Gesamtzahl der im Bericht festgestellten Probleme bei der Konformitätsprüfung.

Zusammenfassung der Bewertung

In diesem Abschnitt wird der Bewertungsbericht zusammengefasst.

Name	Beschreibung
Name der Bewertung	Der Name der Bewertung, anhand derer der Bericht erstellt wurde.
Status	Der Status der Bewertung zum Zeitpunkt der Erstellung des Berichts.
Region der Bewertung	Die AWS-Region , in der die Bewertung erstellt wurde.
AWS-Konten im Geltungsbereich	Die Liste AWS-Konten davon ist Teil der Bewertung.
Name des Frameworks	Der Name des Frameworks, aus dem die Bewertung erstellt wurde.
Inhaber des Audits	Der Benutzer oder die Rolle der Prüfungsverantwortlichen der Bewertung.
Letzte Aktualisierung	Das Datum, an dem die Bewertung zuletzt aktualisiert wurde. Die Uhrzeit wird in UTC dargestellt.

Seite mit dem Inhaltsverzeichnis

Das Inhaltsverzeichnis zeigt den vollständigen Inhalt des Bewertungsberichts. Die Inhalte werden auf der Grundlage der Kontrollsätze, die in der Bewertung enthalten sind, gruppiert und organisiert. Die Kontrollen sind unter dem jeweiligen Kontrollsatz aufgeführt.

Wählen Sie ein beliebiges Element im Inhaltsverzeichnis aus, um direkt zu diesem Abschnitt des Berichts zu gelangen. Sie können entweder einen Kontrollsatz auswählen oder direkt zu einer Kontrolle wechseln.

Kontrollseite

Die Kontrollseite besteht aus zwei Teilen: einer Zusammenfassung der Kontrolle selbst und einer Zusammenfassung der Nachweise, die für die Kontrolle gesammelt wurden.

Zusammenfassung der Kontrolle

Dieser Abschnitt enthält folgende Informationen.

Name	Beschreibung
Name des Steuerelements	Der Name des Steuerelements.
Beschreibung	Die Beschreibung des Steuerelements.
Steuersatz	Der Name des Kontrollsatzes, zu dem das Steuerelement gehört.
Informationen werden getestet	Die empfohlenen Testverfahren für diese Kontrolle.
Aktionsplan	Die empfohlenen Maßnahmen, die durchgeführt werden müssen, wenn die Kontrolle nicht erfüllt ist.
Auswahl des Bewertungsberichts	Die Anzahl der Nachweise im Zusammenhang mit dieser Kontrolle, die in den Bewertungsbericht aufgenommen wurden. Dies beinhaltet die Anzahl der Probleme bei der Konformitätsprüfung, die bei den Nachweisen dieser Kontrolle festgestellt wurden.

Gesammelte Nachweise

In diesem Abschnitt werden die Nachweise aufgeführt, die für die Kontrolle gesammelt wurden. Die Beweise sind nach Ordnern gruppiert, die nach dem Datum der Beweiserhebung geordnet und benannt sind. Neben dem Namen jedes Beweisordners steht die Gesamtzahl der Probleme mit der Konformitätsprüfung für diesen Ordner.

Unter dem Namen jedes Beweisordners befindet sich eine Liste aus Hyperlinks mit Nachweisnamen.

• Namen automatisierter Beweise beginnen mit einem Zeitstempel für die Beweiserhebung, gefolgt vom Servicecode, dem Ereignisnamen (bis zu 20 Zeichen), der Konto-ID und einer eindeutigen 12-stelligen eindeutigen ID.

  Beispiel: 21-30-24_IAM_CreateUser_111122223333_a1b2c3d4e5f6

  Bei automatisierten Nachweisen öffnet der Name mit dem Hyperlink eine neue PDF-Datei mit einer Zusammenfassung und weiteren Details.

• Namen manueller Nachweise beginnen mit einem Zeitstempel für das Hochladen von Nachweisen, gefolgt von der Bezeichnung manual, der Konto-ID und einer 12-stelligen eindeutigen ID. Sie enthalten auch die ersten 10 Zeichen des Dateinamens und die Dateierweiterung (bis zu 10 Zeichen).

  Beispiel: 00-00-00_manual_111122223333_a1b2c3d4e5f6_myimage.png

  Bei manuellen Nachweisen gelangen Sie über den Hyperlinknamen zu dem S3-Bucket, der diese Nachweise enthält.

Neben dem Namen jedes Nachweises steht das Ergebnis der Konformitätsprüfung für dieses Element.

• Bei automatisierten Nachweisen, die von AWS Security Hub oder gesammelt wurden AWS Config, wird ein konformes, nicht konformes oder nicht schlüssiges Ergebnis gemeldet.

• Bei automatisierten Nachweisen, die anhand von AWS CloudTrail API-Aufrufen gesammelt wurden, und bei allen manuellen Nachweisen wird das Ergebnis „Nicht eindeutig“ angezeigt.

Nachweisübersichtsseite

Die Seite mit der Zusammenfassung der Beweise enthält die folgenden Informationen.

Name	Beschreibung
ID (ID)	Die eindeutige Kennung für die Beweise.
Datum der Erfassung	Das Datum, an dem die Beweise erstellt oder hochgeladen wurden.
Beschreibung	Eine Beschreibung der Beweise, einschließlich der Konto-ID und des Datenquellentyps.
Name der Bewertung	Der Name der Bewertung, anhand derer der Bericht erstellt wurde.
Name des Frameworks	Der Name des Frameworks, aus dem die Bewertung erstellt wurde.
Name des Steuerelements	Der Name der Kontrolle, die durch die Beweise gestützt wird.
Name des Kontrollsatzes	Der Name des Kontrollsatzes, zu dem das zugehörige Steuerelement gehört.
Beschreibung des Steuerelements	Die Beschreibung der Kontrolle, die durch die Beweise gestützt wird.
Informationen zum Testen	Die empfohlenen Testverfahren für die Kontrolle.
Aktionsplan	Die empfohlenen Maßnahmen, die durchgeführt werden müssen, wenn die Kontrolle nicht erfüllt ist.
AWS-Region	Der Name der Region, die mit den Beweisen verknüpft ist.
ICH BIN ID	Der ARN des Benutzers oder der Rolle, die mit den Nachweisen verknüpft ist.
AWS-Konto	Die AWS-Konto ID, die den Beweisen zugeordnet ist.
AWS-Service	Der Name der Person AWS-Service , die mit den Beweisen verknüpft ist.
Ereignisname	Der Name des Beweisereignisses.
Ereigniszeit	Der Zeitpunkt, zu dem das Beweisereignis eingetreten ist.
Datenquelle	Von wo aus die Beweise gesammelt oder hochgeladen wurden. Der Datenquellentyp kann entweder AWS Config Security Hub, AWS API-Aufrufe oder Manuell sein. CloudTrail
Nachweise nach Typ	Die Kategorie der Beweise Nachweise zur Konformitätsprüfung werden von AWS Config unserem Security Hub gesammelt. Nachweise zu Benutzeraktivitäten werden anhand von CloudTrail Protokollen gesammelt. Der Nachweis von Konfigurationsdaten wird anhand von Schnappschüssen anderer AWS-Services Daten gesammelt. Manuelle Beweise sind Beweise, die Sie manuell hochladen.
Status der Konformitätsprüfung	Der Status der Bewertung von Nachweisen, die unter die Kategorie Konformitätsprüfung fallen. Bei automatisierten Nachweisen, die anhand von AWS Security Hub oder gesammelt wurden AWS Config, wird ein konformes, nicht konformes oder nicht schlüssiges Ergebnis gemeldet. Bei automatisierten Nachweisen, die anhand von AWS CloudTrail API-Aufrufen gesammelt wurden, und bei allen manuellen Nachweisen wird das Ergebnis „Nicht eindeutig“ angezeigt.

Seite mit den Nachweisdetails

Auf der Seite mit den Nachweisdetails werden der Name der Nachweise und eine Tabelle mit den Nachweisdetails angezeigt. Diese Tabelle enthält eine detaillierte Aufschlüsselung der einzelnen Nachweiselemente, sodass Sie die Daten verstehen und überprüfen können, ob sie korrekt sind. Je nach Datenquelle der Nachweise variiert der Inhalt der Seite mit den Nachweisdetails.

Tipp

Die Breadcrumb-Navigation oben auf jeder Seite zeigt Ihren aktuellen Standort an, wenn Sie die Details zu den Nachweisen durchsuchen. Wählen Sie Zusammenfassung der Nachweise aus, um jederzeit zur Zusammenfassung der Nachweise zurückzukehren.

Validierung eines Bewertungsberichts

Wenn Sie einen Bewertungsbericht generieren, erstellt Audit Manager eine Prüfsumme für die Berichtsdatei mit dem Namen digest.txt. Sie können diese Datei verwenden, um die Integrität des Berichts zu überprüfen und sicherzustellen, dass nach der Erstellung des Berichts keine Nachweise mehr geändert wurden. Sie enthält ein JSON-Objekt mit Signaturen und Hashes, die ungültig werden, wenn ein Teil des Berichtsarchivs geändert wird.

Verwenden Sie die von Audit Manager bereitgestellte ValidateAssessmentReportIntegrityAPI, um die Integrität eines Bewertungsberichts zu überprüfen.

Weitere Ressourcen

Antworten auf häufig gestellte Fragen und Probleme finden Sie Behebung von Bewertungsberichtfehlern im Abschnitt zur Fehlerbehebung in diesem Handbuch.