Verstehen AWS Audit Manager Konzepte und Terminologie

Bewertung

Sie können eine Audit Manager-Bewertung verwenden, um automatisch Beweise zu erheben, die für ein Audit relevant sind.

Eine Bewertung basiert auf einem Framework, bei dem es sich um eine Gruppierung von Kontrollen handelt, die sich auf Ihr Audit beziehen. Sie können eine Bewertung anhand eines Standard-Frameworks oder eines benutzerdefinierten Frameworks erstellen. Standard-Frameworks enthalten vorgefertigte Kontrollsätze, die einen bestimmten Compliance-Standard oder eine bestimmte Compliance-Verordnung unterstützen. Im Gegensatz dazu enthalten benutzerdefinierte Frameworks Steuerelemente, die Sie entsprechend Ihren spezifischen Prüfanforderungen anpassen und gruppieren können. Wenn Sie ein Framework als Ausgangspunkt verwenden, können Sie eine Bewertung erstellen, die Folgendes spezifiziert AWS-Konten die Sie in den Umfang Ihrer Prüfung einbeziehen möchten.

Wenn Sie eine Bewertung erstellen, beginnt Audit Manager automatisch mit der Bewertung der Ressourcen in Ihrem AWS-Konten basierend auf den Kontrollen, die im Framework definiert sind. Als Nächstes erhebt er die relevanten Beweise und wandelt sie in ein prüferfreundliches Format um. Danach fügt er die Beweise den Kontrollen in Ihrer Bewertung bei. Wenn es Zeit für ein Audit ist, können Sie – oder ein Delegierter Ihrer Wahl – die erhobenen Beweise überprüfen und sie dann einem Bewertungsbericht hinzufügen. Mit diesem Bewertungsbericht können Sie nachweisen, dass Ihre Kontrollen wie vorgesehen funktionieren.

Die Erhebung von Beweisen ist ein fortlaufender Prozess, der mit der Erstellung Ihrer Bewertung beginnt. Sie können die Beweissuche beenden, indem Sie den Bewertungsstatus auf inaktiv ändern. Alternativ können Sie die Beweissuche auf Kontrollebene beenden. Sie können dies tun, indem Sie den Status einer bestimmten Kontrolle in Ihrer Bewertung auf inaktiv ändern.

Anweisungen zum Erstellen und Verwalten von Bewertungen finden Sie unter Verwaltung von Bewertungen in AWS Audit Manager.

Bewertungsbericht

Ein Bewertungsbericht ist ein abgeschlossenes Dokument, das auf der Grundlage einer Bewertung durch den Audit Manager generiert wird. Diese Berichte fassen die relevanten Beweise zusammen, die für Ihr Audit erhoben wurden. Sie sind mit den entsprechenden Beweisordnern verknüpft. Die Ordner sind entsprechend den Kontrollen benannt und organisiert, die in Ihrer Bewertung festgelegt wurden. Für jede Bewertung können Sie die von Audit Manager erhobenen Beweise überprüfen und entscheiden, welche Beweise Sie in den Bewertungsbericht aufnehmen möchten.

Weitere Informationen über Bewertungsberichte finden Sie unter Bewertungsberichte. Informationen zur Erstellung eines Bewertungsberichts finden Sie unter Erstellung eines Bewertungsberichts in AWS Audit Manager.

Zielort des Bewertungsberichts

Ein Zielort für Bewertungsberichte ist der standardmäßige S3-Bucket, in dem Audit Manager Ihre Bewertungsberichte speichert. Weitere Informationen hierzu finden Sie unter Konfiguration Ihres Standardziels für Bewertungsberichte.

Audit

Ein Audit ist eine unabhängige Prüfung der Vermögenswerte, der Abläufe oder der Geschäftsintegrität Ihres Unternehmens. Bei einem Informationstechnologie-Audit (IT-Audit) werden speziell die Kontrollen innerhalb der Informationssysteme Ihres Unternehmens untersucht. Das Ziel eines IT-Audits besteht darin, festzustellen, ob Informationssysteme Vermögenswerte schützen, effektiv funktionieren und die Datenintegrität wahren. All dies ist wichtig, um die regulatorischen Anforderungen zu erfüllen, die durch einen Compliance-Standard oder eine Verordnung vorgeschrieben sind.

Audit-Verantwortlicher

Der Begriff Audit-Verantwortlicher hat je nach Kontext zwei verschiedene Bedeutungen.

Im Kontext von Audit Manager ist ein Audit-Verantwortlicher ein Benutzer oder eine Rolle, die eine Bewertung und die zugehörigen Ressourcen handhabt. Zu den Aufgaben dieser Person als Audit-Verantwortlicher gehören die Erstellung von Bewertungen, die Überprüfung von Beweisen und die Erstellung von Bewertungsberichten. Audit Manager ist ein kollaborativer Service, und Audit-Verantwortlicher profitieren davon, wenn andere Interessengruppen an ihren Bewertungen teilnehmen. Sie können beispielsweise weitere Audit-Verantwortlicher zu Ihrer Bewertung hinzufügen, um gemeinsam Verwaltungsaufgaben zu übernehmen. Oder, wenn Sie ein Audit-Verantwortlicher sind und Hilfe bei der Interpretation der für eine Kontrolle erhobenen Beweise benötigen, können Sie diesen Kontrollsatz an einen Beteiligten delegieren, der über Fachkenntnisse in diesem Bereich verfügt. Eine solche Person wird als Delegierter bezeichnet.

In geschäftlicher Hinsicht ist ein Audit-Verantwortlicher jemand, der die Bemühungen seines Unternehmens zur Vorbereitung auf die Prüfung koordiniert und überwacht und einem Prüfer Beweise vorlegt. In der Regel handelt es sich dabei um einen Experten für Unternehmensführung, Risiko und Compliance (GRC), z. B. ein Compliance-Beauftragter oder ein GDPR Datenschutzbeauftragter. GRCFachleute verfügen über das Fachwissen und die Befugnis, die Prüfungsvorbereitung zu verwalten. Insbesondere verstehen sie die Compliance-Anforderungen und können Berichtsdaten analysieren, interpretieren und aufbereiten. Andere Geschäftsrollen können jedoch auch die Rolle eines Prüfungsleiters übernehmen — nicht nur GRC Fachleute übernehmen diese Rolle. Sie könnten sich beispielsweise dafür entscheiden, Ihre Audit-Manager-Bewertungen von einem technischen Experten aus einem der folgenden Teams einrichten und verwalten zu lassen:

SecOps
IT/ DevOps
Security Operations Center/Incident Response
Ähnliche Teams, die Cloud-Ressourcen besitzen, entwickeln, korrigieren und bereitstellen und die Cloud-Infrastruktur Ihres Unternehmens verstehen

Wen Sie in Ihrer Audit-Manager-Bewertung als Audit-Verantwortlichen benennen, hängt stark von Ihrer Organisation ab. Es hängt auch davon ab, wie Sie Ihre Sicherheitsabläufe strukturieren und wie das Audit konkret abläuft. In Audit Manager kann dieselbe Person in einer Prüfung die Rolle des Audit-Verantwortlichen und in einer anderen die Rolle des Delegierten annehmen.

Unabhängig davon, wie Sie Audit Manager verwenden, können Sie die Aufgabentrennung in Ihrem Unternehmen verwalten, indem Sie die Rolle des Prüfinhabers/Delegierten verwenden und jedem Benutzer spezifische IAM Richtlinien zuweisen. Durch diesen zweistufigen Ansatz stellt Audit Manager sicher, dass Sie die volle Kontrolle über alle Einzelheiten einer individuellen Bewertung haben. Weitere Informationen finden Sie unter Empfohlene Richtlinien für Benutzerrollen in AWS Audit Manager.

AWS verwaltete Quelle

Importieren in &S3; AWS Eine verwaltete Quelle ist eine Beweisquelle, die AWS verwaltet für Sie.

Jeder AWS Eine verwaltete Quelle ist eine vordefinierte Gruppierung von Datenquellen, die einem bestimmten gemeinsamen Steuerelement oder zentralen Steuerelement zugeordnet ist. Wenn Sie ein gemeinsames Steuerelement als Beweisquelle verwenden, sammeln Sie automatisch Beweise für alle Kernkontrollen, die dieses gemeinsame Steuerelement unterstützen. Sie können auch einzelne Kernkontrollen als Beweisquelle verwenden.

Wann immer ein AWS Wenn die verwaltete Quelle aktualisiert wird, werden dieselben Updates automatisch auf alle benutzerdefinierten Steuerelemente angewendet, die diese verwenden AWS verwaltete Quelle. Das bedeutet, dass Ihre benutzerdefinierten Steuerelemente Beweise anhand der neuesten Definitionen dieser Beweisquelle sammeln. Auf diese Weise können Sie die kontinuierliche Einhaltung der Vorschriften sicherstellen, wenn sich die Cloud-Compliance-Umgebung ändert.

Siehe auch:customer managed source,evidence source.

Änderungsprotokoll

Für jede Kontrolle in einer Bewertung verfolgt Audit Manager die Benutzeraktivitäten für diese Kontrolle. Anschließend können Sie einen Audit Trail mit Aktivitäten überprüfen, die sich auf eine bestimmte Kontrolle beziehen. Weitere Informationen darüber, welche Benutzeraktivitäten im Changelog erfasst werden, finden Sie unterRegisterkarte „Änderungsprotokoll“.

Cloud-Compliance

Cloud-Compliance ist der allgemeine Grundsatz, dass in der Cloud bereitgestellte Systeme den Standards entsprechen müssen, mit denen Cloud-Kunden konfrontiert sind.

Gemeinsame Steuerung

Siehe control.

Compliance-Vorschriften

Eine Compliances-Vorschrift ist ein Gesetz, eine Regel oder eine andere Anordnung, die von einer Behörde vorgeschrieben wird, in der Regel zur Regulierung des Verhaltens. Ein Beispiel istGDPR.

Compliance-Standard

Ein Compliance-Standard ist ein strukturierter Satz von Richtlinien, in denen die Prozesse eines Unternehmens zur Einhaltung festgelegter Vorschriften, Spezifikationen oder Gesetze detailliert beschrieben werden. Beispiele hierfür sind PCI DSS undHIPAA.

Kontrolle

Eine Kontrolle ist eine Schutz- oder Gegenmaßnahme, die für ein Informationssystem oder ein Unternehmen vorgeschrieben ist. Kontrollen dienen dazu, die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Informationen zu schützen und eine Reihe definierter Anforderungen zu erfüllen. Sie bieten die Gewissheit, dass Ihre Ressourcen wie vorgesehen funktionieren, Ihre Daten zuverlässig sind und Ihr Unternehmen die geltenden Gesetze und Vorschriften einhält.

In Audit Manager kann eine Kontrolle auch eine Frage in einem Fragebogen zur Lieferantenrisikobewertung darstellen. In diesem Fall handelt es sich bei einer Kontrolle um eine konkrete Frage, mit der Informationen zum Sicherheits- und Compliance-Status eines Unternehmens abgefragt werden.

Kontrollen erheben kontinuierlich Beweise, wenn sie in Ihren Audit Manager-Bewertungen aktiv sind. Sie können zu jeder Kontrolle auch manuell Beweise hinzufügen. Bei jedem Nachweis handelt es sich um eine Aufzeichnung, anhand derer Sie die Einhaltung der Kontrollanforderungen nachweisen können.

Audit Manager bietet die folgenden Arten von Kontrollen:

Art der Kontrolle	Beschreibung
Gemeinsame Steuerung	Sie können sich eine gemeinsame Kontrolle als eine Maßnahme vorstellen, die Ihnen hilft, ein Kontrollziel zu erreichen. Da gemeinsame Kontrollen nicht spezifisch für einen Compliance-Standard sind, helfen sie Ihnen dabei, Nachweise zu sammeln, die eine Reihe sich überschneidender Compliance-Verpflichtungen belegen können. Nehmen wir zum Beispiel an, wir haben ein Kontrollziel namens Datenklassifizierung und -verarbeitung. Um dieses Ziel zu erreichen, könnten Sie eine gemeinsame Steuerung namens Zugriffskontrollen implementieren, um unbefugten Zugriff auf Ihre Ressourcen zu überwachen und zu erkennen. Automatisierte gemeinsame Kontrollen sammeln Beweise für Sie. Sie bestehen aus einer Gruppierung einer oder mehrerer verwandter Kernkontrollen. Jede dieser Kernkontrollen sammelt wiederum automatisch relevante Nachweise aus einer vordefinierten Gruppe von AWS Datenquellen. AWS verwaltet diese zugrunde liegenden Datenquellen für Sie und aktualisiert sie, wenn sich Vorschriften und Standards ändern und neue Datenquellen identifiziert werden. Bei den üblichen manuellen Kontrollen müssen Sie Ihre eigenen Nachweise hochladen. Dies liegt daran, dass sie in der Regel die Bereitstellung physischer Aufzeichnungen oder Einzelheiten zu Ereignissen erfordern, die außerhalb Ihres AWS Umgebung. Aus diesem Grund gibt es oft keine AWS Datenquellen, die Belege dafür liefern können, dass die Anforderungen der manuellen gemeinsamen Kontrolle erfüllt werden. Sie können ein allgemeines Steuerelement nicht bearbeiten. Sie können jedoch jedes gängige Steuerelement als Beweisquelle verwenden, wenn Sie ein benutzerdefiniertes Steuerelement erstellen.
Zentrale Steuerung	Dies ist eine verbindliche Richtlinie für Ihre AWS Umwelt. Sie können sich eine zentrale Steuerung als eine Aktion vorstellen, die Ihnen hilft, die Anforderungen einer gemeinsamen Steuerung zu erfüllen. Nehmen wir zum Beispiel an, Sie verwenden ein allgemeines Steuerelement namens Zugriffskontrollen, um den unbefugten Zugriff auf Ihre Ressourcen zu überwachen. Um diese allgemeine Kontrolle zu unterstützen, könnten Sie das zentrale Steuerelement namens Block public read access in S3-Buckets verwenden. Da zentrale Kontrollen nicht spezifisch für einen Compliance-Standard sind, sammeln sie Nachweise, die eine Reihe sich überschneidender Compliance-Verpflichtungen belegen können. Jede zentrale Kontrolle verwendet eine oder mehrere Datenquellen, um Beweise für eine bestimmte AWS-Service. AWS verwaltet diese zugrunde liegenden Datenquellen für Sie und aktualisiert sie, wenn sich Vorschriften und Standards ändern und neue Datenquellen identifiziert werden. Sie können ein zentrales Steuerelement nicht bearbeiten. Sie können jedoch jedes zentrale Steuerelement als Beweisquelle verwenden, wenn Sie ein benutzerdefiniertes Steuerelement erstellen.
Standardsteuerung	Dies ist ein vordefiniertes Steuerelement, das Audit Manager bereitstellt. Sie können Standardkontrollen verwenden, um Sie bei der Prüfungsvorbereitung für einen bestimmten Compliance-Standard zu unterstützen. Jede Standardkontrolle bezieht sich auf einen bestimmten Standard framework in Audit Manager und sammelt Nachweise, anhand derer Sie die Einhaltung dieses Frameworks nachweisen können. Bei Standardkontrollen werden Nachweise aus zugrunde liegenden Datenquellen gesammelt, die AWS verwaltet. Diese Datenquellen werden automatisch aktualisiert, wenn sich Vorschriften und Standards ändern und neue Datenquellen identifiziert werden. Standardsteuerelemente können nicht bearbeitet werden. Sie können jedoch von jedem Standardsteuerelement eine bearbeitbare Kopie erstellen.
Benutzerdefiniertes Steuerelement	Dies ist ein Steuerelement, das Sie in Audit Manager erstellen, um Ihre spezifischen Compliance-Anforderungen zu erfüllen. Sie können ein benutzerdefiniertes Steuerelement von Grund auf neu erstellen oder eine bearbeitbare Kopie eines vorhandenen Standardsteuerelements erstellen. Wenn Sie ein benutzerdefiniertes Steuerelement erstellen, können Sie bestimmte evidence source s definieren, die bestimmen, woher Audit Manager Beweise sammelt. Nachdem Sie ein benutzerdefiniertes Steuerelement erstellt haben, können Sie dieses Steuerelement bearbeiten oder es einem benutzerdefinierten Framework hinzufügen. Sie können auch eine bearbeitbare Kopie eines beliebigen benutzerdefinierten Steuerelements erstellen.

Kontrolldomäne

Sie können sich eine Kontrolldomäne als eine Kategorie von Kontrollen vorstellen, die nicht spezifisch für einen Compliance-Standard ist. Ein Beispiel für eine Kontrolldomäne ist Datenschutz.

Aus einfachen organisatorischen Gründen werden Kontrollen häufig nach Domänen gruppiert. Jede Domäne hat mehrere Ziele.

Kontrolldomänengruppierungen sind eine der leistungsstärksten Funktionen des Audit Manager-Dashboards. Audit Manager hebt die Kontrollen in Ihren Bewertungen hervor, die nachweislich nicht konform sind, und gruppiert sie nach Kontrolldomänen. Auf diese Weise können Sie sich bei der Vorbereitung eines Audits auf bestimmte Themenbereiche konzentrieren.

Ziel der Kontrolle

Ein Kontrollziel beschreibt das Ziel der gemeinsamen Kontrollen, die unter dieses Ziel fallen. Für jedes Ziel können mehrere gemeinsame Kontrollen gelten. Wenn diese gemeinsamen Kontrollen erfolgreich implementiert werden, helfen sie Ihnen, das Ziel zu erreichen.

Jedes Kontrollziel fällt unter einen Kontrollbereich. Beispielsweise könnte die Kontrolldomäne Datenschutz ein Kontrollziel mit dem Namen Datenklassifizierung und -verarbeitung haben. Um dieses Kontrollziel zu unterstützen, könnten Sie ein allgemeines Steuerelement namens Zugriffskontrollen verwenden, um unbefugten Zugriff auf Ihre Ressourcen zu überwachen und zu erkennen.

Zentrale Steuerung

Siehe control.

Benutzerdefiniertes Steuerelement

Siehe control.

Vom Kunden verwaltete Quelle

Eine vom Kunden verwaltete Quelle ist eine von Ihnen definierte Beweisquelle.

Wenn Sie in Audit Manager ein benutzerdefiniertes Steuerelement erstellen, können Sie diese Option verwenden, um Ihre eigenen individuellen Datenquellen zu erstellen. Dies gibt Ihnen die Flexibilität, automatisierte Nachweise aus einer unternehmensspezifischen Ressource zu sammeln, z. B. aus einer benutzerdefinierten AWS Config Regel. Sie können diese Option auch verwenden, wenn Sie Ihrem benutzerdefinierten Steuerelement manuelle Beweise hinzufügen möchten.

Wenn Sie vom Kunden verwaltete Quellen verwenden, sind Sie dafür verantwortlich, alle von Ihnen erstellten Datenquellen zu verwalten.

Siehe auch:AWS managed source,evidence source.

Datenquelle

Audit Manager verwendet Datenquellen, um Beweise für eine Kontrolle zu sammeln. Eine Datenquelle hat die folgenden Eigenschaften:

Ein Datenquellentyp definiert, aus welcher Art von Datenquelle Audit Manager Beweise sammelt.
- Bei automatisierten Nachweisen kann der Typ sein AWS Security Hub, AWS Config, AWS CloudTrail, oder AWS APIAnrufe.
- Wenn Sie Ihre eigenen Beweise hochladen, ist der Typ Manuell.
- Der Audit Manager API bezeichnet einen Datenquellentyp als sourceType.
Eine Datenquellenzuordnung ist ein Schlüsselwort, das festlegt, woher Beweise für einen bestimmten Datenquellentyp gesammelt werden.
- Dies kann beispielsweise der Name eines CloudTrail Ereignisses oder der Name eines sein AWS Config Regel.
- Der Audit Manager API bezeichnet eine Datenquellenzuordnung als sourceKeyword.
Ein Datenquellenname kennzeichnet die Kombination von Datenquellentyp und Zuordnung.
- Für Standardkontrollen stellt Audit Manager einen Standardnamen bereit.
- Für benutzerdefinierte Steuerelemente können Sie Ihren eigenen Namen angeben.
- Der Audit Manager API bezeichnet einen Datenquellennamen als sourceName.

Eine einzelne Kontrolle kann mehrere Datenquellentypen und mehrere Zuordnungen haben. Beispielsweise kann ein Steuerelement Beweise aus einer Mischung von Datenquellentypen sammeln (wie AWS Config und Security Hub). Ein anderes Steuerelement könnte AWS Config als einziger Datenquellentyp mit mehreren AWS Config Regeln als Zuordnungen.

Die folgende Tabelle listet die automatisierten Datenquellentypen auf und zeigt Beispiele für einige entsprechende Zuordnungen.

Datenquellentyp	Beschreibung	Beispiel für Zuweisungen
AWS Security Hub	Verwenden Sie diesen Datenquellentyp, um einen Snapshot Ihrer Ressourcensicherheit zu erstellen. Audit Manager verwendet den Namen einer Security Hub-Kontrolle als Zuordnungsschlüsselwort und meldet das Ergebnis dieser Sicherheitsprüfung direkt von Security Hub.	`EC2.1`
AWS Config	Verwenden Sie diesen Datenquellentyp, um einen Snapshot Ihrer Ressourcensicherheit zu erstellen. Audit Manager verwendet den Namen eines AWS Config rule als Zuordnungsschlüsselwort und meldet das Ergebnis dieser Regelprüfung direkt von AWS Config.	`SNS_ENCRYPTED_KMS`
AWS CloudTrail	Verwenden Sie diesen Datenquellentyp, um eine bestimmte Benutzeraktivität nachzuverfolgen, die für Ihr Audit erforderlich ist. Audit Manager verwendet den Namen eines CloudTrail Ereignisses als Zuordnungsschlüsselwort und erfasst die entsprechenden Benutzeraktivitäten aus Ihren CloudTrail Protokollen.	`CreateAccessKey`
AWS APIruft	Verwenden Sie diesen Datenquellentyp, um einen Snapshot Ihrer Ressourcenkonfiguration durch einen API Aufruf an eine bestimmte AWS-Service. Audit Manager verwendet den Namen des API Anrufs als Zuordnungsschlüsselwort und sammelt die API Antwort.	`kms_ListKeys`

Delegierter

Ein Delegierter ist ein AWS Audit Manager Benutzer mit eingeschränkten Rechten. Delegierte verfügen in der Regel über spezialisiertes geschäftliches oder technisches Fachwissen. Diese Fachkenntnisse können beispielsweise in den Bereichen Datenaufbewahrungsrichtlinien, Schulungspläne, Netzwerkinfrastruktur oder Identitätsmanagement liegen. Die Delegierten helfen den Audit-Verantwortlichen dabei, die erhobenen Beweise auf Kontrollen zu überprüfen, die in ihren Zuständigkeitsbereich fallen. Delegierte können Kontrollsätze und die zugehörigen Beweise überprüfen, Kommentare hinzufügen, zusätzliche Beweise hochladen und den Status der einzelnen Kontrollen, die Sie ihnen zur Überprüfung zuweisen, aktualisieren.

Die Audit-Verantwortlichen weisen den Delegierten bestimmte Kontrollsätze zu, nicht ganze Bewertungen. Aus diesem Grund haben Delegierte nur begrenzten Zugriff auf Bewertungen. Anweisungen zum Delegieren eines Kontrollsatzes finden Sie unter Delegationen in AWS Audit Manager.

Beweise

Beweise sind Aufzeichnungen, welche die Informationen enthalten, die erforderlich sind, um die Einhaltung der Anforderungen einer Kontrolle nachzuweisen. Zu den Beweisen gehören beispielsweise eine von einem Benutzer aufgerufene Änderungsaktivität und ein Snapshot der Systemkonfiguration.

In Audit Manager gibt es zwei Hauptarten von Beweisen: Automatisierte Beweise und manuelle Beweise.

Art des Nachweises	Beschreibung
Automatisierte Beweise	Dies sind die Nachweise, die Audit Manager automatisch sammelt. Dies umfasst die folgenden drei Kategorien automatisierter Beweise: Konformitätsprüfung — Das Ergebnis einer Konformitätsprüfung wird erfasst von AWS Security Hub, AWS Config, oder beides. Beispiele für Konformitätsprüfungen sind ein Sicherheitsprüfungsergebnis von Security Hub für eine PCI DSS Kontrolle und ein AWS Config Regelauswertung für eine HIPAA Kontrolle. Weitere Informationen erhalten Sie unter AWS-Config-Regeln unterstützt von AWS Audit Manager und AWS Security Hub Steuerelemente werden unterstützt von AWS Audit Manager. Benutzeraktivität — Benutzeraktivitäten, die eine Ressourcenkonfiguration ändern, werden in CloudTrail Protokollen aufgezeichnet, sobald diese Aktivität stattfindet. Beispiele für Benutzeraktivitäten sind eine Aktualisierung der Routing-Tabelle, eine Änderung der Backup-Einstellungen für RDS Amazon-Instances und eine Änderung der S3-Bucket-Verschlüsselungsrichtlinie. Weitere Informationen finden Sie unter AWS CloudTrail Eventnamen werden unterstützt von AWS Audit Manager. Konfigurationsdaten — Ein Snapshot der Ressourcenkonfiguration wird direkt von einem erfasst AWS-Service täglich, wöchentlich oder monatlich. Beispiele für Konfigurations-Snapshots sind eine Liste von Routen für eine VPC Routing-Tabelle, eine RDS Amazon-Instance-Backup-Einstellung und eine S3-Bucket-Verschlüsselungsrichtlinie. Weitere Informationen finden Sie unter AWS API-Aufrufe werden unterstützt von AWS Audit Manager.
Manueller Nachweis	Dies ist der Nachweis, den Sie selbst zu Audit Manager hinzufügen. Es gibt drei Möglichkeiten, eigene Beweise hinzuzufügen: Importieren einer Datei aus Amazon S3 Laden Sie eine Datei von Ihrem Browser hoch Geben Sie eine Textantwort auf eine Frage zur Risikobeurteilung ein Weitere Informationen finden Sie unter Manuelle Nachweise hinzufügen in AWS Audit Manager.

Art des Nachweises

Beschreibung

Automatisierte Beweise

Dies sind die Nachweise, die Audit Manager automatisch sammelt. Dies umfasst die folgenden drei Kategorien automatisierter Beweise:

Konformitätsprüfung — Das Ergebnis einer Konformitätsprüfung wird erfasst von AWS Security Hub, AWS Config, oder beides.

Beispiele für Konformitätsprüfungen sind ein Sicherheitsprüfungsergebnis von Security Hub für eine PCI DSS Kontrolle und ein AWS Config Regelauswertung für eine HIPAA Kontrolle.

Weitere Informationen erhalten Sie unter AWS-Config-Regeln unterstützt von AWS Audit Manager und AWS Security Hub Steuerelemente werden unterstützt von AWS Audit Manager.
Benutzeraktivität — Benutzeraktivitäten, die eine Ressourcenkonfiguration ändern, werden in CloudTrail Protokollen aufgezeichnet, sobald diese Aktivität stattfindet.

Beispiele für Benutzeraktivitäten sind eine Aktualisierung der Routing-Tabelle, eine Änderung der Backup-Einstellungen für RDS Amazon-Instances und eine Änderung der S3-Bucket-Verschlüsselungsrichtlinie.

Weitere Informationen finden Sie unter AWS CloudTrail Eventnamen werden unterstützt von AWS Audit Manager.
Konfigurationsdaten — Ein Snapshot der Ressourcenkonfiguration wird direkt von einem erfasst AWS-Service täglich, wöchentlich oder monatlich.

Beispiele für Konfigurations-Snapshots sind eine Liste von Routen für eine VPC Routing-Tabelle, eine RDS Amazon-Instance-Backup-Einstellung und eine S3-Bucket-Verschlüsselungsrichtlinie.

Weitere Informationen finden Sie unter AWS API-Aufrufe werden unterstützt von AWS Audit Manager.

Manueller Nachweis

Dies ist der Nachweis, den Sie selbst zu Audit Manager hinzufügen. Es gibt drei Möglichkeiten, eigene Beweise hinzuzufügen:

Importieren einer Datei aus Amazon S3
Laden Sie eine Datei von Ihrem Browser hoch
Geben Sie eine Textantwort auf eine Frage zur Risikobeurteilung ein

Weitere Informationen finden Sie unter Manuelle Nachweise hinzufügen in AWS Audit Manager.

Die automatische Erfassung von Beweisen beginnt, wenn Sie eine Bewertung erstellen. Dies ist ein fortlaufender Prozess, und Audit Manager sammelt Beweise je nach Art der Beweise und der zugrunde liegenden Datenquelle mit unterschiedlichen Intervallen. Weitere Informationen finden Sie unter Verstehen wie AWS Audit Manager sammelt Beweise.

Anweisungen zum Überprüfen von Beweisen in einer Bewertung finden Sie unter Überprüfung von Nachweisen in AWS Audit Manager.

Quelle der Beweise

Eine Evidenzquelle definiert, woher eine Kontrolle Beweise sammelt. Dabei kann es sich um eine einzelne Datenquelle oder um eine vordefinierte Gruppierung von Datenquellen handeln, die einem gemeinsamen Steuerelement oder einem zentralen Steuerelement zugeordnet ist.

Wenn Sie ein benutzerdefiniertes Steuerelement erstellen, können Sie Beweise von sammeln AWS verwaltete Quellen, vom Kunden verwaltete Quellen oder beides.

Tipp

Wir empfehlen Ihnen, Folgendes zu verwenden AWS verwaltete Quellen. Wann immer ein AWS Wenn eine verwaltete Quelle aktualisiert wird, werden dieselben Updates automatisch auf alle benutzerdefinierten Steuerelemente angewendet, die diese Quellen verwenden. Das bedeutet, dass Ihre benutzerdefinierten Kontrollen immer Beweise anhand der neuesten Definitionen dieser Beweisquelle sammeln. Auf diese Weise können Sie die kontinuierliche Einhaltung der Vorschriften sicherstellen, wenn sich die Cloud-Compliance-Umgebung ändert.

Siehe auch:AWS managed source,customer managed source.

Methode zur Beweissuche

Es gibt zwei Möglichkeiten, wie eine Kontrolle Beweise sammeln kann.

Methode zur Beweissuche	Beschreibung
Automatisiert	Automatisierte Kontrollen sammeln automatisch Beweise von AWS Datenquellen. Diese automatisierten Beweise können Ihnen helfen, die vollständige oder teilweise Einhaltung der Kontrolle nachzuweisen.
Manuell	Bei manuellen Kontrollen müssen Sie Ihre eigenen Nachweise hochladen, um die Einhaltung der Kontrollen nachzuweisen.

Anmerkung

Sie können jeder automatisierten Kontrolle manuelle Beweise beifügen. In vielen Fällen ist eine Kombination aus automatisierten und manuellen Beweisen erforderlich, um die vollständige Einhaltung einer Kontrolle nachzuweisen. Audit Manager kann zwar automatisierte Beweise bereitstellen, die hilfreich und relevant sind, einige automatisierte Beweise weisen jedoch möglicherweise nur auf eine teilweise Einhaltung der Vorschriften hin. In diesem Fall können Sie die automatisierten Beweise, die Audit Manager bereitstellt, durch Ihre eigenen Beweise ergänzen.

Beispielsweise:

Das AWS Framework für bewährte Verfahren für generative KI v2 enthält ein Steuerelement namensError analysis. Bei dieser Kontrolle müssen Sie feststellen, wann Ungenauigkeiten bei der Verwendung Ihres Modells festgestellt werden. Außerdem müssen Sie eine gründliche Fehleranalyse durchführen, um die Ursachen zu ermitteln und Abhilfemaßnahmen zu ergreifen.
Um diese Kontrolle zu unterstützen, sammelt Audit Manager automatisierte Nachweise, aus denen hervorgeht, ob CloudWatch Alarme aktiviert sind für AWS-Konto wo Ihre Bewertung läuft. Anhand dieser Beweise können Sie nachweisen, dass die Kontrolle teilweise eingehalten wird, indem Sie nachweisen, dass Ihre Alarme und Prüfungen korrekt konfiguriert sind.
Um die vollständige Einhaltung der Vorschriften nachzuweisen, können Sie die automatisierten Beweise durch manuelle Beweise ergänzen. Sie können beispielsweise eine Richtlinie oder ein Verfahren hochladen, das Ihren Fehleranalyseprozess, Ihre Schwellenwerte für Eskalationen und Berichte sowie die Ergebnisse Ihrer Ursachenanalyse aufzeigt. Anhand dieses manuellen Beweises können Sie nachweisen, dass die festgelegten Richtlinien gelten und dass auf Aufforderung hin Abhilfemaßnahmen ergriffen wurden.

Ein detaillierteres Beispiel finden Sie unter Kontrollen mit gemischten Datenquellen.

Exportzielort

Ein Exportzielort ist der standardmäßige S3-Bucket, in dem Audit Manager die Dateien speichert, die Sie aus dem Evidence Finder exportieren. Weitere Informationen finden Sie unter Konfiguration Ihres Standardexportziels für Evidence Finder.

Framework

Ein Audit Manager Manager-Framework strukturiert und automatisiert Bewertungen für einen bestimmten Standard oder ein bestimmtes Prinzip der Risikosteuerung. Diese Frameworks beinhalten eine Sammlung vordefinierter oder kundenspezifischer Kontrollen und helfen Ihnen dabei, Ihre AWS Ressourcen für die Anforderungen dieser Kontrollen.

In Audit Manager gibt es zwei Arten von Frameworks.

Framework-Typ	Beschreibung
Standardrahmen	Dies ist ein vorgefertigtes Framework, das auf folgenden Komponenten basiert AWS bewährte Verfahren für verschiedene Compliance-Standards und Vorschriften. Sie können Standard-Frameworks verwenden, um Sie bei der Vorbereitung von Audits für einen bestimmten Compliance-Standard oder eine Verordnung zu unterstützen, z. B. PCI DSS oderHIPAA.
Benutzerdefiniertes Framework	Dies ist ein benutzerdefiniertes Framework, das Sie als Audit Manager Manager-Benutzer definieren. Sie können benutzerdefinierte Frameworks verwenden, um Sie bei der Vorbereitung von Audits gemäß Ihren spezifischen GRC Anforderungen zu unterstützen.

Framework-Typ

Beschreibung

Standardrahmen

Dies ist ein vorgefertigtes Framework, das auf folgenden Komponenten basiert AWS bewährte Verfahren für verschiedene Compliance-Standards und Vorschriften.

Sie können Standard-Frameworks verwenden, um Sie bei der Vorbereitung von Audits für einen bestimmten Compliance-Standard oder eine Verordnung zu unterstützen, z. B. PCI DSS oderHIPAA.

Benutzerdefiniertes Framework

Dies ist ein benutzerdefiniertes Framework, das Sie als Audit Manager Manager-Benutzer definieren.

Sie können benutzerdefinierte Frameworks verwenden, um Sie bei der Vorbereitung von Audits gemäß Ihren spezifischen GRC Anforderungen zu unterstützen.

Anweisungen zum Erstellen und Verwalten von Frameworks finden Sie unter Verwendung der Framework-Bibliothek zur Verwaltung von Frameworks in AWS Audit Manager.

Anmerkung

AWS Audit Manager hilft bei der Erfassung von Nachweisen, die für die Überprüfung der Einhaltung bestimmter Compliance-Standards und -Vorschriften relevant sind. Ihre Einhaltung wird jedoch nicht bewertet. Die Beweise, die gesammelt wurden durch AWS Audit Manager enthält daher möglicherweise nicht alle Informationen über Ihre AWS Verwendung, die für Audits benötigt wird. AWS Audit Manager ist kein Ersatz für Rechtsbeistand oder Compliance-Experten.

Gemeinsame Nutzung von Frameworks

Sie können die Teilen eines benutzerdefinierten Frameworks in AWS Audit Manager Funktion verwenden, um Ihre benutzerdefinierten Frameworks schnell gemeinsam zu nutzen AWS-Konten und Regionen. Um ein benutzerdefiniertes Framework gemeinsam zu nutzen, erstellen Sie eine Freigabeanfrage. Der Empfänger hat dann 120 Tage Zeit, um die Anfrage anzunehmen oder abzulehnen. Wenn er zustimmt, repliziert Audit Manager das gemeinsam genutzte benutzerdefinierte Framework in sein Framework-Bibliothek. Audit Manager repliziert nicht nur das benutzerdefinierte Framework, sondern auch alle benutzerdefinierten Kontrollsätze und Kontrollen, die in diesem Framework enthalten sind. Diese benutzerdefinierten Kontrollen werden der Kontrollbibliothek des Empfängers hinzugefügt. Audit Manager repliziert keine Standard-Frameworks oder -Kontrollen. Dies liegt daran, dass diese Ressourcen bereits standardmäßig in jedem Konto und jeder Region verfügbar sind.

Ressource

Eine Ressource ist ein Sachwert oder ein Informationsgut, das im Rahmen eines Audits bewertet wird. Beispiele für AWS Zu den Ressourcen gehören EC2 Amazon-Instances, RDS Amazon-Instances, Amazon S3-Buckets und VPC Amazon-Subnetze.

Bewertung der Ressourcen

Eine Ressourcenbewertung ist der Prozess der Bewertung einer einzelnen Ressource. Diese Bewertung basiert auf der Anforderung einer Kontrolle. Während eine Bewertung aktiv ist, führt Audit Manager Ressourcenbewertungen für jede einzelne Ressource im Rahmen der Bewertung durch. Bei einer Ressourcenbewertung werden die folgenden Aufgaben ausgeführt:

Sammelt Beweise wie Ressourcenkonfigurationen, Ereignisprotokolle und Ergebnisse
Übersetzt Beweise und ordnet sie den Kontrollen zu
Speichert und verfolgt die Herkunft der Beweise, um deren Integrität zu gewährleisten

Ressourcen-Compliance

Die Einhaltung der Ressourcen-Compliance bezieht sich auf den Bewertungsstatus einer Ressource, die bei der Erfassung von Beweisen zur Compliance-Überprüfung bewertet wurde.

Audit Manager sammelt Nachweise zur Konformitätsprüfung für Kontrollen, die AWS Config und Security Hub als Datenquellentyp. Bei dieser Beweissuche können mehrere Ressourcen bewertet werden. Daher kann ein einziger Beweis für die Compliance-Überprüfung eine oder mehrere Ressourcen umfassen.

Sie können den Compliance-Filter für Ressourcen in der Beweissuche verwenden, um den Konformitätsstatus auf Ressourcenebene zu ermitteln. Nachdem Ihre Suche abgeschlossen ist, können Sie eine Vorschau der Ressourcen anzeigen, die Ihrer Suchabfrage entsprechen.

In der Beweissuche gibt es drei mögliche Werte für die Ressourcen-Compliance:

Wert	Beschreibung
Nicht konform	Dies bezieht sich auf Ressourcen mit Problemen bei der Konformitätsprüfung. Dies passiert, wenn Security Hub ein Fehlerergebnis für die Ressource meldet oder wenn AWS Config meldet ein nicht konformes Ergebnis.
Konform	Dies bezieht sich auf Ressourcen, bei denen keine Probleme mit der Konformitätsprüfung aufgetreten sind. Dies passiert, wenn Security Hub ein Pass-Ergebnis für die Ressource meldet, oder wenn AWS Config meldet ein konformes Ergebnis.
Nicht eindeutig	Dies bezieht sich auf Ressourcen, für die keine Konformitätsprüfung verfügbar oder anwendbar ist. Das passiert, wenn AWS Config oder Security Hub ist der zugrunde liegende Datenquellentyp, aber diese Dienste sind nicht aktiviert. Dies ist auch der Fall, wenn der zugrunde liegende Datenquellentyp keine Konformitätsprüfungen unterstützt (z. B. manuelle Nachweise, AWS APIruft an, oder CloudTrail).

Wert

Beschreibung

Nicht konform

Dies bezieht sich auf Ressourcen mit Problemen bei der Konformitätsprüfung.

Dies passiert, wenn Security Hub ein Fehlerergebnis für die Ressource meldet oder wenn AWS Config meldet ein nicht konformes Ergebnis.

Konform

Dies bezieht sich auf Ressourcen, bei denen keine Probleme mit der Konformitätsprüfung aufgetreten sind.

Dies passiert, wenn Security Hub ein Pass-Ergebnis für die Ressource meldet, oder wenn AWS Config meldet ein konformes Ergebnis.

Nicht eindeutig

Dies bezieht sich auf Ressourcen, für die keine Konformitätsprüfung verfügbar oder anwendbar ist.

Das passiert, wenn AWS Config oder Security Hub ist der zugrunde liegende Datenquellentyp, aber diese Dienste sind nicht aktiviert.

Dies ist auch der Fall, wenn der zugrunde liegende Datenquellentyp keine Konformitätsprüfungen unterstützt (z. B. manuelle Nachweise, AWS APIruft an, oder CloudTrail).

Leistung im Umfang

Der Audit Manager verwaltet welche AWS-Services fallen in den Geltungsbereich Ihrer Bewertungen. Wenn Sie ein älteres Assessment haben, ist es möglich, dass Sie in der Vergangenheit die Services, die in den Geltungsbereich fallen, manuell angegeben haben. Nach dem 04. Juni 2024 können Sie die Services im Geltungsbereich nicht mehr manuell angeben oder bearbeiten.

Ein Service im Gültigkeitsbereich ist ein AWS-Service für die Ihre Bewertung Beweise enthält. Wenn ein Service in den Umfang Ihrer Bewertung aufgenommen wird, bewertet Audit Manager die Ressourcen dieses Dienstes. Zu den Beispielressourcen gehören:

Eine EC2 Amazon-Instanz
Ein S3-Bucket
Ein IAM Benutzer oder eine Rolle
Eine DynamoDB-Tabelle
Eine Netzwerkkomponente wie eine Amazon Virtual Private Cloud (VPC), eine Sicherheitsgruppe oder eine Tabelle mit einer Netzwerkzugriffskontrollliste (ACL)

Wenn Amazon S3 beispielsweise ein Service im Leistungsumfang ist, kann Audit Manager Nachweise über Ihre S3-Buckets sammeln. Die genauen Beweise, die gesammelt werden, werden von einer Kontrolle bestimmt. data source Wenn der Datenquellentyp beispielsweise AWS Config, und das Datenquellen-Mapping ist ein AWS Config Regel (wies3-bucket-public-write-prohibited), Audit Manager sammelt das Ergebnis dieser Regelbewertung als Nachweis.

Anmerkung

Beachten Sie, dass sich der Umfang eines Dienstes von einem Datenquellentyp unterscheidet, bei dem es sich auch um einen AWS-Service oder etwas anderes. Weitere Informationen finden Sie Was ist der Unterschied zwischen einem Service im Umfang und einem Datenquellentyp? im Abschnitt zur Fehlerbehebung in diesem Handbuch.

Standardsteuerung

Siehe control.