AWS CloudTrail noms d'événements pris en charge par AWS Audit Manager

Vous pouvez utiliser Audit Manager pour capturer les événements AWS CloudTrail de gestion et les événements de service globaux comme preuves pour les audits. Lorsque vous créez ou modifiez un contrôle personnalisé, vous pouvez spécifier un ou plusieurs noms d' CloudTrail événements sous forme de mappage de sources de données pour la collecte de preuves. Audit Manager filtre ensuite vos CloudTrail journaux en fonction des mots clés que vous avez choisis et importe les résultats sous forme de preuves de l'activité des utilisateurs.

Note

Audit Manager capture uniquement les événements de gestion et les événements de service mondiaux. Les événements liés aux données et les événements d’analyse ne sont pas disponibles en tant qu’éléments probants. Pour plus d'informations sur les différents types d' CloudTrail événements, consultez les CloudTrail concepts du guide de l'AWS CloudTrail utilisateur.

Par exception à ce qui précède, les CloudTrail événements suivants ne sont pas pris en charge par Audit Manager :

• kms_ GenerateDataKey

• kms_Decrypt

• sts_ AssumeRole

• kinesisvideo_ GetDataEndpoint

• kinesisvideo_ GetSignalingChannelEndpoint

• kinesisvideo_ DescribeSignalingChannel

• kinesisvideo_ DescribeStream

Depuis le 11 mai 2023, Audit Manager ne prend plus en charge les CloudTrail événements en lecture seule en tant que mots clés pour la collecte de preuves. Nous avons supprimé un total de 3 135 mots clés en lecture seule. Dans la mesure où les clients et AWS services passent des appels en lecture aux API, les événements en lecture seule sont bruyants. Par conséquent, les mots clés en lecture seule collectent de nombreux éléments probants qui ne sont ni fiables ni pertinents pour les audits. Les mots clés en lecture seule incluent ListDescribe, et les appels Get d'API (par exemple, GetObjectet ListBucketspour Amazon S3). Si vous utilisiez l’un de ces mots clés pour recueillir des éléments probants, aucune action n’est requise. Les mots clés ont été automatiquement supprimés de la console Audit Manager et de vos évaluations, et aucun élément probant n’est collectée pour ces mots clés.

Ressources supplémentaires

• Pour obtenir de l'aide concernant les problèmes liés à la collecte de preuves pour ce type de source de données, consultezMon évaluation ne collecte pas d’éléments probants de l’activité des utilisateurs auprès d’ AWS CloudTrail.

• Pour créer un contrôle personnalisé à l'aide de ce type de source de données, consultezCréation d'un contrôle personnalisé dans AWS Audit Manager.

• Pour créer une structure personnalisée qui utilise votre contrôle personnalisé, voirCréation d'un framework personnalisé dans AWS Audit Manager.

• Pour ajouter votre contrôle personnalisé à un cadre personnalisé existant, voirModification d'un framework personnalisé dans AWS Audit Manager.