Exporter les résultats de votre recherche depuis Evidence Finder

Après avoir examiné les résultats de votre recherche, vous pouvez générer un rapport d'évaluation basé sur ces résultats. Vous pouvez également exporter les résultats de votre recherche de preuves dans un fichier CSV.

Prérequis

La procédure suivante suppose que vous avez déjà suivi les étapes pour effectuer une recherche et passer en revue les résultats de votre recherche dans Evidence Finder.

Procédure

Table des matières

• Génération d'un rapport d'évaluation à partir des résultats de votre recherche
• Exportation des résultats de recherche dans un fichier CSV
  • Afficher vos résultats une fois exportés

Génération d'un rapport d'évaluation à partir des résultats de votre recherche

Une fois que vous êtes satisfait des résultats de recherche, vous pouvez générer un rapport d'évaluation.

Générer un rapport d’évaluation à partir des résultats de votre recherche

1. En haut du tableau Afficher les résultats, sélectionnez Générer un rapport d’évaluation.

2. Entrez un nom et une description pour votre rapport d’évaluation, puis passez en revue ses détails.

3. Choisissez Générer un rapport d’évaluation.

Votre rapport d’évaluation est généré en l’espace de quelques minutes. Vous pouvez, pendant ce temps ; quitter l’outil de recherche d’éléments probants : une notification verte de réussite confirmera que le rapport est prêt. Vous pouvez ensuite accéder au centre de téléchargement d’Audit Manager et télécharger votre rapport d’évaluation.

Note

Audit Manager génère un rapport unique à partir des éléments probants des résultats de recherche uniquement. Ce rapport ne comprend aucun élément probant ajouté manuellement à un rapport sur la page d’évaluation.

Des limites s’appliquent au nombre d’éléments probants pouvant être inclus dans un rapport d’évaluation. Pour plus d’informations, consultez Résolution des problèmes liés à l’outil de recherche d’éléments probants.

Exportation des résultats de recherche dans un fichier CSV

Vous pourrez avoir besoin d’une version portable des résultats de votre recherche. Dans ce cas, vous pouvez exporter les résultats de votre recherche dans un fichier CSV.

Une fois les résultats de votre recherche exportés, le fichier CSV sera disponible dans le centre de téléchargement d’Audit Manager pendant sept jours. Une copie de ce fichier CSV sera également envoyée vers votre compartiment S3 préféré, la destination d’exportation. Votre fichier CSV restera disponible dans ce compartiment jusqu’à ce que vous le supprimiez.

Audit Manager utilise la fonctionnalité CloudTrail Lake pour exporter et diffuser des fichiers CSV depuis Evidence Finder. Les facteurs suivants définissent le fonctionnement du processus d’exportation au format CSV :

• Tous les résultats de votre recherche sont inclus dans le fichier CSV. Si vous souhaitez uniquement inclure des résultats de recherche spécifiques, nous vous recommandons de modifier vos filtres de recherche. Ainsi, vous pouvez affiner vos résultats pour cibler uniquement les éléments probants que vous souhaitez exporter.

• Les fichiers CSV sont exportés au format GZIP compressé. Le nom du fichier CSV par défaut est queryID/result.csv.gz, queryID étant l’ID de votre requête de recherche.

• La taille maximale d’un fichier CSV d’exportation est de 1 To. Si vous exportez plus de 1 To de données, vos résultats seront répartis dans plusieurs fichiers. Chaque fichier CSV est nommé result_number.csv.gz. Le nombre de fichiers CSV obtenu dépend de la taille totale des résultats de la recherche. Par exemple, l’exportation de 2 To de données vous fournit deux fichiers de résultats de requête : result_1.csv.gz etresult_2.csv.gz.

• Outre le fichier CSV, un fichier de signature JSON est envoyé à votre compartiment S3. Ce fichier agit comme une somme de contrôle pour vérifier l’exactitude des informations contenues dans le fichier CSV. Pour en savoir plus, consultez la structure des fichiers de CloudTrail signature dans le Guide du AWS CloudTrail développeur. Pour déterminer si les résultats de la requête ont été modifiés, supprimés ou inchangés après leur livraison, vous pouvez utiliser la validation de l'intégrité des résultats de la CloudTrail requête. Pour des instructions détaillées, consultez la section Valider les résultats des requêtes enregistrées du Guide du développeur AWS CloudTrail .

Note

Les réponses textuelles des éléments probants manuels ne sont actuellement pas comprises dans les aperçus de l’outil de recherche d’éléments probants, ni dans les exportations CSV. Pour voir les données de réponse textuelle, choisissez le nom d’élément probant manuel dans les résultats de votre outil de recherche d’éléments probants pour ouvrir leur page détaillée. Si vous devez consulter les données des réponses textuelles en dehors de la console Audit Manager, nous vous recommandons de générer un rapport d’évaluation à partir des résultats de votre recherche d’éléments probants. Tous les détails relatifs aux éléments probants manuels, y compris les réponses textuelles, sont inclus dans les rapports d’évaluation.

Exporter vos résultats pour la première fois

Pour exporter les résultats de votre recherche pour la première fois, procédez comme suit. Cette procédure vous permet de définir une destination d’exportation par défaut pour toutes vos futures exportations. Si vous ne souhaitez pas enregistrer de destination d’exportation par défaut pour le moment, vous pouvez le faire ultérieurement en mettant à jour vos paramètres de destination d’exportation.

Important

Avant de commencer, assurez-vous que vous disposez d’un compartiment S3 comme destination d’exportation. Vous pouvez utiliser l’un de vos compartiments S3 existants ou créer un nouveau compartiment dans Amazon S3. En outre, votre compartiment S3 doit disposer de la politique d'autorisation requise pour CloudTrail permettre d'y écrire les fichiers d'exportation. Plus précisément, la politique de compartiment doit inclure une s3:PutObject action et l'ARN du compartiment, et la liste CloudTrail en tant que principal de service. Nous fournissons un exemple de politique d’autorisation que vous pouvez utiliser. Pour savoir comment joindre cette politique à votre compartiment S3, consultez Ajout d’une stratégie de compartiment à l’aide de la console Amazon S3.

Pour plus de conseils, consultezConseils de configuration pour votre destination d’exportation. Si vous rencontrez des problèmes lors de l'exportation d'un fichier CSV, consultezcsv-exports.

Pour exporter les résultats de votre recherche (première fois)

1. En haut du tableau Afficher les résultats, sélectionnez Exporter au format CSV.

2. Précisez le compartiment S3 vers lequel vous souhaitez exporter vos fichiers.

   • Choisissez Parcourir S3 pour sélectionner un compartiment dans la liste.

   • Vous pouvez également saisir l’URI du compartiment au format suivant : s3://bucketname/prefix

   Astuce

   Pour que votre compartiment de destination reste organisé, vous pouvez créer un dossier facultatif pour vos exportations CSV. Pour ce faire, ajoutez une barre oblique (/) et un préfixe à la valeur dans la zone URI de ressource (par exemple, /evidenceFinderExports). Audit Manager ajoutera alors ce préfixe lors de l’envoi du fichier CSV au compartiment et Amazon S3 génèrera le chemin spécifié par le préfixe. Pour plus d’informations sur les préfixes dans Amazon S3, veuillez consulter Organisation des objets dans la console Amazon S3 dans le Guide de l’utilisateur Amazon Simple Storage Service.

3. (Facultatif) Si vous ne souhaitez pas enregistrer ce compartiment comme destination d’exportation par défaut, décochez la case Enregistrer ce compartiment comme destination d’exportation par défaut dans les paramètres de mon outil de recherche d’éléments probants.

4. Cliquez sur Exporter.

Exporter vos résultats après avoir enregistré une destination d’exportation

Une fois votre compartiment S3 enregistré comme destination d’exportation par défaut, vous pouvez procéder comme suit.

Pour exporter les résultats de votre recherche (après avoir enregistré une destination d’exportation par défaut)

1. En haut du tableau Afficher les résultats, sélectionnez Exporter au format CSV.

2. Dans l’invite qui s’affiche, vérifiez le compartiment S3 par défaut dans lequel votre fichier exporté sera enregistré.

   1. (Facultatif) Pour continuer à utiliser ce compartiment et masquer ce message à l’avenir, cochez la case Ne plus me le rappeler.

   2. (Facultatif) Pour changer de compartiment, suivez la procédure de mise à jour de vos paramètres de destination d’exportation.

3. Choisissez Confirmer.

En fonction de la quantité de données que vous exportez, le processus d’exportation peut prendre quelques minutes. N’hésitez pas à quitter l’outil de recherche d’éléments probants pendant que l’exportation est en cours d’exécution. Si vous quittez l’outil de recherche d’éléments probants, votre recherche sera interrompue et les résultats de recherche seront ignorés dans la console. Toutefois, le processus d’exportation CSV se poursuit en arrière-plan. Le fichier CSV contiendra l’ensemble complet des résultats de recherche correspondant à votre requête.

Afficher vos résultats une fois exportés

Pour trouver votre fichier CSV et vérifier son statut, rendez-vous dans l'Audit ManagerCentre de téléchargement d’Audit Manager. Lorsque le fichier exporté est prêt, vous pouvez télécharger votre fichier CSV depuis le centre de téléchargement.

Vous pouvez également rechercher et télécharger le fichier CSV depuis votre compartiment S3 de destination d’exportation.

Pour rechercher votre fichier CSV et votre fichier de signature dans la console Amazon S3

1. Ouvrez la console Amazon S3.

2. Choisissez le compartiment de destination d’exportation que vous avez indiqué lors de l’exportation de votre fichier CSV.

3. Parcourez la hiérarchie des objets jusqu’à ce que vous trouviez le fichier CSV et le fichier de signature. Le fichier CSV a une extension .csv.gz et le fichier de signature une extension .json.

Vous allez parcourir une hiérarchie d’objets similaire à l’exemple suivant, mais avec un nom de compartiment de destination d’exportation, un ID de compte, une date et un ID de requête différents.

All Buckets
    Export_Destination_Bucket_Name
        AWSLogs
            Account_ID;
                CloudTrail-Lake
                    Query
                        YYYY
                            MM
                              DD
                                Query_ID

Ressources supplémentaires

• Résolution des problèmes liés à l’outil de recherche d’éléments probants

• Configuration de votre destination d'exportation par défaut pour Evidence Finder