Comprensione AWS Audit Manager concetti e terminologia

Valutazione

È possibile utilizzare una valutazione di Gestione audit per raccogliere automaticamente le prove pertinenti per un audit.

Una valutazione si basa su un framework, che è un raggruppamento di controlli correlati all’audit. Puoi creare una valutazione da un framework standard o da un framework personalizzato. I framework standard contengono set di controlli predefiniti che supportano uno standard o una normativa di conformità specifici. Al contrario, i framework personalizzati contengono controlli che è possibile personalizzare e raggruppare in base ai requisiti di audit specifici. Utilizzando un framework come punto di partenza, è possibile creare una valutazione che specifichi il Account AWS che desiderate includere nell'ambito del vostro audit.

Quando crei una valutazione, Audit Manager inizia automaticamente a valutare le risorse del tuo Account AWS in base ai controlli definiti nel framework. Successivamente, raccoglie le prove pertinenti e le converte in un formato adatto ai revisori. Dopo aver fatto ciò, allega le prove ai controlli della valutazione. Quando è il momento di un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte e aggiungerle a un report di valutazione. Il report di valutazione aiuta a dimostrare che i controlli funzionano come previsto.

Il processo di raccolta delle prove è continuo e inizia nel momento in cui si crea una valutazione. Puoi interrompere la raccolta delle prove modificando lo stato della valutazione in Inattivo. In alternativa, puoi interrompere la raccolta delle prove a livello di controllo. Per farlo, modifica lo stato di un controllo specifico all’interno della tua valutazione in Inattivo.

Per istruzioni su come creare e gestire le valutazioni, consulta Gestione delle valutazioni in AWS Audit Manager.

Report di valutazione

Un report di valutazione è un documento definitivo generato da una valutazione di Gestione audit. I report riassumono le prove pertinenti raccolte per l’audit. Si collegano alle cartelle delle prove pertinenti. Le cartelle sono denominate e organizzate in base ai controlli specificati nella valutazione. Per ogni valutazione, è possibile esaminare le prove raccolte da Gestione audit e decidere quali prove includere nel report di valutazione.

Per ulteriori informazioni sui report di valutazione, consulta Report di valutazione. Per informazioni su come generare un report di valutazione, consulta Preparazione di un rapporto di valutazione in AWS Audit Manager.

Destinazione del report di valutazione

La destinazione dei report di valutazione è il bucket S3 predefinito in cui Gestione audit salva i report di valutazione. Per ulteriori informazioni, consulta Configurazione della destinazione predefinita del rapporto di valutazione.

Audit

Un audit è un esame indipendente delle risorse, delle operazioni o dell’integrità aziendale dell’organizzazione. Un audit informatico (IT) esamina specificamente i controlli all’interno dei sistemi informativi dell’organizzazione. L’obiettivo di un audit IT è determinare se i sistemi informativi salvaguardino le risorse, funzionino in modo efficace e mantengano l’integrità dei dati. Tutti questi aspetti sono importanti per soddisfare i requisiti normativi imposti da uno standard o da un regolamento di conformità.

Proprietario dell’audit

Il termine proprietario dell’audit assume due significati diversi a seconda del contesto.

Nel contesto di Gestione audit, il proprietario dell’audit è un utente o un ruolo che gestisce una valutazione e le relative risorse. Le responsabilità di questo Gestione audit includono la creazione di valutazioni, la revisione delle prove e la generazione di report di valutazione. Gestione audit è un servizio collaborativo e i proprietari degli audit traggono vantaggio dalla partecipazione di altre parti interessate alle loro valutazioni. Ad esempio, è possibile aggiungere altri proprietari dell’audit alla valutazione per condividere le attività di gestione. In alternativa, se sei titolare di un audit e hai bisogno di aiuto per interpretare le prove raccolte per un controllo, puoi delegare tale set di controlli a una parte interessata con esperienza specifica in quell’area. Tale persona è nota come persona delegata.

In termini commerciali, il proprietario dell’audit è una persona che coordina e supervisiona gli sforzi di preparazione all’audit della propria azienda e presenta le prove a un revisore. In genere, si tratta di un professionista della governance, del rischio e della conformità (GRC), ad esempio un responsabile della conformità o un responsabile della protezione GDPR dei dati. GRCi professionisti hanno l'esperienza e l'autorità per gestire la preparazione degli audit. Più specificamente, comprendono i requisiti di conformità e possono analizzare, interpretare e preparare i dati di reporting. Tuttavia, anche altri ruoli aziendali possono assumere il ruolo di Audit Manager di un titolare dell'audit, non solo GRC i professionisti. Ad esempio, potresti scegliere di far configurare e gestire le valutazioni di Gestione audit da un esperto tecnico di uno dei seguenti team:

SecOps
IT/ DevOps
Centro operativo di sicurezza/risposta agli incidenti
Team simili che possiedono, sviluppano, rimediano e distribuiscono risorse cloud e comprendono l’infrastruttura cloud della tua organizzazione

La persona scelta come proprietario dell’audit nella valutazione di Gestione audit dipende molto dall’organizzazione. Dipende anche da come si strutturano le operazioni di sicurezza e dalle specifiche dell’audit. In Gestione audit, la stessa persona può assumere il ruolo di proprietario dell’audit in una valutazione e il ruolo di delegato in un’altra.

Indipendentemente dal modo in cui scegli di utilizzare Audit Manager, puoi gestire la separazione dei compiti all'interno dell'organizzazione utilizzando la persona proprietaria/delegato dell'audit e concedendo IAM politiche specifiche a ciascun utente. Grazie a questo approccio in due fasi, Gestione audit garantisce il pieno controllo su tutte le specifiche di una valutazione individuale. Per ulteriori informazioni, consulta Politiche consigliate per gli utenti in AWS Audit Manager.

AWS fonte gestita

Un record AWS fonte gestita è una fonte di prove che AWS mantiene per te.

Ciascuno AWS l'origine gestita è un raggruppamento predefinito di fonti di dati che si associa a un controllo comune o a un controllo principale specifico. Quando si utilizza un controllo comune come fonte di prove, si raccolgono automaticamente le prove per tutti i controlli principali che supportano tale controllo comune. Puoi anche utilizzare i singoli controlli di base come fonte di prove.

Ogni volta che un AWS la fonte gestita viene aggiornata, gli stessi aggiornamenti vengono applicati automaticamente a tutti i controlli personalizzati che la utilizzano AWS fonte gestita. Ciò significa che i controlli personalizzati raccolgono prove in base alle definizioni più recenti di quella fonte di prove. Questo ti aiuta a garantire una conformità continua man mano che l'ambiente di conformità cloud cambia.

Vedi anche:customer managed source,evidence source.

Changelog

Per ogni controllo in una valutazione, Audit Manager tiene traccia delle attività degli utenti per quel controllo. È quindi possibile esaminare un audit trail delle attività correlate a un controllo specifico. Per ulteriori informazioni su quali attività degli utenti vengono registrate nel changelog, vedere. Scheda Changelog

Conformità cloud

La conformità cloud è il principio generale secondo cui i sistemi forniti nel cloud devono essere conformi agli standard richiesti dai clienti del cloud.

Controllo comune

Per informazioni, consulta control.

Regolamento di conformità

Un regolamento di conformità è una legge, una norma o un altro ordine prescritto da un’autorità, in genere per regolare una condotta. Un esempio èGDPR.

Standard di conformità

Uno standard di conformità è un insieme strutturato di linee guida che descrivono in dettaglio i processi di un’organizzazione per mantenere la conformità ai regolamenti, alle specifiche o alla legislazione stabiliti. Gli esempi includono PCI DSS eHIPAA.

Controllo

Un controllo è una misura di salvaguardia o contromisura prescritta per un sistema informativo o un’organizzazione. I controlli sono progettati per proteggere la riservatezza, l'integrità e la disponibilità delle informazioni e per soddisfare una serie di requisiti definiti. Garantiscono che le risorse funzionino come previsto, che i dati siano affidabili e che l'organizzazione sia conforme alle leggi e ai regolamenti applicabili.

In Gestione audit, un controllo può anche rappresentare una domanda in un questionario di valutazione del rischio del fornitore. In questo caso, un controllo è una domanda specifica che richiede informazioni sul livello di sicurezza e conformità di un’organizzazione.

I controlli raccolgono continuamente prove quando sono attivi nelle valutazioni di Gestione audit. È anche possibile aggiungere manualmente prove a qualsiasi controllo. Ogni elemento di prova è un documento che consente di dimostrare la conformità ai requisiti del controllo.

Audit Manager fornisce i seguenti tipi di controlli:

Tipo di controllo	Descrizione
Controllo comune	Puoi pensare a un controllo comune come a un'azione che ti aiuta a raggiungere un obiettivo di controllo. Poiché i controlli comuni non sono specifici di nessuno standard di conformità, consentono di raccogliere prove a supporto di una serie di obblighi di conformità sovrapposti. Ad esempio, supponiamo di avere un obiettivo di controllo chiamato Classificazione e gestione dei dati. Per raggiungere questo obiettivo, è possibile implementare un controllo comune chiamato Controlli di accesso per monitorare e rilevare gli accessi non autorizzati alle risorse. I controlli comuni automatizzati raccolgono prove per te. Sono costituiti da un raggruppamento di uno o più controlli principali correlati. A sua volta, ciascuno di questi controlli principali raccoglie automaticamente le prove pertinenti da un gruppo predefinito di AWS fonti di dati. AWS gestisce queste fonti di dati sottostanti per te e le aggiorna ogni volta che le normative e gli standard cambiano e vengono identificate nuove fonti di dati. I controlli manuali comuni richiedono il caricamento delle proprie prove. Questo perché in genere richiedono la fornitura di registrazioni fisiche o di dettagli su eventi che accadono al di fuori del AWS ambiente. Per questo motivo, spesso non ce ne sono AWS fonti di dati in grado di fornire prove a sostegno dei requisiti del controllo comune manuale. Non è possibile modificare un controllo comune. Tuttavia, puoi utilizzare qualsiasi controllo comune come fonte di prova quando crei un controllo personalizzato.
Controllo di base	Questa è una linea guida prescrittiva per il tuo AWS ambiente. È possibile pensare a un controllo di base come a un'azione che consente di soddisfare i requisiti di un controllo comune. Ad esempio, supponiamo che tu utilizzi un controllo comune chiamato Controlli di accesso per monitorare l'accesso non autorizzato alle tue risorse. Per supportare questo controllo comune, puoi utilizzare il controllo principale chiamato Blocca l'accesso pubblico alla lettura nei bucket S3. Poiché i controlli di base non sono specifici per nessuno standard di conformità, raccolgono prove che possono supportare una serie di obblighi di conformità sovrapposti. Ogni controllo principale utilizza una o più fonti di dati per raccogliere prove su uno specifico Servizio AWS. AWS gestisce queste fonti di dati sottostanti per te e le aggiorna ogni volta che le normative e gli standard cambiano e vengono identificate nuove fonti di dati. Non puoi modificare un controllo principale. Tuttavia, puoi utilizzare qualsiasi controllo di base come fonte di prova quando crei un controllo personalizzato.
Controllo standard	Si tratta di un controllo predefinito fornito da Audit Manager. È possibile utilizzare i controlli standard per assistervi nella preparazione degli audit per uno specifico standard di conformità. Ogni controllo standard è correlato a uno standard specifico framework in Audit Manager e raccoglie prove che è possibile utilizzare per dimostrare la conformità a tale framework. I controlli standard raccolgono prove dalle fonti di dati sottostanti che AWS gestisce. Queste fonti di dati vengono aggiornate automaticamente ogni volta che le normative e gli standard cambiano e vengono identificate nuove fonti di dati. Non è possibile modificare i controlli standard. Tuttavia, è possibile creare una copia modificabile di qualsiasi controllo standard.
Controllo personalizzato	Si tratta di un controllo creato in Audit Manager per soddisfare i requisiti di conformità specifici. È possibile creare un controllo personalizzato partendo da zero o creare una copia modificabile di un controllo standard esistente. Quando si crea un controllo personalizzato, è possibile definire elementi specifici evidence source che determinano da dove Audit Manager raccoglie le prove. Dopo aver creato un controllo personalizzato, è possibile modificare tale controllo o aggiungerlo a un framework personalizzato. È inoltre possibile creare una copia modificabile di qualsiasi controllo personalizzato.

Dominio di controllo

Puoi pensare a un dominio di controllo come a una categoria di controlli che non rientra in alcun standard di conformità. Un esempio di dominio di controllo è la protezione dei dati.

I controlli sono spesso raggruppati per dominio per semplici scopi organizzativi. Ogni dominio ha più obiettivi.

I raggruppamenti di domini di controllo sono una delle funzionalità più potenti del pannello di controllo di Gestione audit. Gestione audit evidenzia i controlli che nelle valutazioni presentano prove non conformi e li raggruppa per dominio di controllo. Ciò consente di concentrare gli sforzi di correzione su domini tematici specifici mentre ci si prepara per un audit.

Obiettivo di controllo

Un obiettivo di controllo descrive l'obiettivo dei controlli comuni che lo sottendono. Ogni obiettivo può avere più controlli comuni. Se questi controlli comuni vengono implementati con successo, ti aiuteranno a raggiungere l'obiettivo.

Ogni obiettivo di controllo rientra in un dominio di controllo. Ad esempio, il dominio di controllo della protezione dei dati potrebbe avere un obiettivo di controllo denominato Classificazione e gestione dei dati. Per supportare questo obiettivo di controllo, è possibile utilizzare un controllo comune denominato Controlli di accesso per monitorare e rilevare l'accesso non autorizzato alle risorse.

Controllo di base

Per informazioni, consulta control.

Controllo personalizzato

Per informazioni, consulta control.

Fonte gestita dal cliente

Una fonte gestita dal cliente è una fonte di prove definita dall'utente.

Quando crei un controllo personalizzato in Audit Manager, puoi utilizzare questa opzione per creare le tue fonti di dati individuali. Ciò offre la flessibilità necessaria per raccogliere prove automatizzate da una risorsa specifica dell'azienda, ad esempio una soluzione personalizzata AWS Config regola. È inoltre possibile utilizzare questa opzione se si desidera aggiungere prove manuali al controllo personalizzato.

Quando utilizzi fonti gestite dai clienti, sei responsabile della manutenzione di tutte le fonti di dati che crei.

Vedi anche:AWS managed source,evidence source.

Origine dati

Audit Manager utilizza fonti di dati per raccogliere prove per un controllo. Un'origine dati ha le seguenti proprietà:

Un tipo di origine dati definisce il tipo di origine dati da cui Audit Manager raccoglie le prove.
- Per le prove automatizzate, il tipo può essere AWS Security Hub, AWS Config, AWS CloudTrail, oppure AWS APIchiamate.
- Se carichi le tue prove, il tipo è Manuale.
- L'Audit Manager API si riferisce a un tipo di origine dati come a sourceType.
Una mappatura dell'origine dati è una parola chiave che indica da dove vengono raccolte le prove per un determinato tipo di origine dati.
- Ad esempio, questo potrebbe essere il nome di un CloudTrail evento o il nome di un AWS Config regola.
- L'Audit Manager API si riferisce a una mappatura delle fonti di dati come a sourceKeyword.
Il nome di un'origine dati indica l'associazione tra un tipo di origine dati e una mappatura.
- Per i controlli standard, Audit Manager fornisce un nome predefinito.
- Per i controlli personalizzati, puoi fornire il tuo nome.
- L'Audit Manager API si riferisce al nome di un'origine dati come a sourceName.

Un singolo controllo può avere più tipi di origini dati e più mappature. Ad esempio, un controllo potrebbe raccogliere prove da una combinazione di tipi di fonti di dati (come AWS Config e Security Hub). Un altro controllo potrebbe avere AWS Config come unico tipo di origine dati, con più AWS Config regole come mappature.

La tabella seguente elenca i tipi di origine dati automatizzati e mostra esempi di alcune mappature corrispondenti.

Tipo di origine dati	Descrizione	Esempio di mappatura
AWS Security Hub	Utilizza questo tipo di origine dati per acquisire un’istantanea dello stato di sicurezza delle tue risorse. Gestione audit utilizza il nome di un controllo Security Hub come parola chiave di mappatura ed esegue il report del risultato di tale controllo di sicurezza direttamente da Security Hub.	`EC2.1`
AWS Config	Utilizza questo tipo di origine dati per acquisire un’istantanea dello stato di sicurezza delle tue risorse. Audit Manager utilizza il nome di un AWS Config regola come parola chiave di mappatura e riporta il risultato del controllo di tale regola direttamente da AWS Config.	`SNS_ENCRYPTED_KMS`
AWS CloudTrail	Utilizza questo tipo di origine dati per tenere traccia di un’attività utente specifica necessaria per il tuo audit. Audit Manager utilizza il nome di un CloudTrail evento come parola chiave di mappatura e raccoglie l'attività utente correlata dai registri. CloudTrail	`CreateAccessKey`
AWS APIchiamate	Usa questo tipo di origine dati per scattare un'istantanea della configurazione delle risorse tramite una API chiamata a una persona specifica Servizio AWS. Audit Manager utilizza il nome della API chiamata come parola chiave di mappatura e raccoglie la API risposta.	`kms_ListKeys`

Delegato

Un delegato è un AWS Audit Manager utente con autorizzazioni limitate. Generalmente, i delegati hanno competenze commerciali o tecniche specializzate. Ad esempio, queste competenze potrebbero riguardare le policy di conservazione dei dati, i piani di formazione, l’infrastruttura di rete o la gestione delle identità. I delegati aiutano i proprietari degli audit a esaminare le prove raccolte per i controlli che rientrano nella loro area di competenza. I delegati possono esaminare i set di controlli e le relative prove, aggiungere commenti, caricare prove aggiuntive e aggiornare lo stato di un controllo loro assegnato per la revisione.

I proprietari degli audit delegano specifici set di controlli ai delegati, non intere valutazioni. Di conseguenza, i delegati hanno un accesso limitato alle valutazioni. Per istruzioni su come delegare un set di controlli, consulta Delegazioni in AWS Audit Manager.

Prove

Le prove sono registrazioni che contengono le informazioni necessarie per dimostrare la conformità ai requisiti di un controllo. Esempi di prove includono un’attività di modifica richiamata da un utente e un’istantanea della configurazione del sistema.

Esistono due tipi principali di prove in Gestione audit: prove automatiche e prove manuali.

Tipo di prova	Descrizione
Prove automatizzate	Queste sono le prove che Audit Manager raccoglie automaticamente. Sono incluse le seguenti tre categorie di prove automatiche: Controllo di conformità: il risultato di un controllo di conformità viene acquisito da AWS Security Hub, AWS Config o entrambi. Esempi di controlli di conformità includono un risultato del PCI DSS controllo di sicurezza eseguito da Security Hub e un AWS Config valutazione delle regole per un HIPAA controllo. Per ulteriori informazioni, consulta Regole di AWS Config supportato da AWS Audit Manager e AWS Security Hub controlli supportati da AWS Audit Manager. Attività utente: l'attività dell'utente che modifica la configurazione di una risorsa viene acquisita dai CloudTrail log nel momento in cui si verifica tale attività. Esempi di attività degli utenti includono un aggiornamento della tabella di routing, una modifica delle impostazioni di backup delle RDS istanze Amazon e una modifica della politica di crittografia dei bucket S3. Per ulteriori informazioni, consulta AWS CloudTrail nomi di eventi supportati da AWS Audit Manager. Dati di configurazione: un'istantanea della configurazione delle risorse viene acquisita direttamente da un Servizio AWS su base giornaliera, settimanale o mensile. Esempi di istantanee di configurazione includono un elenco di rotte per una tabella di VPC rotte, un'impostazione di backup delle RDS istanze Amazon e una politica di crittografia dei bucket S3. Per ulteriori informazioni, consulta AWS Chiamate API supportate da AWS Audit Manager.
Evidenze manuali	Questa è la prova che aggiungi tu stesso all'Audit Manager. Esistono tre modi per aggiungere le proprie prove: Importazione di un file da Amazon S3 Caricamento di un file dal tuo browser Inserimento di una risposta testuale a una domanda di valutazione del rischio Per ulteriori informazioni, consulta Aggiungere prove manuali in AWS Audit Manager.

Tipo di prova

Descrizione

Prove automatizzate

Queste sono le prove che Audit Manager raccoglie automaticamente. Sono incluse le seguenti tre categorie di prove automatiche:

Controllo di conformità: il risultato di un controllo di conformità viene acquisito da AWS Security Hub, AWS Config o entrambi.

Esempi di controlli di conformità includono un risultato del PCI DSS controllo di sicurezza eseguito da Security Hub e un AWS Config valutazione delle regole per un HIPAA controllo.

Per ulteriori informazioni, consulta Regole di AWS Config supportato da AWS Audit Manager e AWS Security Hub controlli supportati da AWS Audit Manager.
Attività utente: l'attività dell'utente che modifica la configurazione di una risorsa viene acquisita dai CloudTrail log nel momento in cui si verifica tale attività.

Esempi di attività degli utenti includono un aggiornamento della tabella di routing, una modifica delle impostazioni di backup delle RDS istanze Amazon e una modifica della politica di crittografia dei bucket S3.

Per ulteriori informazioni, consulta AWS CloudTrail nomi di eventi supportati da AWS Audit Manager.
Dati di configurazione: un'istantanea della configurazione delle risorse viene acquisita direttamente da un Servizio AWS su base giornaliera, settimanale o mensile.

Esempi di istantanee di configurazione includono un elenco di rotte per una tabella di VPC rotte, un'impostazione di backup delle RDS istanze Amazon e una politica di crittografia dei bucket S3.

Per ulteriori informazioni, consulta AWS Chiamate API supportate da AWS Audit Manager.

Evidenze manuali

Questa è la prova che aggiungi tu stesso all'Audit Manager. Esistono tre modi per aggiungere le proprie prove:

Importazione di un file da Amazon S3
Caricamento di un file dal tuo browser
Inserimento di una risposta testuale a una domanda di valutazione del rischio

Per ulteriori informazioni, consulta Aggiungere prove manuali in AWS Audit Manager.

La raccolta automatica delle prove inizia nel momento in cui viene creata una valutazione. Si tratta di un processo continuo e Gestione audit raccoglie le prove con frequenze diverse a seconda del tipo di prova e dell’origine dati sottostante. Per ulteriori informazioni, consulta Capire come AWS Audit Manager raccoglie prove.

Per istruzioni su come esaminare le prove in una valutazione, consulta Revisione delle prove in AWS Audit Manager.

Fonte delle prove

Una fonte di prove definisce da dove un controllo raccoglie le prove. Può essere una singola fonte di dati o un raggruppamento predefinito di fonti di dati che si associa a un controllo comune o a un controllo principale.

Quando crei un controllo personalizzato, puoi raccogliere prove da AWS fonti gestite, fonti gestite dai clienti o entrambe.

Suggerimento

Ti consigliamo di utilizzare AWS fonti gestite. Ogni volta che un AWS la fonte gestita viene aggiornata, gli stessi aggiornamenti vengono applicati automaticamente a tutti i controlli personalizzati che utilizzano tali fonti. Ciò significa che i controlli personalizzati raccolgono sempre prove in base alle definizioni più recenti di quella fonte di prove. Questo ti aiuta a garantire una conformità continua man mano che l'ambiente di conformità cloud cambia.

Vedi anche:AWS managed source,customer managed source.

Metodo di raccolta delle prove

Esistono due modi in cui un controllo può raccogliere le prove.

Metodo di raccolta delle prove	Descrizione
Automatizzato	I controlli automatizzati raccolgono automaticamente prove da AWS fonti di dati. Queste prove automatiche possono aiutare a dimostrare la conformità totale o parziale al controllo.
Manuale	I controlli manuali richiedono il caricamento di prove personali per dimostrare la conformità al controllo.

Nota

È possibile allegare prove manuali a qualsiasi controllo automatico. In molti casi, è necessaria una combinazione di prove automatiche e manuali per dimostrare la piena conformità a un controllo. Sebbene Gestione audit sia in grado di fornire prove automatiche utili e pertinenti, alcune prove automatiche potrebbero dimostrare solo una conformità parziale. In questo caso, puoi integrare le prove automatiche fornite da Gestione audit con le tue prove.

Per esempio:

AWS framework generativo per le migliori pratiche di intelligenza artificiale v2Contiene un controllo chiamatoError analysis. Questo controllo chiede di indicare le imprecisioni rilevate nell’utilizzo del modello. Richiede inoltre di condurre un’analisi approfondita degli errori per comprenderne le cause alla radice e intraprendere azioni correttive.
Per supportare questo controllo, Audit Manager raccoglie prove automatiche che mostrano se gli CloudWatch allarmi sono abilitati per Account AWS dove viene eseguita la valutazione. È possibile utilizzare queste prove per dimostrare la conformità parziale al controllo, provando che gli allarmi e i controlli sono configurati correttamente.
Per dimostrare la piena conformità, è possibile integrare le prove automatiche con prove manuali. Ad esempio, è possibile caricare una policy o una procedura che mostri il processo di analisi degli errori, le soglie per le escalation e il reporting nonché i risultati dell’analisi delle cause principali. È possibile utilizzare queste prove manuali per dimostrare che le policy stabilite sono state applicate e che sono state intraprese azioni correttive quando richiesto.

Per un esempio più dettagliato, consulta Controlli con origini dati miste.

Destinazione di esportazione

Una destinazione di esportazione è il bucket S3 predefinito in cui Gestione audit salva i file esportati da Evidence Finder. Per ulteriori informazioni, consulta Configurazione della destinazione di esportazione predefinita per Evidence Finder.

Framework

Un framework Audit Manager struttura e automatizza le valutazioni per uno specifico standard o principio di governance del rischio. Questi framework includono una raccolta di controlli predefiniti o definiti dal cliente e consentono di mappare i AWS risorse per i requisiti di questi controlli.

Esistono due tipi di framework in Audit Manager.

Tipo di framework	Descrizione
Struttura standard	Si tratta di un framework predefinito basato su AWS le migliori pratiche per vari standard e normative di conformità. È possibile utilizzare framework standard per facilitare la preparazione degli audit per uno specifico standard o regolamento di conformità, ad esempio PCI DSS o. HIPAA
Framework personalizzato	Si tratta di un framework personalizzato che definisci come utente Audit Manager. È possibile utilizzare framework personalizzati per facilitare la preparazione degli audit in base ai requisiti specifici. GRC

Tipo di framework

Descrizione

Struttura standard

Si tratta di un framework predefinito basato su AWS le migliori pratiche per vari standard e normative di conformità.

È possibile utilizzare framework standard per facilitare la preparazione degli audit per uno specifico standard o regolamento di conformità, ad esempio PCI DSS o. HIPAA

Framework personalizzato

Si tratta di un framework personalizzato che definisci come utente Audit Manager.

È possibile utilizzare framework personalizzati per facilitare la preparazione degli audit in base ai requisiti specifici. GRC

Per istruzioni su come creare e gestire i framework, consulta Utilizzo della libreria framework per gestire i framework in AWS Audit Manager.

Nota

AWS Audit Manager aiuta a raccogliere prove pertinenti per verificare la conformità a specifici standard e regolamenti di conformità. Tuttavia, non viene eseguita la valutazione della conformità. Le prove raccolte tramite AWS Audit Manager pertanto potrebbe non includere tutte le informazioni sul tuo AWS utilizzo necessario per gli audit. AWS Audit Manager non sostituisce consulenti legali o esperti di conformità.

Condivisione del framework

Puoi utilizzare la Condivisione di un framework personalizzato in AWS Audit Manager funzionalità per condividere rapidamente i tuoi framework personalizzati tra Account AWS e regioni. Per condividere un framework personalizzato, è necessario creare una richiesta di condivisione. Il destinatario ha quindi 120 giorni per accettare o rifiutare la richiesta. Se il destinatario accetta, Gestione audit replica il framework personalizzato condiviso nella sua libreria di framework. Oltre a replicare il framework personalizzato, Gestione audit replica anche tutti i set di controlli e i controlli personalizzati contenuti in tale framework. I controlli personalizzati vengono aggiunti alla libreria di controlli del destinatario. Gestione audit non replica framework o controlli standard. Questo perché si tratta di risorse già disponibili per impostazione predefinita in ogni account e regione.

Risorsa

Una risorsa è una risorsa fisica o informativa che viene valutata in un audit. Esempi di AWS le risorse includono EC2 istanze Amazon, RDS istanze Amazon, bucket Amazon S3 e sottoreti Amazon. VPC

Valutazione della risorsa

La valutazione della risorsa è il processo di valutazione di una singola risorsa. La valutazione si basa sul requisito di un controllo. Mentre una valutazione è attiva, Gestione audit valuta ogni singola risorsa nell’ambito della valutazione. La valutazione della risorsa esegue la seguente serie di attività:

Raccoglie prove tra cui configurazioni delle risorse, log di eventi e risultati
Traduce e mappa le prove ai controlli
Memorizza e tiene traccia del percorso delle prove per garantire l’integrità

Conformità della risorsa

La conformità della risorsa si riferisce allo stato di valutazione di una risorsa che è stata valutata durante la raccolta delle prove di controllo di conformità.

Audit Manager raccoglie prove di verifica della conformità per i controlli che utilizzano AWS Config e Security Hub come tipo di origine dati. Durante la raccolta delle prove potrebbero essere valutate più risorse. Di conseguenza, una singola prova di controllo di conformità può includere una o più risorse.

Puoi utilizzare il filtro Conformità delle risorse in Evidence Finder per esplorare lo stato di conformità a livello di risorsa. Una volta completata la ricerca, puoi visualizzare in anteprima le risorse corrispondenti alla tua query di ricerca.

In Evidence Finder, ci sono tre possibili valori per la conformità delle risorse:

Valore	Descrizione
Non conforme	Si riferisce alle risorse con problemi di controllo della conformità. Ciò accade se Security Hub riporta un risultato Fail per la risorsa o se AWS Config riporta un risultato non conforme.
Conforme	Si riferisce a risorse che non presentano problemi di controllo della conformità. Ciò accade se Security Hub riporta un risultato del Pass per la risorsa o se AWS Config riporta un risultato conforme.
Inconcludente	Si riferisce a risorse per le quali un controllo di conformità non è disponibile o applicabile. Questo accade se AWS Config o Security Hub è il tipo di origine dati sottostante, ma tali servizi non sono abilitati. Ciò accade anche se il tipo di origine dati sottostante non supporta i controlli di conformità (come prove manuali, AWS APIchiamate o CloudTrail).

Valore

Descrizione

Non conforme

Si riferisce alle risorse con problemi di controllo della conformità.

Ciò accade se Security Hub riporta un risultato Fail per la risorsa o se AWS Config riporta un risultato non conforme.

Conforme

Si riferisce a risorse che non presentano problemi di controllo della conformità.

Ciò accade se Security Hub riporta un risultato del Pass per la risorsa o se AWS Config riporta un risultato conforme.

Inconcludente

Si riferisce a risorse per le quali un controllo di conformità non è disponibile o applicabile.

Questo accade se AWS Config o Security Hub è il tipo di origine dati sottostante, ma tali servizi non sono abilitati.

Ciò accade anche se il tipo di origine dati sottostante non supporta i controlli di conformità (come prove manuali, AWS APIchiamate o CloudTrail).

Servizio in ambito

Audit Manager gestisce quali Servizi AWS rientrano nell'ambito delle vostre valutazioni. Se disponi di una valutazione precedente, è possibile che in passato tu abbia specificato manualmente i servizi inclusi nell'ambito. Dopo il 4 giugno 2024, non è possibile specificare o modificare manualmente i servizi inclusi nell'ambito.

Un servizio che rientra nell'ambito è Servizio AWS su cui la tua valutazione raccoglie prove. Quando un servizio è incluso nell'ambito della valutazione, Audit Manager valuta le risorse del servizio. Esempi di risorse sono:

Un'EC2istanza Amazon
Un bucket S3
Un IAM utente o un ruolo
Una tabella DynamoDB
Un componente di rete come una tabella Amazon Virtual Private Cloud (VPC), un gruppo di sicurezza o una tabella della lista di controllo degli accessi alla rete (ACL)

Ad esempio, se Amazon S3 è un servizio che rientra nell'ambito di applicazione, Audit Manager può raccogliere prove sui bucket S3. Le prove esatte raccolte sono determinate da un controllo. data source Ad esempio, se il tipo di origine dati è AWS Config e la mappatura dell'origine dati è una AWS Config regola (ad esempios3-bucket-public-write-prohibited), Audit Manager raccoglie il risultato della valutazione di tale regola come prova.

Nota

Tieni presente che un servizio compreso nell'ambito è diverso da un tipo di origine dati, che può anche essere Servizio AWS o qualcos'altro. Per ulteriori informazioni, Qual è la differenza tra un servizio in ambito e un tipo di origine dati? consulta la sezione Risoluzione dei problemi di questa guida.

Controllo standard

Per informazioni, consulta control.