Esportazione dei risultati della ricerca da Evidence Finder - Gestione audit AWS
PrerequisitiProceduraRisorse aggiuntive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esportazione dei risultati della ricerca da Evidence Finder

Dopo aver esaminato i risultati della ricerca, puoi generare un rapporto di valutazione basato su tali risultati. In alternativa, puoi esportare i risultati della ricerca di Evidence Finder in un file CSV.

Prerequisiti

La procedura seguente presuppone che tu abbia già seguito i passaggi per eseguire una ricerca e rivedere i risultati della ricerca in Evidence Finder.

Procedura

Generazione di un rapporto di valutazione dai risultati della ricerca

Dopo essere soddisfatto dei risultati della ricerca, puoi generare un rapporto di valutazione.

Generazione di un report di valutazione dai risultati della ricerca

  1. Nella parte superiore della tabella Visualizza risultati, scegli Genera report di valutazione.

  2. Inserisci un nome e una descrizione per il report di valutazione ed esamina i dettagli del report di valutazione.

  3. Scegli Genera report di valutazione.

Per generare il report di valutazione saranno necessari alcuni minuti. Mentre ciò accade, puoi uscire da evidence finder e una notifica di successo verde confermerà quando il report è pronto. È quindi possibile accedere al centro download di Gestione audit e scaricare il report di valutazione.

Nota

Gestione audit genera un report una tantum utilizzando solo le prove dei risultati della ricerca. Questo report non include alcuna prova aggiunta manualmente a un report dalla pagina di valutazione.

Si applicano dei limiti alla quantità di prove che possono essere incluse in un report di valutazione. Per ulteriori informazioni, consulta Risoluzione dei problemi in Evidence Finder.

Esportazione dei risultati della ricerca in un file CSV

Potresti aver bisogno di una versione portatile dei risultati di ricerca del tuo evidence finder. In tal caso, puoi esportare i risultati della ricerca in un file CSV.

Dopo aver esportato i risultati della ricerca, il file CSV è disponibile nel centro download Gestione audit per sette giorni. Una copia del file CSV viene inoltre consegnata al bucket S3 preferito, noto come destinazione di esportazione. Il file CSV rimane disponibile in questo bucket finché non lo elimini.

Audit Manager utilizza la funzionalità CloudTrail Lake per esportare e fornire file CSV da Evidence Finder. I seguenti fattori definiscono il funzionamento del processo di esportazione in formato CSV:

  • Tutti i risultati della ricerca sono inclusi nel file CSV. Se desideri includere solo risultati di ricerca specifici, ti consigliamo di modificare i filtri di ricerca. In questo modo, puoi restringere i risultati in modo da indirizzare solo le prove che desideri esportare.

  • I file CSV vengono esportati in formato GZIP compresso. Il nome del file CSV predefinito è queryID/result.csv.gz, dove queryID è l'ID della query di ricerca.

  • Le dimensioni file massime per un'esportazione in formato CSV sono di 1 TB. Se esporti più di 1 TB di dati, i risultati vengono suddivisi in più di un file. Ogni file CSV è denominato result_number.csv.gz. Il numero di file CSV che ottieni dipende dalla dimensione totale dei risultati della ricerca. Ad esempio, l'esportazione di 2 TB di dati fornisce due file di risultati delle query: result_1.csv.gz e result_2.csv.gz.

  • Oltre al file CSV, nel bucket S3 viene inviato un file di firma JSON. Questo file funge da checksum per verificare che le informazioni all'interno del file CSV siano accurate. Per ulteriori informazioni, consulta la struttura CloudTrail dei file di firma nella Guida per gli AWS CloudTrail sviluppatori. Per determinare se i risultati della query sono stati modificati, eliminati o sono rimasti invariati dopo la consegna, è possibile utilizzare la convalida dell'integrità dei risultati delle CloudTrail query. Per istruzioni, vedi Convalidare i risultati delle query salvate nella Guida per gli sviluppatori AWS CloudTrail .

Nota

Le risposte testuali manuali alle prove non sono attualmente incluse nelle anteprime di evidence finder o nelle esportazioni in formato CSV. Per visualizzare i dati delle risposte testuali, scegli il nome delle prove manuali nei risultati di Evidence finder per aprire la pagina dei dettagli delle prove. Se è necessario visualizzare i dati di risposta testuale al di fuori della console Gestione audit, si consiglia di generare un rapporto di valutazione dai risultati dell'evidence finder. Tutti i dettagli manuali sulle prove, comprese le risposte testuali, sono inclusi nei report di valutazione.

Segui questa procedura per esportare i risultati della ricerca per la prima volta. Questa procedura offre la possibilità di specificare una destinazione di esportazione predefinita per tutte le esportazioni future. Se non desideri salvare subito una destinazione di esportazione predefinita, puoi farlo in un secondo momento aggiornando le impostazioni della destinazione di esportazione.

Importante

Prima di iniziare, assicurati di avere a disposizione un bucket S3 da utilizzare come destinazione di esportazione. Puoi usare uno dei tuoi bucket S3 esistenti oppure puoi creare un nuovo bucket in Amazon S3. Inoltre, il bucket S3 deve disporre della politica di autorizzazioni necessaria per consentire la scrittura dei file di esportazione CloudTrail al suo interno. Più specificamente, la policy del bucket deve includere un's3:PutObjectazione e l'ARN del bucket ed essere elencata CloudTrail come principale del servizio. Forniamo un esempio di policy di autorizzazione che puoi utilizzare. Per istruzioni su come collegare questa policy al tuo bucket S3, vedi Aggiungere una policy del bucket utilizzando la console Amazon S3.

Per ulteriori suggerimenti, consulta. Suggerimenti di configurazione per la destinazione di esportazione Se riscontri problemi durante l'esportazione di un file CSV, consulta. csv-exports

Esportazione dei risultati della ricerca (esperienza di prima esecuzione)

  1. Nella parte superiore della tabella Visualizza risultati, scegli Esporta CSV.

  2. Specifica il bucket S3 in cui desideri esportare i file.

    • Scegli Sfoglia S3 per selezionarlo dall'elenco dei bucket.

    • In alternativa, puoi inserire l'URI del bucket in questo formato: s3://bucketname/prefix

    Suggerimento

    Per mantenere organizzato il bucket di destinazione, puoi creare una cartella opzionale per le esportazioni in formato CSV. A tale scopo, aggiungi una barra (/) e un prefisso al valore nella casella URI di risorsa (ad esempio, /evidenceFinderExports). Gestione audit include quindi questo prefisso quando aggiunge il file CSV al bucket e Amazon S3 genera il percorso specificato dal prefisso. Per ulteriori informazioni sui prefissi in Amazon S3, vedi Organizzare oggetti nella console Amazon S3 nella Guida per l'utente Amazon Simple Storage Service.

  3. (Facoltativo) Se non desideri salvare questo bucket come destinazione di esportazione predefinita, deseleziona la casella di controllo Salva questo bucket come destinazione di esportazione predefinita nelle impostazioni del mio evidence finder.

  4. Scegli Export (Esporta).

Dopo aver salvato un bucket S3 predefinito come destinazione di esportazione predefinita, puoi seguire questi passaggi da ora in avanti.

Esportazione dei risultati della ricerca (dopo aver salvato una destinazione di esportazione predefinita)

  1. Nella parte superiore della tabella Visualizza risultati, scegli Esporta CSV.

  2. Nel prompt che appare, controlla il bucket S3 predefinito in cui verrà salvato il file esportato.

    1. (Facoltativo) Per continuare a utilizzare questo bucket e nascondere questo messaggio in futuro, seleziona la casella Non ricordarmelo più.

    2. (Facoltativo) Per modificare questo bucket, segui la procedura per aggiornare le impostazioni della destinazione di esportazione.

  3. Scegli Conferma.

A seconda della quantità di dati che stai esportando, il completamento del processo di esportazione può richiedere alcuni minuti. Puoi uscire da evidence finder mentre l'esportazione è in corso. Quando esci da evidence finder, la ricerca viene interrotta e i risultati della ricerca vengono eliminati nella console. Tuttavia, il processo di esportazione in formato CSV continua sullo sfondo. Il file CSV conterrà il set completo di risultati di ricerca corrispondenti alla tua query.

Visualizzazione dei risultati dopo averli esportati

Per trovare il tuo file CSV e verificarne lo stato, vai all'Audit ManagerCentro di download di Gestione audit. Quando il file esportato è pronto, puoi scaricare il file CSV dal centro download.

Puoi anche trovare e scaricare il file CSV dal bucket S3 di destinazione dell'esportazione.

Ritrovamento del file CSV e del file di firma nella console Amazon S3

  1. Apri la console Amazon S3.

  2. Scegli il bucket di destinazione di esportazione che hai specificato quando hai esportato il file CSV.

  3. Esplora la gerarchia di oggetti fino a trovare il file CSV e di firma desiderati. Il file CSV ha un'estensione .csv.gz e il file di firma ha un'estensione .json.

Sarà possibile navigare in una gerarchia di oggetti simile a quella dell'esempio seguente, ma con valori diversi per nome di bucket della destinazione di esportazione, ID account, regione e data.

All Buckets
    Export_Destination_Bucket_Name
        AWSLogs
            Account_ID;
                CloudTrail-Lake
                    Query
                        YYYY
                            MM
                              DD
                                Query_ID

Risorse aggiuntive