証拠ファインダーから検索結果をエクスポートする

検索結果を確認したら、その結果に基づいて評価レポートを生成できます。または、証拠ファインダーの検索結果をCSVファイルにエクスポートすることもできます。

前提条件

次の手順では、証拠ファインダーで検索を実行し、検索結果を確認する手順にすでに従っていることを前提としています。

手順

目次

• 検索結果から評価レポートを生成する
• 検索結果をCSVファイルにエクスポートする
  • 結果をエクスポートした後の表示

検索結果から評価レポートを生成する

検索結果に満足したら、評価レポートを生成できます。

検索結果から評価レポートを生成するには

1. 結果表示表の上部にある評価レポートを生成を選択します。

2. 評価レポートの名前と説明を入力し、評価レポートの詳細を確認します。

3. [Generate assessment report] (評価レポートを生成) を選択します。

評価レポートが生成されるまでには数分かかります。この間、証拠ファインダーから離れることができます。レポートの準備が整うと、緑色の完了通知が表示されます。その後、Audit Manager ダウンロードセンターにアクセスして、評価レポートをダウンロードできます。

注記

Audit Manager は、検索結果の証拠のみを使用して 1 回限りのレポートを生成します。このレポートには、手動で評価ページからレポートに追加された証拠は含まれていません。

評価レポートに含めることができる証拠の量には制限があります。詳細については、「証拠ファインダーの問題のトラブルシューティング」を参照してください。

検索結果をCSVファイルにエクスポートする

証拠ファインダーの検索結果のポータブルバージョンが必要になる場合があります。この場合、検索結果をCSVファイルにエクスポートできます。

検索結果をエクスポートすると、CSVファイルは Audit Manager ダウンロードセンターで 7 日間使用できます。CSV ファイルのコピーは、エクスポート先 と呼ばれる任意の S3 バケットにも配信されます。CSV ファイルは、そのファイルを削除するまで、このバケットで使用できます。

Audit Manager は CloudTrail Lake の機能を使用して、証拠ファインダーからCSVファイルをエクスポートおよび配信します。CSV エクスポートプロセスの仕組みは、次の要素によって定義されます。

• すべての検索結果が CSV ファイルに含まれます。特定の検索結果のみを含める場合は、検索フィルターを編集することをお勧めします。これにより、エクスポートしたい証拠だけをターゲットにするように結果を絞り込むことができます。

• CSV ファイルは圧縮形式でエクスポートされますGZIP。デフォルトのCSVファイル名は でqueryID/result.csv.gz、 queryIDは検索クエリの ID です。

• CSV エクスポートの最大ファイルサイズは 1 TB です。1 TB を超えるデータをエクスポートする場合、結果は複数のファイルに分割されます。各CSVファイルの名前は ですresult_number.csv.gz。取得するCSVファイルの数は、検索結果の合計サイズによって異なります。例えば、2 TB のデータをエクスポートすると、result_1.csv.gzとresult_2.csv.gzの 2 つのクエリ結果のファイルが作成されます。

• CSV ファイルに加えて、JSON署名ファイルが S3 バケットに配信されます。このファイルは、CSVファイル内の情報が正確であることを確認するチェックサムとして機能します。詳細については、「 AWS CloudTrail デベロッパーガイド」のCloudTrail 「ファイル構造に署名する」を参照してください。クエリ結果が配信後に変更、削除、または変更されていないかどうかを判断するには、 CloudTrail クエリ結果の整合性検証を使用できます。手順については、「AWS CloudTrail 開発者ガイド」の「保存したクエリ結果の検証」を参照してください。

注記

現在、手動証拠テキストレスポンスは証拠ファインダーのプレビューやCSVエクスポートに含まれていません。テキストレスポンスデータを表示するには、証拠ファインダーの結果から手動証拠名を選択し、証拠詳細ページを開きます。Audit Manager コンソールの外部でテキストレスポンスデータを表示する必要がある場合は、証拠ファインダーの結果から評価レポートを生成することをお勧めします。テキストレスポンスを含め、手動証拠の詳細はすべて評価レポートに含まれます。

結果を初めてエクスポートする場合

検索結果を初めてエクスポートするには、以下の手順に従います。この手順では、今後のすべてのエクスポートに対してデフォルトのエクスポート先を指定するオプションを提供します。デフォルトのエクスポート先を今すぐ保存したくない場合は、エクスポート先の設定を更新することで後で保存できます。

重要

開始する前に、エクスポート先として使用できる S3 バケットがあることを確認します。既存の S3 バケットを使用するか、Amazon S3 で新しいバケットを作成することができます。さらに、S3 バケットには、 がエクスポートファイルを CloudTrail 書き込むために必要なアクセス許可ポリシーが必要です。より具体的には、バケットポリシーには s3:PutObjectアクションと バケット が含まれARN、サービスプリンシパル CloudTrail としてリストされている必要があります。使用できるアクセス権限ポリシーの例を提供しています。このポリシーを S3 バケットにアタッチする方法については、「Amazon S3 コンソールを使用してバケットポリシーを追加する」を参照してください。

その他のヒントについては、「」を参照してくださいエクスポート先の設定に関するヒント。CSV ファイルのエクスポート中に問題が発生した場合は、「」を参照してくださいcsv-exports。

検索結果をエクスポートするには (初回実行時)

1. 結果の表示テーブルの上部で、エクスポート CSVを選択します。

2. ファイルのエクスポート先の S3 バケットを指定します。

   • Browse S3 を選択し、バケットのリストから選択します。

   • または、次のURI形式でバケットを入力することもできます。 s3://bucketname/prefix

   ヒント

   レプリケート先バケットを整理しておくために、CSVエクスポート用のオプションのフォルダを作成できます。これを行うには、リソースURIボックスの値にスラッシュ (/) とプレフィックスを追加します (例: /evidenceFinderExports）。その後、Audit Manager はバケットにCSVファイルを追加するときにこのプレフィックスを含め、Amazon S3 はプレフィックスで指定されたパスを生成します。Amazon S3 でのプレフィックスの詳細については、「Amazon Simple Storage Service ユーザーガイド」の「Amazon S3 コンソールのオブジェクトを整理する」を参照してください。

3. (オプション) このバケットをデフォルトのエクスポート先として保存したくない場合は、証拠ファインダー設定でこのバケットをデフォルトのエクスポート先として保存するというチェックボックスを解除します。

4. [エクスポート] をクリックします。

エクスポート先を保存した後で結果をエクスポートする

デフォルトの S3 バケットをデフォルトのエクスポート先として保存したら、次の手順に従って次に進むことができます。

検索結果をエクスポートするには (デフォルトのエクスポート先を保存した後に)

1. 結果の表示テーブルの上部で、エクスポート CSVを選択します。

2. 表示されるプロンプトで、エクスポートされたファイルが保存されるデフォルトの S3 バケットを確認します。

   1. (オプション) このバケットを引き続き使用してこのメッセージを非表示にするには、「今後通知しない」ボックスをチェックしてください。

   2. (オプション) このバケットを変更するには、手順に従ってエクスポート先の設定を更新してください。

3. [確認] を選択します。

エクスポートするデータの量によっては、エクスポートプロセスが完了するまでに数分かかることがあります。エクスポート中は、証拠ファインダーから別の場所に移動できます。証拠ファインダーから離れると、検索は停止し、検索結果はコンソール内で破棄されます。ただし、CSVエクスポートプロセスはバックグラウンドで続行されます。CSV ファイルには、クエリに一致した検索結果の完全なセットが含まれます。

結果をエクスポートした後の表示

CSV ファイルを検索してそのステータスを確認するには、Audit Manager に移動しますAudit Manager のダウンロードセンター。エクスポートしたファイルの準備ができたら、ダウンロードセンターからCSVファイルをダウンロードできます。

エクスポート先 S3 バケットから CSV ファイルを検索してダウンロードすることもできます。

Amazon S3 コンソールでCSVファイルと署名ファイルを検索するには

1. Amazon S3 コンソールを開きます。

2. CSV ファイルをエクスポートしたときに指定したエクスポート先バケットを選択します。

3. ファイルと署名CSVファイルが見つかるまで、オブジェクト階層内を移動します。CSV ファイルには.csv.gz拡張子があり、署名ファイルには.json拡張子があります。

次の例のように、オブジェクト階層を移動することになりますが、エクスポート先のバケット名、アカウント ID、日付、およびクエリ ID は異なります。

All Buckets
    Export_Destination_Bucket_Name
        AWSLogs
            Account_ID;
                CloudTrail-Lake
                    Query
                        YYYY
                            MM
                              DD
                                Query_ID

追加リソース

• 証拠ファインダーの問題のトラブルシューティング

• エビデンスファインダーのデフォルトのエクスポート先の設定