평가 및 증거 수집 문제 해결

이 페이지의 정보를 사용하여 Audit Manager의 일반적인 평가 및 증거 수집 문제를 해결할 수 있습니다.

증거 수집 문제

• 저는 평가를 생성했지만 아직 아무 증거도 볼 수 없습니다.

• 내 평가 결과는 다음과 같은 규정 준수 검사 증거를 수집하는 것이 아닙니다. AWS Security Hub

• 내 평가는 다음과 같은 규정 준수 점검 증거를 수집하는 것이 아닙니다. AWS Config

• 나의 평가는 AWS CloudTrail으로부터 사용자 활동 증거를 수집하고 있지 않습니다.

• 내 평가에서는 AWS API 호출에 대한 구성 데이터 증거를 수집하지 않습니다.

• 일반적인 관리 방법은 자동화된 증거를 수집하지 않는 것입니다.

• 나의 증거는 서로 다른 간격으로 생성되는데, 얼마나 자주 수집되고 있는지 잘 모르겠습니다.

• Audit Manager를 비활성화했다가 다시 활성화했더니 이제 저의 기존 평가가 더 이상 증거를 수집하지 않는군요.

• 평가 세부 정보 페이지에 평가를 다시 만들라는 메시지가 표시됩니다.

• 데이터 원본과 근거 원본의 차이는 무엇입니까?

평가 문제

• 나의 평가 생성은 실패했습니다.

• 범위 내 계정을 나의 조직에서 제거하면 어떻게 되나요?

• 평가 범위에 해당하는 서비스를 볼 수 없습니다.

• 평가 범위 내에서 서비스를 수정하려 하는데 안 됩니다.

• 서비스 범위와 데이터 소스 유형의 차이는 무엇인가요?

저는 평가를 생성했지만 아직 아무 증거도 볼 수 없습니다.

귀하가 증거를 찾을 수 없다면 평가를 생성한 후 최소 24시간을 기다리지 않으셨거나 구성 오류가 있었을 것입니다.

다음을 수행하는 것이 좋습니다.

1. 평가를 생성한 후 24시간이 지났는지 확인하세요. 평가를 생성한 지 24시간 후에 자동 증거가 제공됩니다.

2. 증거가 나올 것으로 예상되는 AWS 리전 것과 동일한 방식으로 Audit Manager를 사용하고 있는지 확인하십시오. AWS 서비스

3. AWS Config 및 AWS Security Hub에서 규정 준수 확인 증거를 볼 것으로 예상되는 경우 Security Hub AWS Config 콘솔과 Security Hub 콘솔 모두에 이러한 검사 결과가 표시되는지 확인하십시오. AWS Config 및 Security Hub 결과는 Audit Manager를 사용한 결과와 동일하게 AWS 리전 표시되어야 합니다.

이러한 문제 중 하나로 인한 것이 아님에도 여전히 평가에서 증거를 확인할 수 없는 경우 이 페이지에 설명된 다른 잠재적 원인을 확인해 보세요.

내 평가 결과는 다음과 같은 규정 준수 검사 증거를 수집하는 것이 아닙니다. AWS Security Hub

AWS Security Hub 제어에 대한 규정 준수 확인 증거가 보이지 않는 경우 다음 문제 중 하나가 원인일 수 있습니다.

AWS Security Hub 의 구성이 누락되었습니다.

AWS Security Hub를 활성화했을 때 일부 구성 단계를 놓친 경우 이 문제가 발생할 수 있습니다.

이 문제를 해결하려면 Audit Manager에 필요한 설정으로 Security Hub를 활성화했는지 확인하십시오. 지침은 AWS Security Hub 활성화 및 설정(선택 사항) 섹션을 참조하세요.

귀하의 ControlMappingSource에 Security Hub 제어 이름을 잘못 입력했습니다.

Audit Manager API를 사용하여 사용자 지정 제어를 생성할 때 Security Hub 제어를 증거 수집을 위한 데이터 소스 매핑으로 지정할 수 있습니다. 이렇게 하려면 제어 ID를 keywordValue로 입력합니다 .

Security Hub 제어에 대한 규정 준수 검사 증거가 보이지 않는다면 keywordValue이 귀하의 ControlMappingSource에 잘못 입력된 것일 수 있습니다. keywordValue 값은 대소문자를 구분합니다. 잘못 입력하면 Audit Manager에서 해당 규칙을 인식하지 못할 수 있습니다. 따라서 예상대로 해당 제어에 대한 규정 준수 확인 증거를 수집하지 못할 수 있습니다.

이 문제를 해결하려면 사용자 지정 제어를 업데이트하고 keywordValue를 수정하세요. Security Hub 키워드의 올바른 형식은 다양합니다. 정확성을 위해 의 목록을 참조하십시오지원하는 Security Hub 컨트롤 .

AuditManagerSecurityHubFindingsReceiverAmazon EventBridge 규칙이 누락되었습니다

Audit Manager를 활성화하면 Amazon에서 이름이 지정된 AuditManagerSecurityHubFindingsReceiver 규칙이 자동으로 생성되고 활성화됩니다 EventBridge. 이 규칙을 통해 Audit Manager는 Security Hub 조사 결과를 증거로 수집할 수 있습니다.

이 규칙이 Security Hub를 사용하는 AWS 리전 곳에서 나열되고 활성화되지 않은 경우, Audit Manager는 해당 지역에 대한 Security Hub 조사 결과를 수집할 수 없습니다.

이 문제를 해결하려면 EventBridge 콘솔로 이동하여 해당 AuditManagerSecurityHubFindingsReceiver 규칙이 사용자 계정에 존재하는지 확인하십시오 AWS 계정. 규칙이 없는 경우 Audit Manager를 비활성화한 다음 서비스를 다시 활성화하실 것을 권고합니다. 이렇게 해도 문제가 해결되지 않거나 Audit Manager를 비활성화는 것이 선택지가 아닌 경우, 지원을 위해 AWS Support에 연락하세요.

Security Hub에서 만든 서비스 연결 AWS Config 규칙

Audit Manager는 Security Hub가 생성하는 서비스 연결 AWS Config 규칙에서 증거를 수집하지 않는다는 점을 기억하십시오. 이는 Security Hub 서비스에 의해 활성화되고 제어되는 특정 유형의 관리형 AWS Config 규칙입니다. Security Hub는 동일한 규칙의 다른 인스턴스가 이미 존재하더라도 사용자 AWS 환경에 이러한 서비스 연결 규칙의 인스턴스를 생성합니다. 따라서 증거 중복을 방지하기 위해 Audit Manager는 서비스 연결 규칙에서의 증거 수집을 지원하지 않습니다.

Security Hub에서 보안 제어를 비활성화했습니다. Audit Manager는 해당 보안 제어에 대한 규정 준수 확인 증거를 수집합니까?

Audit Manager는 비활성화된 보안 제어에 대한 증거를 수집하지 않습니다.

Security Hub에서 보안 제어 상태를 비활성화로 설정하면 현재 계정 및 지역에서 해당 컨트롤에 대한 보안 검사가 수행되지 않습니다. 따라서 Security Hub에서 보안 결과를 확인할 수 없으며 Audit Manager는 관련 증거를 수집하지 않습니다.

Audit Manager는 Security Hub에서 설정한 비활성화 상태를 고려하여 의도적으로 비활성화한 제어를 제외하고 해당 환경과 관련된 활성 보안 제어 및 조사 결과를 정확하게 평가에 반영하도록 합니다.

Security Suppressed Hub에서 검색 결과 상태를 설정했습니다. Audit Manager는 해당 결과에 대한 규정 준수 점검 증거를 수집합니까?

Audit Manager는 발견을 차단한 보안 제어 기능에 대한 증거를 수집합니다.

Security Hub에서 검색 결과의 워크플로 상태를 숨김으로 설정하면 검색 결과를 검토한 결과 조치가 필요하지 않다고 판단된다는 의미입니다. Audit Manager에서는 이러한 숨겨진 결과를 증거로 수집하여 평가에 첨부합니다. 증거 세부 정보는 Security Hub에서 직접 SUPPRESSED 보고된 보고서의 평가 상태를 보여줍니다.

이 접근 방식을 사용하면 Audit Manager 평가가 Security Hub의 조사 결과를 정확하게 반영하는 동시에 감사 시 추가 검토 또는 고려가 필요할 수 있는 숨겨진 조사 결과에 대한 가시성을 제공할 수 있습니다.

내 평가는 다음과 같은 규정 준수 점검 증거를 수집하는 것이 아닙니다. AWS Config

AWS Config 규칙에 대한 규정 준수 검사 증거가 보이지 않는 경우 다음 문제 중 하나가 원인일 수 있습니다.

규칙 식별자가 귀하의 ControlMappingSource 내에 잘못 입력되었습니다

Audit Manager API를 사용하여 사용자 지정 제어를 만들 때 증거 수집을 위한 데이터 소스 매핑으로 AWS Config 규칙을 지정할 수 있습니다. 귀하가 지정하는 keywordValue는 규칙 유형에 따라 다릅니다.

규칙에 대한 규정 준수 검사 증거가 보이지 않는 경우 규칙에 해당 AWS Config 규칙이 잘못 keywordValue 입력된 것일 수 있습니다ControlMappingSource. keywordValue 값은 대소문자를 구분합니다. 잘못 입력하시면 Audit Manager가 규칙을 인식하지 못할 수 있습니다. 따라서 의도한 대로 해당 규칙에 대한 규정 준수 확인 증거를 수집하지 못할 수 있습니다.

이 문제를 해결하려면 사용자 지정 제어를 업데이트하고 keywordValue를 수정하세요.

• 사용자 지정 규칙의 경우 keywordValue에 Custom_ 접두사를 붙이고, 그 뒤에 사용자 지정 규칙 이름이 오는지 확인하세요. 사용자 지정 규칙 이름의 형식은 다를 수 있습니다. 정확성을 위해 AWS Config 콘솔을 방문하여 사용자 지정 규칙 이름을 확인하세요.

• 관리형 규칙의 경우 keywordValue가 ALL_CAPS_WITH_UNDERSCORES 안의 규칙 식별자인지 확인하세요. 예: CLOUDWATCH_LOG_GROUP_ENCRYPTED. 정확성을 위해 지원되는 관리형 규칙 키워드 목록을 참조하세요.

  참고

  일부 관리형 규칙의 경우 규칙 식별자가 규칙 이름과 다릅니다. 예를 들어, stricted-ssh의 규칙 식별자는 INCOMING_SSH_DISABLED입니다. 규칙 이름이 아닌 규칙 식별자를 사용해야 합니다. 규칙 식별자를 찾으려면 관리형 규칙 목록에서 규칙을 선택하고 해당 식별자 값을 찾아보세요.

규칙은 서비스 AWS Config 연결 규칙입니다.

관리형 규칙 및 사용자 지정 규칙을 증거 수집을 위한 데이터 소스 매핑으로 사용할 수 있습니다. 하지만 Audit Manager는 대부분의 서비스 연결 규칙에서 증거를 수집하지 않습니다.

Audit Manager가 증거를 수집하는 서비스 연결 규칙에는 다음 두 가지 유형만 있습니다.

• 적합성 팩의 서비스 연결 규칙

• 서비스 연결 규칙: AWS Organizations

Audit Manager는 다른 서비스 연결 규칙, 특히 arn:aws:config:*:*:config-rule/aws-service-rule/... 접두사가 포함된 Amazon 리소스 이름(ARN)이 있는 규칙에서 증거를 수집하지 않습니다.

Audit Manager가 대부분의 서비스 관련 AWS Config 규칙에서 증거를 수집하지 않는 이유는 평가에서 증거가 중복되는 것을 방지하기 위함입니다. 서비스 연결 규칙은 다른 AWS 서비스 사람이 사용자 계정에 규칙을 생성할 수 있도록 하는 특정 유형의 관리형 AWS Config 규칙입니다. 예를 들어 일부 Security Hub 컨트롤은 AWS Config 서비스 연결 규칙을 사용하여 보안 검사를 실행합니다. 서비스 연결 AWS Config 규칙을 사용하는 각 Security Hub 컨트롤에 대해 Security Hub는 사용자 AWS 환경에 필요한 AWS Config 규칙의 인스턴스를 만듭니다. 귀하의 계정에 이전 규칙이 이미 있는 경우에도 이 문제가 발생합니다. 따라서 동일한 규칙에서 동일한 증거를 두 번 수집하지 않기 위해 Audit Manager는 서비스 연결 규칙을 무시하고 해당 규칙에서 증거를 수집하지 않습니다.

AWS Config 활성화되지 않았습니다.

AWS Config 에서 활성화해야 합니다 AWS 계정. 이러한 AWS Config 방식으로 설정하면 Audit Manager는 AWS Config 규칙이 평가될 때마다 증거를 수집합니다. AWS Config 에서 활성화했는지 확인하십시오 AWS 계정. 지침은 활성화 및 설정을 참조하십시오 AWS Config.

AWS Config 규칙은 평가를 설정하기 전에 리소스 구성을 평가했습니다.

AWS Config 규칙이 특정 리소스의 구성 변경을 평가하도록 설정된 경우 Audit Manager의 AWS Config 평가와 증거 간에 불일치가 발생할 수 있습니다. 이는 Audit Manager 평가에서 제어를 설정하기 전에 규칙 평가가 수행된 경우에 발생합니다. 이 경우 Audit Manager는 기저에 있는 리소스의 상태가 다시 변경되어 규칙의 재평가를 촉발할 때까지 증거를 생성하지 않습니다.

해결 방법으로 AWS Config 콘솔에서 규칙으로 이동하여 규칙을 수동으로 재평가할 수 있습니다. 그러면 해당 규칙과 관련된 모든 리소스에 대한 새로운 평가가 시작됩니다.

나의 평가는 AWS CloudTrail으로부터 사용자 활동 증거를 수집하고 있지 않습니다.

Audit Manager API를 사용하여 사용자 지정 컨트롤을 만들 때 CloudTrail 이벤트 이름을 증거 수집을 위한 데이터 소스 매핑으로 지정할 수 있습니다. 이렇게 하려면 이벤트 이름을 keywordValue로 입력합니다.

CloudTrail 이벤트에 대한 사용자 활동 증거가 보이지 않는 경우 에 가 잘못 keywordValue 입력된 것일 수 있습니다ControlMappingSource. keywordValue 값은 대소문자를 구분합니다. 잘못 입력하면 Audit Manager가 이벤트 이름을 인식하지 못할 수 있습니다. 그 결과 해당 이벤트에 대한 사용자 활동 증거를 의도한 대로 수집하지 못할 수 있습니다.

이 문제를 해결하려면 사용자 지정 제어를 업데이트하고 keywordValue를 수정하세요. 이벤트가 serviceprefix_ActionName로서 작성되었는지 확인하세요. 예를 들어 cloudtrail_StartLogging입니다. 정확성을 위해 서비스 인증 참조의 AWS 서비스 접두사와 작업 이름을 검토하세요.

내 평가에서는 AWS API 호출에 대한 구성 데이터 증거를 수집하지 않습니다.

Audit Manager API를 사용하여 사용자 지정 컨트롤을 만들 때 AWS API 호출을 증거 수집을 위한 데이터 소스 매핑으로 지정할 수 있습니다. 이렇게 하려면 API 직접 호출을 keywordValue로 입력합니다.

AWS API 호출에 대한 구성 데이터 증거가 보이지 않는 경우 에 가 잘못 keywordValue 입력된 것일 수 있습니다ControlMappingSource. keywordValue 값은 대/소문자를 구분합니다. 잘못 입력하면 Audit Manager에서 API 호출을 인식하지 못할 수 있습니다. 그 결과 해당 API 호출에 대한 구성 데이터 증거를 의도대로 수집하지 못할 수 있습니다.

이 문제를 해결하려면 사용자 지정 제어를 업데이트하고 keywordValue를 수정하세요. API 직접 호출이 serviceprefix_ActionName로 작성되었는지 확인합니다. 예를 들어 iam_ListGroups입니다. 정확성을 위해 의 AWS 에서 지원하는 API 호출 AWS Audit Manager 목록을 참조하십시오.

일반적인 관리 방법은 자동화된 증거를 수집하지 않는 것입니다.

공통 컨트롤을 검토할 때 다음과 같은 메시지가 표시될 수 있습니다. 이 공통 컨트롤은 핵심 컨트롤에서 자동화된 증거를 수집하지 않습니다.

즉, 현재 이 공통 제어를 지원할 수 있는 AWS 관리된 증거 자료는 없습니다. 따라서 증거 출처 탭은 비어 있고 핵심 컨트롤은 표시되지 않습니다.

공통 컨트롤이 자동 증거를 수집하지 않는 경우를 수동 공통 컨트롤이라고 합니다. 수동 공통 제어를 수행하려면 일반적으로 물리적 기록과 서명 또는 AWS 환경 외부에서 발생하는 이벤트에 대한 세부 정보를 제공해야 합니다. 이러한 이유로 컨트롤의 요구 사항을 뒷받침하는 증거를 제시할 수 있는 AWS 데이터 소스가 없는 경우가 많습니다.

공통 컨트롤이 수동인 경우에도 이를 사용자 지정 컨트롤의 근거 소스로 사용할 수 있습니다. 유일한 차이점은 공통 컨트롤은 증거를 자동으로 수집하지 않는다는 것입니다. 대신 공통 통제의 요구 사항을 뒷받침하는 자체 증거를 직접 업로드해야 합니다.

수동 공통 통제에 증거를 추가하려면

1. 사용자 지정 컨트롤 만들기

   • 단계에 따라 사용자 지정 컨트롤을 만들거나 편집합니다.

   • 2단계에서 증거 출처를 지정할 때는 수동 공통 제어를 증거 소스로 선택하십시오.

2. 사용자 지정 프레임워크를 만드세요.

   • 단계에 따라 사용자 지정 프레임워크를 만들거나 편집하세요.

   • 2단계에서 컨트롤 세트를 지정할 때는 새 사용자 지정 컨트롤을 포함하세요.

3. 평가 생성하기

   • 단계에 따라 사용자 지정 프레임워크에서 평가를 생성하세요.

   • 이제 수동 공통 제어가 활성 평가 제어의 근거 자료가 되었습니다.

4. 수동 증거 업로드

   • 단계에 따라 평가의 컨트롤에 수동 증거를 추가하세요.

참고

앞으로 더 많은 AWS 데이터 소스를 사용할 수 있게 되면 핵심 컨트롤을 근거 소스로 포함하도록 공통 컨트롤을 업데이트할 AWS 수 있습니다. 이 경우 공통 통제가 활성 평가 통제 항목 중 하나 이상에서 근거 자료인 경우 이러한 업데이트의 이점을 자동으로 활용할 수 있습니다. 별도의 설정이 필요하지 않으므로 공통 제어를 뒷받침하는 자동화된 증거를 수집하기 시작할 수 있습니다.

나의 증거는 서로 다른 간격으로 생성되는데, 얼마나 자주 수집되고 있는지 잘 모르겠습니다.

Audit Manager 평가의 제어 기능은 다양한 데이터 소스에 매핑됩니다. 데이터 소스마다 증거 수집 빈도가 다릅니다. 따라서 증거가 얼마나 자주 수집되는지에 대한 one-size-fits-all 답은 없습니다. 일부 데이터 소스는 규정 준수를 평가하는 반면, 다른 데이터 소스는 규정 준수 결정 없이 리소스 상태 및 변경 데이터만 캡처합니다.

다음은 다양한 데이터 소스 유형과 이러한 데이터 소스가 증거를 수집하는 빈도를 요약한 것입니다.

데이터 소스 유형	설명	증거 수집 빈도	평가에서 이 제어가 활성화된 경우
AWS CloudTrail	특정 사용자 활동 추적	연속	Audit Manager는 선택한 키워드를 기반으로 CloudTrail 로그를 필터링합니다. 처리된 로그는 사용자 활동을 증거로 가져옵니다.
AWS Security Hub	Security Hub의 조사 결과를 보고하여 리소스 보안 상태의 스냅샷을 캡처합니다.	Security Hub 점검 일정 기준(일반적으로 약 12시간마다)	Audit Manager는 Security Hub에서 직접 보안 조사 결과를 검색합니다. 조사 결과를 규정 준수 검사 증거로 가져옵니다.
AWS Config	의 조사 결과를 보고하여 리소스 보안 상태의 스냅샷을 AWS Config캡처합니다.	AWS Config 규칙에 정의된 설정을 기반으로 합니다.	Audit Manager는 에서 AWS Config직접 규칙 평가를 검색합니다. 평가를 규정 준수 검사 증거로 가져옵니다.
AWS API 호출	지정된 항목에 대한 API 호출을 통해 리소스 구성의 스냅샷을 직접 생성합니다 AWS 서비스.	일별, 주별 또는 월별	Audit Manager는 귀하가 지정한 빈도에 따라 API 직접 호출을 수행합니다. 그 응답은 구성 데이터 증거로 가져옵니다.

증거 수집 빈도에 관계없이 평가가 진행 중인 동안에는 새 증거가 자동으로 수집됩니다. 자세한 정보는 증거 수집 빈도을 참조하세요.

자세한 내용은 자동 증거에 지원되는 데이터 소스 유형 및 통제 대상 증거 수집 빈도 변경 섹션을 참조하세요.

Audit Manager를 비활성화했다가 다시 활성화했더니 이제 저의 기존 평가가 더 이상 증거를 수집하지 않는군요.

Audit Manager를 비활성화하고 데이터를 삭제하지 않기로 선택하면 기존 평가가 휴면 상태로 전환되고 증거 수집이 중단됩니다. 즉, 이는 Audit Manager를 다시 활성화하면 귀하가 이전에 생성한 평가를 계속 사용할 수 있다는 뜻입니다. 하지만 증거 수집을 자동으로 재개하지는 않습니다.

기존 평가에 대한 증거 수집을 다시 시작하려면 평가를 편집하고 변경 없이 저장을 선택합니다.

평가 세부 정보 페이지에 평가를 다시 만들라는 메시지가 표시됩니다.

보다 포괄적인 증거 수집을 위해 새 평가 만들기라는 메시지가 표시되면 이제 Audit Manager가 평가를 만든 표준 프레임워크에 대한 새로운 정의를 제공한다는 의미입니다.

새 프레임워크 정의에서는 이제 프레임워크의 모든 표준 제어 기능을 통해 AWS 관리되는 소스로부터 증거를 수집할 수 있습니다. 즉, 공통 또는 핵심 컨트롤에 대한 기본 데이터 소스가 업데이트될 때마다 Audit Manager는 모든 관련 표준 컨트롤에 동일한 업데이트를 자동으로 적용합니다.

이러한 AWS 관리형 소스의 이점을 활용하려면 업데이트된 프레임워크에서 새 평가를 생성하는 것이 좋습니다. 이렇게 한 후 이전 평가 상태를 비활성으로 변경할 수 있습니다. 이렇게 하면 새 평가에서 AWS 관리되는 출처에서 사용할 수 있는 가장 정확하고 포괄적인 증거를 수집할 수 있습니다. 아무런 조치를 취하지 않아도 평가에서는 계속해서 이전 프레임워크와 통제 정의를 사용하여 이전과 똑같이 증거를 수집합니다.

데이터 원본과 근거 원본의 차이는 무엇입니까?

증거 출처는 증거 수집 위치를 결정합니다. 이는 개별 데이터 원본일 수도 있고, 핵심 통제 또는 공통 대조군에 매핑되는 사전 정의된 데이터 원본 그룹일 수도 있습니다.

데이터 원본은 가장 세분화된 유형의 증거 소스입니다. 데이터 소스에는 증거 데이터를 정확히 어디에서 수집해야 하는지 Audit Manager에 알려주는 다음과 같은 세부 정보가 포함됩니다.

• 데이터 소스 유형 (예: AWS Config)

• 데이터 소스 매핑 (예: 다음과 같은 특정 AWS Config 규칙s3-bucket-public-write-prohibited)

나의 평가 생성은 실패했습니다.

평가 생성에 실패했다면 평가 범위에서 너무 많은 AWS 계정 를 선택했기 때문일 수 있습니다. 를 사용하는 AWS Organizations경우 Audit Manager는 단일 평가 범위에서 최대 200개의 회원 계정을 지원할 수 있습니다. 이 수를 초과할 경우 평가 생성이 실패할 수 있습니다. 해결 방법으로 각 평가의 범위 내에서 서로 다른 계정을 사용하여 여러 평가를 실행할 수 있습니다.

범위 내 계정을 나의 조직에서 제거하면 어떻게 되나요?

범위 내 계정이 귀하의 조직에서 제거되면 Audit Manager는 더 이상 해당 계정에 대한 증거를 수집하지 않습니다. 하지만 해당 계정은 AWS 계정 탭 아래 귀하의 평가에 계속 표시됩니다. 범위 내 계정 목록에서 계정을 제거하려면 평가를 편집하세요. 제거된 계정은 편집하는 동안 목록에 더 이상 표시되지 않으므로 해당 계정이 범위에 포함되지 않은 상태에서 변경 내용을 저장할 수 있습니다.

평가 범위에 해당하는 서비스를 볼 수 없습니다.

AWS 서비스탭이 보이지 않으면 Audit Manager가 범위 내 서비스를 대신 관리한다는 의미입니다. 새 평가를 생성하면 Audit Manager는 해당 시점부터 해당 범위 내에서 서비스를 관리합니다.

이전 평가가 있는 경우 이전에 평가에서 이 탭을 보았을 수 있습니다. 하지만 Audit Manager는 다음 이벤트 중 하나가 발생할 경우 평가에서 이 탭을 자동으로 제거하고 범위 내 서비스 관리를 맡습니다.

• 평가를 편집합니다.

• 평가에 사용된 사용자 지정 컨트롤 중 하나를 수정합니다.

Audit Manager는 평가 제어 및 해당 데이터 소스를 검토한 다음 이 정보를 해당 정보와 매핑하여 서비스 범위를 추론합니다. AWS 서비스평가의 기본 데이터 소스가 변경되는 경우 올바른 서비스를 반영하기 위해 필요에 따라 범위를 자동으로 업데이트합니다. 이렇게 하면 평가를 통해 사용자 AWS 환경의 모든 관련 서비스에 대한 정확하고 포괄적인 증거를 수집할 수 있습니다.

평가 범위 내에서 서비스를 수정하려 하는데 안 됩니다.

에서 평가 편집 AWS Audit Manager워크플로우에는 더 이상 서비스 편집 단계가 없습니다. 이는 이제 Audit AWS 서비스 Manager가 평가 범위 내에 있는 항목을 관리하기 때문입니다.

이전 평가가 있는 경우 평가를 생성할 때 범위 내에서 서비스를 수동으로 정의했을 수 있습니다. 하지만 앞으로는 이러한 서비스를 수정할 수 없습니다. Audit Manager는 다음 이벤트 중 하나가 발생할 경우 평가 범위 내의 서비스 관리를 자동으로 인계합니다.

• 평가를 편집합니다.

• 평가에 사용된 사용자 지정 컨트롤 중 하나를 수정합니다.

Audit Manager는 평가 제어 및 해당 데이터 소스를 검토한 다음 이 정보를 해당 정보와 매핑하여 서비스 범위를 추론합니다. AWS 서비스평가의 기본 데이터 소스가 변경되는 경우 올바른 서비스를 반영하기 위해 필요에 따라 범위를 자동으로 업데이트합니다. 이렇게 하면 평가를 통해 사용자 AWS 환경의 모든 관련 서비스에 대한 정확하고 포괄적인 증거를 수집할 수 있습니다.

서비스 범위와 데이터 소스 유형의 차이는 무엇인가요?

service in scopeA는 AWS 서비스 평가 범위에 포함되는 항목입니다. 서비스가 범위 내에 있는 경우 Audit Manager는 해당 서비스 및 해당 리소스의 사용에 대한 증거를 수집합니다.

참고

Audit AWS 서비스 Manager는 평가 범위에 포함되는 항목을 관리합니다. 이전 평가가 있는 경우 과거에 서비스 범위를 수동으로 지정했을 수 있습니다. 앞으로는 범위 내에서 서비스를 지정하거나 편집할 수 없습니다.

데이터 소스 유형은 증거가 어디에서 수집되는지 정확한 위치를 나타냅니다. 사용자만의 고유 증거를 업로드하는 경우, 데이터 소스 유형은 수동입니다. Audit Manager가 증거를 수집하는 경우 데이터 소스는 네 가지 유형 중 하나일 수 있습니다.

1. AWS Security Hub — Security Hub의 조사 결과를 보고하여 리소스 보안 상태의 스냅샷을 캡처합니다.

2. AWS Config — 의 조사 결과를 보고하여 리소스 보안 상태의 스냅샷을 AWS Config캡처합니다.

3. AWS CloudTrail — 리소스의 특정 사용자 활동을 추적합니다.

4. AWS API 호출 — 특정 사용자에 대한 API 호출을 통해 리소스 구성의 스냅샷을 직접 생성합니다 AWS 서비스.

다음은 서비스 범위와 데이터 소스 유형 간의 차이를 보여주는 두 가지 예입니다.

예 1

4.1.2 - S3 버킷에 대한 공개 쓰기 액세스 허용 안 함이라고 명명된 제어에 대한 증거를 수집하려고 한다고 가정해 보겠습니다. 이 제어는 S3 버킷 정책의 액세스 수준을 확인합니다. 이 제어의 경우 Audit Manager는 특정 AWS Config 규칙 (s3- bucket-public-write-prohibited) 을 사용하여 S3 버킷에 대한 평가를 찾습니다. 이 예에서 이하의 내용이 모두 적용됩니다.

• 아마존 service in scope S3입니다

• 평가 대상 리소스는 S3 버킷입니다.

• 데이터 소스 유형은 다음과 같습니다. AWS Config

• 데이터 소스 매핑은 특정 AWS Config 규칙 (s3-bucket-public-write-prohibited)

예제 2

이름이 164.308(a)(5)(ii)(C)인 HIPAA 제어에 대한 증거를 수집하려고 한다고 가정해 보겠습니다. 이 제어에는 부적절한 로그인을 탐지하기 위한 모니터링 절차가 필요합니다. 이 제어를 위해 Audit Manager는 CloudTrail 로그를 사용하여 모든 AWS 관리 콘솔 로그인 이벤트를 찾습니다. 이 예에서 이하의 내용이 모두 적용됩니다.

• service in scopeIAM입니다.

• 평가 대상 리소스는 귀하의 사용자입니다.

• 데이터 소스 유형은 다음과 같습니다. CloudTrail

• 데이터 소스 매핑은 특정 CloudTrail 이벤트 (ConsoleLogin)