Compreender AWS Audit Manager conceitos e terminologia

Avaliação

Você pode usar uma avaliação do Audit Manager para coletar automaticamente evidências relevantes a uma auditoria.

Uma avaliação do Audit Manager é baseada em um framework, um agrupamento de controles relacionados à sua auditoria. Você pode criar uma avaliação a partir de um framework padrão ou personalizado. Frameworks padrão contêm conjuntos de controle predefinidos que oferecem suporte a um padrão ou regulamento de conformidade específico. Por outro lado, as estruturas personalizadas contêm controles que você pode personalizar e agrupar de acordo com seus requisitos específicos de auditoria. Usando uma estrutura como ponto de partida, você pode criar uma avaliação que especifique o Contas da AWS que você deseja incluir no escopo de sua auditoria.

Quando você cria uma avaliação, o Audit Manager começa automaticamente a avaliar os recursos em sua empresa Contas da AWS com base nos controles definidos na estrutura. Em seguida, ele coleta as evidências relevantes e as converte em um formato amigável para o auditor. Depois de fazê-lo, ele anexa as evidências aos controles em sua avaliação. Na hora de fazer uma auditoria, você ou um representante de sua escolha pode analisar as evidências coletadas e adicioná-las a um relatório de avaliação. Este relatório de avaliação ajuda a mostrar que seus controles estão funcionando conforme o esperado.

A coleta de evidências é um processo continuo, que começa quando você cria uma avaliação. Você pode interromper a coleta de evidências alterando o status da avaliação para Inativo. Como alternativa, você pode interromper a coleta de evidências no nível de controle. Você pode fazer isso alterando o status de um controle específico na sua avaliação para Inativo.

Para obter instruções sobre como criar e gerenciar avaliações, consulte Gerenciando avaliações em AWS Audit Manager.

Relatório de avaliação da

Um relatório de avaliação é um documento finalizado gerado a partir de uma avaliação do Audit Manager. Esses relatórios resumem as evidências relevantes coletadas para sua auditoria. Eles são vinculados às pastas de evidências relevantes. As pastas são nomeadas e organizadas de acordo com os controles especificados em sua avaliação. Para cada avaliação, você pode analisar as evidências coletadas pelo Audit Manager e decidir quais deseja incluir no relatório de avaliação.

Para saber mais sobre esses relatórios, consulte Relatórios de avaliação. Para saber como gerar um relatório de avaliação, consulte Preparando um relatório de avaliação em AWS Audit Manager.

Destino do relatório de avaliação

O destino do relatório de avaliação é o bucket padrão do S3 onde o Audit Manager salva seus relatórios de avaliação. Para saber mais, consulte Configurando o destino padrão do relatório de avaliação.

Auditoria

Uma auditoria é um exame independente dos ativos, das operações ou da integridade de negócios de sua organização. Uma auditoria de Tecnologia da Informação (TI) examina especificamente os controles nos sistemas de informação da sua organização. O objetivo de uma auditoria de TI é determinar se os sistemas de informação protegem os ativos, operam de forma eficaz e mantêm a integridade dos dados. Tudo isso é importante para atender aos requisitos regulatórios exigidos por um padrão ou regulamento de conformidade.

Proprietário da auditoria de

O termo proprietário da auditoria tem dois significados diferentes, dependendo do contexto.

No contexto do Audit Manager, o proprietário da auditoria é um usuário ou uma função que gerencia uma avaliação e seus atributos relacionados. As responsabilidades dessa persona do Audit Manager incluem criar avaliações, analisar evidências e gerar relatórios de avaliação. O Audit Manager é um serviço colaborativo, e os proprietários da auditoria se beneficiam quando outras partes interessadas participam de suas avaliações. Por exemplo, você pode adicionar outros proprietário da auditoria à sua avaliação para compartilhar tarefas de gerenciamento. Ou, se você for o proprietário de uma auditoria e precisar de ajuda para interpretar as evidências coletadas para um controle, você pode delegar esse conjunto de controles a uma parte interessada que tenha experiência no assunto nessa área. Essa pessoa é conhecida como persona delegada.

Em termos comerciais, o responsável por uma auditoria é alguém que coordena e supervisiona os esforços de preparação para a auditoria de sua empresa e apresenta evidências a um auditor. Normalmente, é um profissional de governança, risco e conformidade (governance, risk, and compliance, ou GRC), como um Diretor de Conformidade ou um Diretor de Proteção de Dados LGPD. Os profissionais GRC têm a experiência e a autoridade para gerenciar a preparação da auditoria. Mais especificamente, eles entendem os requisitos de conformidade e podem analisar, interpretar e preparar dados de relatórios. No entanto, outras funções do negócio também podem assumir a persona de Gerente de Auditoria de um proprietário da auditoria; não apenas os profissionais de GRC assumem essa função. Por exemplo, você pode optar por ter suas avaliações do Audit Manager configuradas e gerenciadas por um especialista técnico de uma das seguintes equipes:

SecOps
TI/ DevOps
Centro de Operações de Segurança/ Resposta a Incidentes
Equipes semelhantes que possuem, desenvolvem, remediam e implantam ativos de nuvem e entendem a infraestrutura de nuvem de sua organização

Quem você escolhe designar como proprietário da auditoria em sua avaliação do Audit Manager depende muito da sua organização. Também depende de como você estrutura suas operações de segurança e das especificidades da auditoria. No Audit Manager, o mesmo indivíduo pode assumir a personalidade do proprietário da auditoria em uma avaliação e a persona delegada em outra.

Independentemente de como você decida usar o Audit Manager, você pode gerenciar a separação de tarefas em toda a sua organização usando a persona de proprietário/delegado da auditoria concedendo políticas específicas do IAM para cada usuário. Por meio dessa abordagem em duas etapas, o Audit Manager garante que controle total sobre todas as especificidades de uma avaliação individual. Para ter mais informações, consulte Políticas recomendadas para personas de usuários em AWS Audit Manager.

AWS fonte gerenciada

Uma fonte AWS gerenciada é uma fonte de evidências que é AWS mantida para você.

Cada fonte AWS gerenciada é um agrupamento predefinido de fontes de dados mapeado para um controle comum ou controle central específico. Quando você usa um controle comum como fonte de evidência, você coleta automaticamente evidências para todos os controles principais que apoiam esse controle comum. Você também pode usar controles principais individuais como fonte de evidência.

Sempre que uma fonte AWS gerenciada é atualizada, as mesmas atualizações são aplicadas automaticamente a todos os controles personalizados que usam essa fonte AWS gerenciada. Isso significa que seus controles personalizados coletam evidências contra as definições mais recentes dessa fonte de evidências. Isso ajuda você a garantir a conformidade contínua à medida que o ambiente de conformidade na nuvem muda.

Veja também:customer managed source,evidence source.

Changelog

Para cada controle em uma avaliação, o Audit Manager rastreia a atividade do usuário nesse controle. Você pode analisar a trilha de auditoria das atividades relacionadas a um controle específico. Para obter mais informações sobre quais atividades do usuário são capturadas no changelog, consulte. Guia changelog

Conformidade da nuvem

A conformidade da nuvem é o princípio geral de que sistemas fornecidos na nuvem devem estar em conformidade com os padrões enfrentados pelos clientes da nuvem.

Controle comum

Consulte control.

Regulamentação de conformidade

A regulamentação de conformidade é uma lei, regra ou outra ordem prescrita por uma autoridade, normalmente para regular a conduta. O LGPD é um exemplo.

Padrão de conformidade

Um padrão de conformidade é um conjunto estruturado de diretrizes que detalha os processos da organização para manter a conformidade com os regulamentos, especificações ou legislação estabelecidos. Os exemplos incluem PCI DSS e HIPAA.

Controle

O controle é uma salvaguarda ou contramedida prescrita para um sistema de informação ou uma organização. Os controles são projetados para proteger a confidencialidade, integridade e disponibilidade de suas informações e para atender a um conjunto de requisitos definidos. Eles fornecem a garantia de que seus recursos estão operando conforme o esperado, que seus dados são confiáveis e que sua organização está em conformidade com as leis e regulamentações aplicáveis.

No Audit Manager, um controle também pode representar uma pergunta em um questionário de avaliação de risco do fornecedor. Nesse caso, um controle é uma pergunta específica que solicita informações sobre a postura de segurança e conformidade de uma organização.

Os controles coletam evidências continuamente quando estão ativos durante as avaliações do Audit Manager. Você também pode adicionar evidências manualmente a qualquer controle. Cada evidência é um registro que ajuda você a demonstrar conformidade com os requisitos do controle.

O Audit Manager fornece os seguintes tipos de controles:

Tipo de controle	Descrição
Controle comum	Você pode pensar em um controle comum como uma ação que ajuda a cumprir um objetivo de controle. Como os controles comuns não são específicos de nenhum padrão de conformidade, eles ajudam você a coletar evidências que podem apoiar uma série de obrigações de conformidade sobrepostas. Por exemplo, digamos que você tenha um objetivo de controle chamado Classificação e tratamento de dados. Para cumprir esse objetivo, você pode implementar um controle comum chamado Controles de acesso para monitorar e detectar o acesso não autorizado aos seus recursos. Controles comuns automatizados coletam evidências para você. Eles consistem em um agrupamento de um ou mais controles principais relacionados. Por sua vez, cada um desses controles principais coleta automaticamente evidências relevantes de um grupo predefinido de fontes de AWS dados. AWS gerencia essas fontes de dados subjacentes para você e as atualiza sempre que os regulamentos e os padrões mudam e novas fontes de dados são identificadas. Os controles manuais comuns exigem que você envie suas próprias evidências. Isso ocorre porque eles normalmente exigem o fornecimento de registros físicos ou detalhes sobre eventos que acontecem fora do seu AWS ambiente. Por esse motivo, geralmente não há fontes de AWS dados que possam produzir evidências para apoiar os requisitos do controle comum manual. Você não pode editar um controle comum. No entanto, você pode usar qualquer controle comum como fonte de evidência ao criar um controle personalizado.
Controle central	Essa é uma diretriz prescritiva para seu ambiente. AWS Você pode pensar em um controle central como uma ação que ajuda você a atender aos requisitos de um controle comum. Por exemplo, digamos que você use um controle comum chamado Controles de acesso para monitorar o acesso não autorizado aos seus recursos. Para oferecer suporte a esse controle comum, você pode usar o controle principal chamado Bloquear acesso público de leitura nos buckets do S3. Como os controles principais não são específicos de nenhum padrão de conformidade, eles coletam evidências que podem apoiar uma série de obrigações de conformidade sobrepostas. Cada controle central usa uma ou mais fontes de dados para coletar evidências sobre um determinado AWS service (Serviço da AWS). AWS gerencia essas fontes de dados subjacentes para você e as atualiza sempre que os regulamentos e os padrões mudam e novas fontes de dados são identificadas. Você não pode editar um controle principal. No entanto, você pode usar qualquer controle principal como fonte de evidência ao criar um controle personalizado.
Controle padrão	Esse é um controle pré-construído que o Audit Manager fornece. Você pode usar controles padrão para ajudá-lo na preparação da auditoria para um padrão de conformidade específico. Cada controle padrão está relacionado a um padrão específico framework no Audit Manager e coleta evidências que você pode usar para demonstrar conformidade com essa estrutura. Os controles padrão coletam evidências de fontes de dados subjacentes que AWS gerenciam. Essas fontes de dados são atualizadas automaticamente sempre que os regulamentos e os padrões mudam e novas fontes de dados são identificadas. Você não pode editar controles padrão. No entanto, você pode fazer uma cópia editável de qualquer controle padrão.
Controle personalizado	Esse é um controle que você cria no Audit Manager para atender aos seus requisitos específicos de conformidade. Você pode criar um controle personalizado do zero ou fazer uma cópia editável de um controle padrão existente. Ao criar um controle personalizado, você pode definir evidence source s específicos que determinam de onde o Audit Manager coleta as evidências. Depois de criar um controle personalizado, você pode editar esse controle ou adicioná-lo a uma estrutura personalizada. Você também pode fazer uma cópia editável de qualquer controle personalizado.

Domínio de controle

Você pode pensar em um domínio de controle como uma categoria de controles que não é específica de nenhum padrão de conformidade. Um exemplo de domínio de controle é a proteção de dados.

Os controles geralmente são agrupados por domínio para fins organizacionais simples. Cada domínio tem vários objetivos.

Os agrupamentos de domínios de controle são alguns dos atributos mais poderosos do painel do Audit Manager. O Audit Manager destaca os controles em suas avaliações que tenham evidências de não conformidade e os agrupa por domínio de controle. Isso permite que você concentre seus esforços de remediação em domínios específicos, enquanto se prepara para uma auditoria.

Objetivo de controle

Um objetivo de controle descreve a meta dos controles comuns que estão abaixo dele. Cada objetivo pode ter vários controles comuns. Se esses controles comuns forem implementados com sucesso, eles ajudarão você a cumprir o objetivo.

Cada objetivo de controle se enquadra em um domínio de controle. Por exemplo, o domínio de controle de proteção de dados pode ter um objetivo de controle chamado Classificação e tratamento de dados. Para apoiar esse objetivo de controle, você pode usar um controle comum chamado Controles de acesso para monitorar e detectar o acesso não autorizado aos seus recursos.

Controle central

Consulte control.

Controle personalizado

Consulte control.

Fonte gerenciada pelo cliente

Uma fonte gerenciada pelo cliente é uma fonte de evidência que você define.

Ao criar um controle personalizado no Audit Manager, você pode usar essa opção para criar suas próprias fontes de dados individuais. Isso oferece a flexibilidade de coletar evidências automatizadas de um recurso específico da empresa, como uma regra personalizada AWS Config . Você também pode usar essa opção se quiser adicionar evidências manuais ao seu controle personalizado.

Ao usar fontes gerenciadas pelo cliente, você é responsável por manter todas as fontes de dados que você cria.

Veja também:AWS managed source,evidence source.

Fonte de dados

O Audit Manager usa fontes de dados para coletar evidências para um controle. Uma fonte de dados tem as seguintes propriedades:

Um tipo de fonte de dados define de qual tipo de fonte de dados o Audit Manager coleta evidências.
- Para evidências automatizadas, o tipo pode ser AWS Security Hub, AWS Config AWS CloudTrail, ou chamadas de AWS API.
- Se você enviar sua própria evidência, o tipo é Manual.
- A API Audit Manager se refere a um tipo de fonte de dados como SourceType.
Um mapeamento de fonte de dados é uma palavra-chave que identifica de onde as evidências são coletadas para um determinado tipo de fonte de dados.
- Por exemplo, isso pode ser o nome de um CloudTrail evento ou o nome de uma AWS Config regra.
- A API Audit Manager se refere a um mapeamento de fonte de dados como SourceKeyword.
Um nome de fonte de dados rotula o emparelhamento de um tipo de fonte de dados e mapeamento.
- Para controles padrão, o Audit Manager fornece um nome padrão.
- Para controles personalizados, você pode fornecer seu próprio nome.
- A API Audit Manager se refere a um nome de fonte de dados como SourceName.

Um único controle pode ter vários tipos de fonte de dados e vários mapeamentos. Por exemplo, um controle pode coletar evidências de uma mistura de tipos de fonte de dados (como AWS Config o Security Hub). Outro controle pode ter AWS Config como único tipo de fonte de dados, com várias AWS Config regras como mapeamentos.

A tabela a seguir lista os tipos de fonte de dados automatizados e exemplos de alguns mapeamentos correspondentes.

Tipo de fonte de dados	Descrição	Exemplo de mapeamento
AWS Security Hub	Use esse tipo de fonte de dados para captura de tela da sua postura de segurança de atributos. O Audit Manager usa o nome de um controle do Security Hub como a palavra-chave de mapeamento e relata o resultado dessa verificação de segurança diretamente do Security Hub.	`EC2.1`
AWS Config	Use esse tipo de fonte de dados para captura de tela da sua postura de segurança de atributos. O Audit Manager usa o nome de uma AWS Config regra como palavra-chave de mapeamento e relata o resultado dessa verificação de regra diretamente de AWS Config.	`SNS_ENCRYPTED_KMS`
AWS CloudTrail	Use esse tipo de fonte de dados para rastrear uma atividade específica do usuário necessária à sua auditoria. O Audit Manager usa o nome de um CloudTrail evento como a palavra-chave de mapeamento e coleta a atividade relacionada do usuário dos seus CloudTrail registros.	`CreateAccessKey`
AWS Chamadas de API	Use esse tipo de fonte de dados para tirar um instantâneo da configuração do seu recurso por meio de uma chamada de API para uma fonte específica AWS service (Serviço da AWS). O Audit Manager usa o nome da chamada de API como palavra-chave de mapeamento e coleta a resposta da API.	`kms_ListKeys`

Delegado

Um representante é um AWS Audit Manager usuário com permissões limitadas. Os delegados geralmente têm conhecimento técnico ou de negócios especializado. Por exemplo, esses conhecimentos podem estar em políticas de retenção de dados, planos de treinamento, infraestrutura de rede ou gerenciamento de identidades. Os delegados ajudam os proprietários da auditoria a analisarem as evidências coletadas para os controles que se enquadrem na sua área de especialização. Os delegados podem analisar conjuntos de controles e suas evidências relacionadas, adicionar comentários, carregar evidências adicionais e atualizar o status de um controle.

Os responsáveis pela auditoria atribuem conjuntos de controle específicos aos delegados, não avaliações completas. Como resultado, os delegados têm acesso limitado às avaliações. Para obter instruções sobre como delegar um conjunto de controles, consulte Delegações em AWS Audit Manager.

Evidências

A evidência é um registro que contém as informações necessárias para demonstrar a conformidade com os requisitos de um controle. Exemplos de evidências incluem uma atividade de alteração invocada por um usuário e uma captura de tela da configuração do sistema.

Existem dois tipos principais de evidência no Audit Manager — evidência automatizada e evidência manual.

Tipo de evidência	Descrição
Evidência automatizada	Essa é a evidência que o Audit Manager coleta automaticamente. Inclui as três categorias de evidências automatizadas a seguir: Verificação de conformidade — O resultado de uma verificação de conformidade é capturado de AWS Security Hub AWS Config, ou de ambos. Exemplos de verificações de conformidade incluem um resultado de verificação de segurança do Security Hub para um controle PCI DSS e uma avaliação de AWS Config regras para um controle HIPAA. Para obter mais informações, consulte Regras do AWS Config apoiado por AWS Audit Manager e AWS Security Hub controles suportados por AWS Audit Manager. Atividade do usuário — A atividade do usuário que altera a configuração de um recurso é capturada dos CloudTrail registros à medida que a atividade ocorre. Exemplos de atividades do usuário incluem uma atualização da tabela de rotas, uma alteração na configuração de backup da instância do Amazon RDS e uma alteração na política de criptografia do bucket do S3. Para ter mais informações, consulte AWS CloudTrail nomes de eventos suportados por AWS Audit Manager. Dados de configuração — captura de tela da configuração do atributo capturada diretamente do AWS service (Serviço da AWS) , em base diária, semanal ou mensal. Exemplos de capturas de tela de configuração incluem uma lista de rotas para uma tabela de rotas VPC, uma configuração de backup da instância do Amazon RDS e uma política de criptografia de bucket do S3. Para ter mais informações, consulte AWS Chamadas de API suportadas por AWS Audit Manager.
Evidência manual	Essa é a evidência que você mesmo adiciona ao Audit Manager. Há três maneiras de adicionar sua própria evidência: Importar um arquivo do Amazon S3 Carregar um arquivo do seu navegador Inserir uma resposta de texto para uma pergunta de avaliação de risco Para ter mais informações, consulte Adicionando evidências manuais em AWS Audit Manager.

Tipo de evidência

Descrição

Evidência automatizada

Essa é a evidência que o Audit Manager coleta automaticamente. Inclui as três categorias de evidências automatizadas a seguir:

Verificação de conformidade — O resultado de uma verificação de conformidade é capturado de AWS Security Hub AWS Config, ou de ambos.

Exemplos de verificações de conformidade incluem um resultado de verificação de segurança do Security Hub para um controle PCI DSS e uma avaliação de AWS Config regras para um controle HIPAA.

Para obter mais informações, consulte Regras do AWS Config apoiado por AWS Audit Manager e AWS Security Hub controles suportados por AWS Audit Manager.
Atividade do usuário — A atividade do usuário que altera a configuração de um recurso é capturada dos CloudTrail registros à medida que a atividade ocorre.

Exemplos de atividades do usuário incluem uma atualização da tabela de rotas, uma alteração na configuração de backup da instância do Amazon RDS e uma alteração na política de criptografia do bucket do S3.

Para ter mais informações, consulte AWS CloudTrail nomes de eventos suportados por AWS Audit Manager.
Dados de configuração — captura de tela da configuração do atributo capturada diretamente do AWS service (Serviço da AWS) , em base diária, semanal ou mensal.

Exemplos de capturas de tela de configuração incluem uma lista de rotas para uma tabela de rotas VPC, uma configuração de backup da instância do Amazon RDS e uma política de criptografia de bucket do S3.

Para ter mais informações, consulte AWS Chamadas de API suportadas por AWS Audit Manager.

Evidência manual

Essa é a evidência que você mesmo adiciona ao Audit Manager. Há três maneiras de adicionar sua própria evidência:

Importar um arquivo do Amazon S3
Carregar um arquivo do seu navegador
Inserir uma resposta de texto para uma pergunta de avaliação de risco

Para ter mais informações, consulte Adicionando evidências manuais em AWS Audit Manager.

Quando você cria uma avaliação, também inicia a coleta contínua automatizada de evidências. Esse é um processo contínuo, e o Audit Manager coleta evidências em diferentes frequências, de acordo com o tipo de evidência e fonte de dados subjacente. Para ter mais informações, consulte Entendendo como AWS Audit Manager coleta evidências.

Para obter instruções sobre como analisar evidências em uma avaliação, consulte Analisando evidências em AWS Audit Manager.

Fonte de evidência

Uma fonte de evidência define de onde um controle coleta evidências. Pode ser uma fonte de dados individual ou um agrupamento predefinido de fontes de dados mapeado para um controle comum ou um controle central.

Ao criar um controle personalizado, você pode coletar evidências de fontes AWS gerenciadas, fontes gerenciadas pelo cliente ou ambas.

dica

Recomendamos que você use fontes AWS gerenciadas. Sempre que uma fonte AWS gerenciada é atualizada, as mesmas atualizações são aplicadas automaticamente a todos os controles personalizados que usam essas fontes. Isso significa que seus controles personalizados sempre coletam evidências contra as definições mais recentes dessa fonte de evidências. Isso ajuda você a garantir a conformidade contínua à medida que o ambiente de conformidade na nuvem muda.

Veja também:AWS managed source,customer managed source.

Método de coleta de evidências

Há duas maneiras pelas quais um controle pode coletar evidências.

Método de coleta de evidências	Descrição
Automatizado	Os controles automatizados coletam automaticamente evidências das fontes de AWS dados. Essa evidência automatizada pode ajudá-lo a demonstrar a conformidade total ou parcial com o controle.
Manual	Os controles manuais exigem que você envie suas próprias evidências para demonstrar a conformidade com o controle.

nota

Você pode anexar evidências manuais a qualquer controle automatizado. Em muitos casos, é necessária uma combinação de evidências automatizadas e manuais para demonstrar total conformidade com um controle. Embora o Audit Manager possa fornecer evidências automatizadas que sejam úteis e relevantes, algumas evidências automatizadas podem demonstrar apenas conformidade parcial. Nesse caso, você pode complementar a evidência automatizada fornecida pelo Audit Manager com sua própria evidência.

Por exemplo:

O AWS estrutura generativa de melhores práticas de IA v2 contém um controle chamadoError analysis. Esse controle exige que você identifique imprecisões detectadas no uso do modelo. Também exige que você realize uma análise completa dos erros para entender as causas raiz e tomar medidas corretivas.
Para apoiar esse controle, o Audit Manager coleta evidências automatizadas que mostram se os CloudWatch alarmes estão habilitados para o Conta da AWS local em que sua avaliação está sendo executada. Você pode usar essa evidência para demonstrar a conformidade parcial com o controle, provando que seus alarmes e verificações estão configurados corretamente.
Para demonstrar total conformidade, você pode complementar a evidência automatizada com evidência manual. Por exemplo, você pode carregar uma política ou um procedimento que mostre seu processo de análise de erros, seus limites para escalonamentos e relatórios, bem como resultados de sua análise de causa raiz. Você pode usar essa evidência manual para demonstrar que as políticas estabelecidas estão em vigor e que a ação corretiva foi tomada quando solicitada.

Para um exemplo mais detalhado, consulte Controles com fontes de dados mistas.

Destinos de exportação

O destino de exportação é o bucket padrão do S3 em que o Audit Manager salva os arquivos que você exporta do localizador de evidências. Para ter mais informações, consulte Configurando seu destino de exportação padrão para o localizador de evidências.

Framework

Uma estrutura do Audit Manager estrutura e automatiza avaliações para um padrão específico ou princípio de governança de risco. Essas estruturas incluem uma coleção de controles pré-criados ou definidos pelo cliente e ajudam você a mapear seus AWS recursos de acordo com os requisitos desses controles.

Há dois tipos de estrutura no Audit Manager.

Tipo de estrutura	Descrição
Estrutura padrão	Essa é uma estrutura pré-construída baseada nas AWS melhores práticas para vários padrões e regulamentações de conformidade. Você pode usar estruturas padrão para auxiliar na preparação da auditoria para um padrão ou regulamento de conformidade específico, como PCI DSS ou HIPAA.
Estrutura personalizada	Essa é uma estrutura personalizada que você define como usuário do Audit Manager. Você pode usar estruturas personalizadas para auxiliar na preparação da auditoria de acordo com seus requisitos específicos de GRC.

Tipo de estrutura

Descrição

Estrutura padrão

Essa é uma estrutura pré-construída baseada nas AWS melhores práticas para vários padrões e regulamentações de conformidade.

Você pode usar estruturas padrão para auxiliar na preparação da auditoria para um padrão ou regulamento de conformidade específico, como PCI DSS ou HIPAA.

Estrutura personalizada

Essa é uma estrutura personalizada que você define como usuário do Audit Manager.

Você pode usar estruturas personalizadas para auxiliar na preparação da auditoria de acordo com seus requisitos específicos de GRC.

Para obter instruções sobre como criar e configurar frameworks, consulte Usando a biblioteca de estruturas para gerenciar estruturas em AWS Audit Manager.

nota

AWS Audit Manager auxilia na coleta de evidências relevantes para verificar a conformidade com padrões e regulamentos de conformidade específicos. No entanto, ele não avalia a sua conformidade em si. AWS Audit Manager Portanto, as evidências coletadas por meio de auditorias podem não incluir todas as informações sobre seu AWS uso necessárias para auditorias. AWS Audit Manager não substitui a assessoria jurídica ou os especialistas em conformidade.

Compartilhamento de framework

Você pode usar o Compartilhando uma estrutura personalizada no AWS Audit Manager recurso para compartilhar rapidamente suas estruturas personalizadas Contas da AWS entre regiões. Para compartilhar um framework personalizado, crie uma solicitação de compartilhamento. O destinatário então tem 120 dias para aceitar ou recusar a solicitação. Ao aceitar, o Audit Manager replica o framework personalizado compartilhado em sua biblioteca de frameworks. Além de replicar framework personalizado, o Audit Manager também replica todos os conjuntos de controles e controles personalizados que fazem parte desse framework. Esses controles personalizados são adicionados à biblioteca de controle do destinatário. O Audit Manager não replica frameworks ou controles padrão. Isso ocorre porque esses atributos já estão disponíveis por padrão em cada conta e Região.

Atributo

Um atributo é um ativo físico ou informação avaliada em uma auditoria. Exemplos de AWS recursos incluem instâncias do Amazon EC2, instâncias do Amazon RDS, buckets do Amazon S3 e sub-redes do Amazon VPC.

Avaliação de atributos

Uma avaliação de atributos é o processo de avaliar um atributo individual. Essa avaliação é baseada no atributo de um controle. Enquanto uma avaliação está ativa, o Audit Manager executa avaliações de atributos para cada atributo individual no escopo da avaliação. Uma avaliação de atributos executa o seguinte conjunto de tarefas:

Coleta evidências, incluindo configurações de atributos, logs de eventos e descobertas
Traduz e mapeia evidências para controles
Armazena e rastreia a linhagem de evidências para habilitar integridade

Conformidade de atributos

A conformidade do atributo se refere ao status de avaliação de um atributo avaliado ao coletar evidências de verificação de conformidade.

O Audit Manager coleta evidências de verificação de conformidade para controles que usam o AWS Config Security Hub como um tipo de fonte de dados. Vários atributos podem ser avaliados durante essa coleta de evidências. Como resultado, uma única evidência de verificação de conformidade pode incluir um ou mais atributos.

Você pode usar o filtro conformidade de atributos no localizador de evidências para explorar o status de conformidade no nível do atributo. Depois que sua pesquisa for concluída, você poderá visualizar os atributos que corresponderem à sua consulta de pesquisa.

No localizador de evidências, há três valores possíveis para a conformidade do atributo:

Value	Descrição
Não compatível	Isso se refere a recursos com problemas de verificação de conformidade. Isso acontece se o Security Hub relatar um resultado de falha para o recurso ou se AWS Config relatar um resultado não compatível.
Compatível	Isso se refere a recursos que não têm problemas de verificação de conformidade. Isso acontece se o Security Hub reportar um resultado de aprovação para o recurso ou se AWS Config relatar um resultado compatível.
Inconclusivo	Isso se refere a recursos para os quais uma verificação de conformidade não está disponível ou não é aplicável. Isso acontece se AWS Config o Security Hub for o tipo de fonte de dados subjacente, mas esses serviços não estiverem habilitados. Isso também acontece se o tipo de fonte de dados subjacente não oferecer suporte a verificações de conformidade (como evidências manuais, chamadas de AWS API ou CloudTrail).

Value

Descrição

Não compatível

Isso se refere a recursos com problemas de verificação de conformidade.

Isso acontece se o Security Hub relatar um resultado de falha para o recurso ou se AWS Config relatar um resultado não compatível.

Compatível

Isso se refere a recursos que não têm problemas de verificação de conformidade.

Isso acontece se o Security Hub reportar um resultado de aprovação para o recurso ou se AWS Config relatar um resultado compatível.

Inconclusivo

Isso se refere a recursos para os quais uma verificação de conformidade não está disponível ou não é aplicável.

Isso acontece se AWS Config o Security Hub for o tipo de fonte de dados subjacente, mas esses serviços não estiverem habilitados.

Isso também acontece se o tipo de fonte de dados subjacente não oferecer suporte a verificações de conformidade (como evidências manuais, chamadas de AWS API ou CloudTrail).

Serviço em escopo

O Audit Manager gerencia quais Serviços da AWS estão no escopo de suas avaliações. Se você tiver uma avaliação mais antiga, é possível que tenha especificado manualmente os serviços no escopo no passado. Depois de 04 de junho de 2024, você não poderá especificar ou editar manualmente os serviços no escopo.

Um serviço no escopo é AWS service (Serviço da AWS) aquele sobre o qual sua avaliação coleta evidências. Quando um serviço é incluído no escopo de sua avaliação, o Audit Manager avalia os recursos desse serviço. Alguns exemplos de atributos incluem:

Uma instância do Amazon EC2
Um bucket do S3
Um usuário ou perfil do IAM
Uma tabela do DynamoDB
Um componente de rede, como uma nuvem privada virtual (VPC), um grupo de segurança ou uma tabela de lista de controle de acesso (ACL) à rede

Por exemplo, se o Amazon S3 for um serviço dentro do escopo, o Audit Manager poderá coletar evidências sobre seus buckets do S3. A evidência exata coletada é determinada pela de um controledata source. Por exemplo, se o tipo da fonte de dados for AWS Config e o mapeamento da fonte de dados for uma AWS Config regra (comos3-bucket-public-write-prohibited), o Audit Manager coletará o resultado dessa avaliação da regra como evidência.

nota

Lembre-se de que um serviço no escopo é diferente de um tipo de fonte de dados, que também pode ser um AWS service (Serviço da AWS) ou outra coisa. Para obter mais informações, consulte Qual é a diferença entre um serviço no escopo e um tipo de fonte de dados? a seção Solução de problemas deste guia.

Controle padrão

Consulte control.