Opções de filtro e agrupamento para o localizador de evidências - AWS Audit Manager

Opções de filtro e agrupamento para o localizador de evidências

Nesta página, você pode ver uma lista das opções de filtro e agrupamento disponíveis para o localizador de evidências.

Referência de filtro

Você pode usar os filtros a seguir para encontrar evidências que correspondam a critérios específicos, como avaliação, controle ou AWS service (Serviço da AWS).

Filtros necessários

Use esses filtros para começar com uma visão geral de alto nível da evidência em uma avaliação.

Nome do filtroDescriçãoObservações

Avaliação

Retorna evidências para uma avaliação específica.

Você pode filtrar por apenas uma avaliação por vez.

Intervalo de datas

Retorna evidências de um período específico.

Você pode usar um Intervalo relativo para definir um intervalo relativo à data atual (por exemplo, Last 30 days).

Ou pode usar um Intervalo absoluto, para especificar um intervalo de datas específico (por exemplo, June 27th – July 4th).

Conformidade de atributos Retorna atributos com uma avaliação específica de verificação de conformidade.

O Audit Manager coleta evidências de verificação de conformidade para controles que utilizam AWS Config e Security Hub como um tipo de fonte de dados. Vários atributos podem ser avaliados durante essa coleta de evidências. Como resultado, uma única evidência de verificação de conformidade pode incluir um ou mais atributos. Você pode usar esse filtro para explorar o status de conformidade no nível do atributo.

Você pode selecionar uma ou mais opções a seguir:

  • Não conformidade: esse filtro encontra atributos com problemas de verificação de conformidade. Isso acontece se o Security Hub relatar um resultado de Falha, ou se AWS Config relatar um resultado de Não conformidade.

  • Em conformidade: esse filtro encontra atributos sem problemas de verificação de conformidade. Isso acontece se o Security Hub relatar um resultado de Êxito, ou se AWS Config relatar um resultado Em conformidade.

  • Inconclusivo: esse filtro encontra atributos para os quais uma verificação de conformidade não está disponível ou não é aplicável. Isso acontece se um atributo usar AWS Config ou o Security Hub como o tipo de fonte de dados subjacente mas esses serviços não estiverem habilitados. Isso também acontece se o atributo não oferecer tipo de fonte de dados subjacente que suporte verificação de conformidade (como evidências manuais, chamadas de API da AWS ou CloudTrail).

Filtros adicionais (opcional)

Use esses filtros para restringir o escopo da sua consulta de pesquisa. Por exemplo, use Serviço para visualizar todas as evidências relacionadas ao Amazon S3. Use Tipo de atributo para concentrar apenas nos buckets S3. Ou use ARN do atributo para um bucket do S3 específico.

Você pode criar filtros adicionais usando um ou mais critérios a seguir.

Nome do critério Descrição Quando usar esse critério
ID da conta

Detalhar por Conta da AWS.

Use esse critério para encontrar evidências relacionadas a um Conta da AWS específico.
Controle

Detalha pelo nome do controle.

Use esse critério para encontrar evidências relacionadas a um controle específico.

Domínio de controle

Detalha por domínio de controle.

Use esse critério para concentrar em uma área temática específica ao preparar para uma auditoria. Você pode filtrar por domínio de controle se estiver consultando uma avaliação criada a partir de um framework padrão.

Exemplos de domínios de controle incluem segurança de rede, gerenciamento de identidade e acesso e proteção de dados.

Alguns domínios de controle podem ser marcados como Desatualizados após a transição do Audit Manager para um novo conjunto de domínios de controle fornecido pelo AWS Control Catalog. Para obter mais informações, consulte Vejo que um domínio de controle está marcado como “desatualizado”. O que isso significa?.

Tipo de fonte de dados

Detalhe por tipo de fonte de dados.

Use esse critério para concentrar em uma fonte de dados específica.

Configure o valor como Manual para encontrar evidências carregadas manualmente. Do contrário, poderá filtrar evidências automatizadas com base na origem (por exemplo, AWS Config, CloudTrail, Security Hub ou AWS API calls).

Nome do evento

Detalha por nome do evento.

Use esse critério para concentrar em um evento específico ao qual a evidência estiver relacionada. Um evento é o registro de atividade em uma Conta da AWS.

Por exemplo, você pode pesquisar o nome de uma chamada de API, como a operação do IAM AttachRolePolicy usada para configurar permissões. Ou pesquisar uma palavra-chave do CloudTrail, como o evento do ConsoleLogin loggado pelo CloudTrail quando um usuário fizer login em sua conta.

Atributo ARN

Detalha por Nome do Recurso da Amazon (ARN).

Use esses critérios para encontrar evidências relacionadas a um atributo AWS específico.

Tipo de atributo

Detalha por tipo de atributo.

Use esse critério para concentrar no tipo de atributo sendo avaliado, como uma instância do Amazon EC2 ou um bucket do S3.
Serviço

Detalha por nome AWS service (Serviço da AWS).

Use esse critério para encontrar evidências relacionadas a um AWS service (Serviço da AWS) específico, como Amazon EC2, Amazon S3 ou AWS Config.
Categoria de serviço

Detalha por categoria AWS service (Serviço da AWS).

Use esse critério para concentrar em uma categoria específica de AWS service (Serviço da AWS).

Os exemplos incluem segurança, identidade, conformidade, banco de dados e armazenamento.

Combinando filtros

Comportamento de critério

Quando você especifica mais de um critério, o Audit Manager aplica o operador AND às suas seleções. Isso significa que todos os critérios são agrupados em uma única consulta e os resultados devem corresponder a todos os critérios combinados.

Exemplo

Na configuração de filtro a seguir, o localizador de evidências retorna atributos não compatíveis dos últimos 7 dias para a avaliação chamada MySOC2Assessment. Além disso, os resultados estão relacionados a uma política do IAM e ao controle especificado.

Uma seleção de filtros aplicados, com o operador AND destacado.

Comportamento de valor de critério

Quando você especifica mais de um valor de critério, estes valores são vinculados a um operador OR. O localizador de evidências retorna resultados que correspondam a qualquer um desses valores de critério.

Exemplo

Na configuração de filtro a seguir, o localizador de evidências retorna os resultados da pesquisa provenientes de AWS CloudTrail, AWS Config, ou AWS Security Hub.

Um exemplo de configuração de filtro que mostra vários valores definidos para um único critério.

Agrupando referência

Você pode agrupar os resultados da pesquisa para uma navegação mais rápida. O agrupamento mostra a amplitude dos resultados da pesquisa e como eles são distribuídos em uma dimensão específica.

Você pode usar qualquer um dos grupos a seguir por valores.

Agrupar porDescrição
ID da conta Agrupe os resultados por Conta da AWS.
Controle Agrupe os resultados pelo nome do controle.
Tipo de fonte de dados Agrupe os resultados pelo tipo de fonte de dados de onde a evidência veio.
Nome do evento Agrupe os resultados pelo nome de um evento.
Atributo ARN Agrupe resultados pelo Nome do Recurso da Amazon (ARN).
Tipo de atributo Agrupe os resultados por tipo de atributo.
Serviço Agrupe os resultados pelo nome AWS service (Serviço da AWS).
Categoria de serviço Agrupe os resultados por categoria AWS service (Serviço da AWS).