Solução de problemas de localizador de evidências

Use as informações nesta página para resolver problemas comuns do localizador de evidências no Audit Manager.

Problemas gerais do localizador de evidências

• Não consigo habilitar o localizador de evidências

• Eu habilitei o localizador de evidências, mas não vejo evidências anteriores nos resultados da minha pesquisa

• Não consigo desabilitar o localizador de evidências

• Ocorre uma falha na minha consulta de pesquisa

• Vejo que um domínio de controle está marcado como “desatualizado”. O que isso significa?

Problemas no relatório de avaliação do localizador de evidências

• Não consigo gerar vários relatórios de avaliação a partir dos meus resultados de pesquisa

• Não consigo incluir evidências específicas nos resultados da minha pesquisa

• Nem todos os resultados do meu localizador de evidências estão incluídos no relatório de avaliação

• Quero gerar um relatório de avaliação a partir dos resultados da minha pesquisa, mas ocorre uma falha na minha instrução de consulta

• Recursos adicionais

Problemas de CSV exportação do Evidence Finder

• Minha CSV exportação falhou

• Não consigo exportar evidências específicas dos meus resultados de pesquisa

• Não consigo exportar vários CSV arquivos ao mesmo tempo

Não consigo habilitar o localizador de evidências

Os motivos comuns pelos quais você não pode habilitar o localizador de evidências incluem as seguintes situações:

Não há permissões suficientes

Se você está tentando ativar o localizador de evidências pela primeira vez, verifique se você tem as permissões necessárias para ativar o localizador de evidências. Essas permissões permitem que você crie e gerencie um armazenamento de dados de eventos no CloudTrail Lake, o que é necessário para apoiar as consultas de pesquisa do localizador de evidências. As permissões também viabilizam a execução de consultas de pesquisa no localizador de evidências.

Se precisar de ajuda com as permissões, entre em contato com seu AWS administrador. Se você for AWS administrador, poderá copiar a declaração de permissão necessária e anexá-la a uma IAM política.

Você está usando a conta de gerenciamento do Organizations

Lembre-se de que não usar a conta de gerenciamento para habilitar o localizador de evidências. Faça login com a conta de administrador delegado e tente novamente.

Você desativou o localizador de evidências anteriormente

A reativação do localizador de evidências não é suportada no momento. Se você desativou o localizador de evidências anteriormente, não poderá reativá-lo.

Eu habilitei o localizador de evidências, mas não vejo evidências anteriores nos resultados da minha pesquisa

Quando você ativa o localizador de evidências, leva até sete dias para que todos os seus dados de evidências anteriores estejam disponíveis.

Durante esse período de sete dias, um armazenamento de dados de eventos é preenchido com os dados de evidências dos últimos dois anos. Isso significa que, se usar o localizador de evidências imediatamente após ativá-lo, nem todos os resultados estarão disponíveis até que o preenchimento seja concluído.

Para obter instruções sobre como verificar o status do preenchimento de dados, consulteConfirmando o status do localizador de evidências .

Não consigo desabilitar o localizador de evidências

Isso pode ser causado por um dos seguintes motivos.

Não há permissões suficientes

Se você estiver tentando desativar o localizador de evidências, verifique se você tem as permissões necessárias para desativar o localizador de evidências. Essas permissões permitem que você atualize e exclua um armazenamento de dados de eventos no CloudTrail Lake, o que é necessário para desativar o localizador de evidências.

Se precisar de ajuda com as permissões, entre em contato com seu AWS administrador. Se você for AWS administrador, poderá copiar a declaração de permissão necessária e anexá-la a uma IAM política.

Uma solicitação para habilitar o localizador de evidências ainda está em andamento

Quando você solicita a ativação do localizador de evidências, criamos um armazenamento de dados de eventos para respaldar as consultas do localizador de evidências. Você não pode desativar o localizador de evidências enquanto o armazenamento de dados de eventos está sendo criado.

Para continuar, aguarde até que o armazenamento de dados de eventos seja criado e tente novamente. Para ter mais informações, consulte Confirmando o status do localizador de evidências .

Você já solicitou a desabilitação do localizador de evidências

Quando você solicita a desativação do localizador de evidências, excluímos o armazenamento de dados de eventos usado para consultas do localizador de evidências. Se você tentar novamente desativar o localizador de evidências enquanto o armazenamento de dados de eventos estiver sendo excluído, receberá uma mensagem de erro.

Nesse caso, nenhuma ação é necessária. Aguarde até que o armazenamento de dados de eventos seja excluído. Assim que essa ação for concluída, o localizador de evidências será desativado. Para ter mais informações, consulte Confirmando o status do localizador de evidências .

Ocorre uma falha na minha consulta de pesquisa

A falha em uma consulta de pesquisa pode ser causada por um dos motivos a seguir.

Não há permissões suficientes

Verifique se o usuário tem as permissões necessárias para executar consultas de pesquisa e acessar os respectivos resultados. Especificamente, você precisa de permissões para as seguintes CloudTrail ações:

• StartQuery

• DescribeQuery

• CancelQuery

• GetQueryResults

Se precisar de ajuda com as permissões, entre em contato com seu AWS administrador. Se você for AWS administrador, poderá copiar a declaração de permissão necessária e anexá-la a uma IAM política.

Você está executando o número máximo de consultas

Você pode executar até cinco consultas por vez. Se você estiver executando o número máximo de consultas simultâneas, isso resultará em um erro de MaxConcurrentQueriesException. Se você receber essa mensagem de erro, aguarde um minuto até que algumas consultas sejam concluídas e execute a consulta novamente.

Sua instrução de consulta tem um erro de validação

Se você estiver usando o API ou CLI para realizar a StartQueryoperação CloudTrail Lake, verifique se o seu queryStatement é válido. Se a instrução de consulta tiver erros de validação, sintaxe incorreta ou palavras-chave incompatíveis, isso resultará em um InvalidQueryStatementException.

Para obter mais informações sobre como redigir uma consulta, confira Criar ou editar uma consulta no Guia do Usuário do AWS CloudTrail .

Para obter exemplos de sintaxe válida, analise os seguintes exemplos de instruções de consulta usados para consultar um armazenamento de dados de eventos do Audit Manager.

Exemplo 1: investigar evidências e seu status de conformidade

Este exemplo localiza evidências com qualquer status de conformidade em todas as avaliações da conta, dentro de um intervalo de datas especificado.

SELECT eventData.evidenceId, eventData.resourceArn, eventData.resourceComplianceCheck FROM $EDS_ID WHERE eventTime > '2022-11-02 00:00:00.000' AND eventTime < '2022-11-03 00:00:00.000'

Exemplo 2: determinar evidências de não conformidade de um controle

Este exemplo localiza todas as evidências de não conformidade em um intervalo de datas determinado para uma avaliação e um controle específicos.

SELECT * FROM $EDS_ID WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' AND eventTime > '2022-10-27 22:05:00.000' AND eventTime < '2022-11-03 22:05:00.000' AND eventData.resourceComplianceCheck IN ('NON_COMPLIANT','FAILED','WARNING') AND eventData.controlId IN ('aa11bb22-cc33-dd44-ee55-ff66gg77hh88')

Exemplo 3: contar as evidências por nome

Este exemplo lista o total de evidências de uma avaliação em um intervalo de datas especificado, agrupadas por nome e ordenadas pela contagem de evidências.

SELECT eventData.eventName as eventName, COUNT(*) as totalEvidence FROM  $EDS_ID WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' AND eventTime > '2022-10-27 22:05:00.000' AND eventTime < '2022-11-03 22:05:00.000' GROUP BY eventData.eventName ORDER BY totalEvidence DESC

Exemplo 4: explorar evidências por fonte de dados e serviço

Este exemplo encontra todas as evidências em um intervalo de datas determinado para uma fonte de dados e um serviço específicos.

SELECT * FROM $EDS_ID WHERE eventTime > '2022-10-27 22:05:00.000' AND eventTime < '2022-11-03 22:05:00.000' AND eventData.service IN ('dynamodb') AND eventData.dataSource IN ('AWS API calls')

Exemplo 5: explorar evidências de conformidade por fonte de dados e domínio de controle

Este exemplo encontra evidências compatíveis para domínios de controle específicos, nos quais a evidência vem de uma fonte de dados que não é o ConfigAWS.

 SELECT * FROM $EDS_ID WHERE eventData.resourceComplianceCheck IN ('PASSED','COMPLIANT') AND eventData.controlDomainName IN ('Logging and monitoring','Data security and privacy') AND eventData.dataSource NOT IN ('AWS Config')

Outras API exceções

Eles StartQueryAPIpodem falhar por vários outros motivos. Para obter uma lista completa dos possíveis erros e descrições, consulte StartQuery Erros na AWS CloudTrail APIreferência.

Vejo que um domínio de controle está marcado como “desatualizado”. O que isso significa?

Ao aplicar um filtro de domínio de controle no localizador de evidências, você pode notar que alguns domínios de controle disponíveis são descritos como desatualizados.

A partir de 6 de junho de 2024, o Audit Manager oferece suporte a um novo conjunto de domínios de controle fornecidos pelo AWS Control Catalog. Para obter uma lista desses domínios de controle, consulte ListDomainsna Referência do Catálogo AWS API de Controle.

Se um domínio de controle estiver marcado como Desatualizado, isso significa que o domínio de controle que você está visualizando não é um dos novos domínios de controle fornecidos pelo Catálogo de AWS Controle. O Audit Manager continua oferecendo suporte a esses domínios de controle desatualizados para que você ainda possa usá-los como critérios ao pesquisar evidências.

Embora continuemos oferecendo suporte aos domínios de controle desatualizados, recomendamos que você use os novos domínios de controle. Os novos domínios de controle são mapeados para os controles padrão atualizados que foram lançados como parte da biblioteca de controles comuns em 6 de junho de 2024. Nessa data, lançamos controles padrão atualizados que podem coletar evidências de fontes AWS gerenciadas. Isso significa que sempre que houver uma atualização nas fontes de dados subjacentes para um controle comum ou central, o Audit Manager aplica automaticamente a mesma atualização a todos os controles padrão relacionados.

Não consigo gerar vários relatórios de avaliação a partir dos meus resultados de pesquisa

Esse erro é causado pela execução de muitas consultas do CloudTrail Lake ao mesmo tempo.

Esse erro poderá ocorrer se você agrupar os resultados da pesquisa e tentar gerar imediatamente relatórios de avaliação para cada item de linha nos resultados agrupados. Quando você obtém os resultados da pesquisa e gera um relatório de avaliação, cada ação invoca uma consulta. Você pode executar até cinco consultas por vez. Se você estiver executando o número máximo de consultas simultâneas, um erro MaxConcurrentQueriesException será retornado.

Para evitar esse erro, verifique se você não está gerando muitos relatórios de avaliação ao mesmo tempo. Se você estiver executando o número máximo de consultas simultâneas, um erro MaxConcurrentQueriesException será retornado. Se você receber essa mensagem de erro, aguarde alguns minutos até que seus relatórios de avaliação em andamento sejam concluídos.

Você pode verificar o status dos seus relatórios de avaliação na página da central de downloads no console do Audit Manager. Depois que seus relatórios forem concluídos, retorne aos resultados agrupados no localizador de evidências. Em seguida, você pode continuar obtendo os resultados e gerar um relatório de avaliação para cada item de linha.

Não consigo incluir evidências específicas nos resultados da minha pesquisa

Todos os resultados da sua pesquisa estão inclusos no relatório de avaliação. Você não pode adicionar seletivamente linhas individuais do seu conjunto de resultados de pesquisa.

Se você quiser incluir apenas resultados de pesquisa específicos no relatório de avaliação, recomendamos que edite seus filtros de pesquisa atuais. Dessa forma, você pode restringir seus resultados para direcionar apenas as evidências que deseja incluir no relatório.

Nem todos os resultados do meu localizador de evidências estão incluídos no relatório de avaliação

Quando você gera um relatório de avaliação, há limites para a quantidade de evidências que pode adicionar. O limite é baseado na Região da AWS sua avaliação, na região do bucket do S3 que é usada como destino do relatório de avaliação e se sua avaliação usa um cliente gerenciado AWS KMS key.

1. O limite é 22.000 para relatórios da mesma região (onde o bucket do S3 e a avaliação estão na mesma Região da AWS)

2. O limite é 3.500 para relatórios de diferentes regiões (onde o bucket do S3 e a avaliação estão em Regiões da AWS diferentes)

3. O limite é de 3.500 se a avaliação usar uma chave gerenciada pelo KMS cliente

Se você exceder esse limite, o relatório ainda será criado. No entanto, o Audit Manager adiciona somente os primeiros 3.500 ou 22.000 itens de evidência ao relatório.

Para evitar esse problema, recomendamos que você edite seus filtros de pesquisa atuais. Dessa forma, você pode reduzir seus resultados de pesquisa visando a uma quantidade menor de evidências. Se necessário, você pode repetir esse método e gerar vários relatórios de avaliação em vez de um relatório maior.

Quero gerar um relatório de avaliação a partir dos resultados da minha pesquisa, mas ocorre uma falha na minha instrução de consulta

Se você estiver usando o CreateAssessmentReportAPIe sua instrução de consulta retornar uma exceção de validação, consulte a tabela abaixo para obter orientação sobre como corrigi-la.

nota

Mesmo que uma instrução de consulta funcione CloudTrail, a mesma consulta pode não ser válida para a geração de relatórios de avaliação no Audit Manager. Isso ocorre devido a algumas diferenças na validação de consultas entre os dois serviços.

Cláusula	Problema	Solução	Observações
SELECT	A cláusula SELECT contém um nome de coluna	Remova a cláusula SELECT e substitua por SELECT eventJson.	Somente SELECT eventJson é suportado. Essa validação é processada pelo Audit Manager.
FROM	A cláusula FROM contém uma ID de armazenamento de dados de eventos inválida ou A ID do armazenamento de dados de eventos fornecida não corresponde à ID do armazenamento de dados de eventos nas configurações do Audit Manager	Remova a cláusula FROM e substitua por FROM edsID, em que o valor de edsID corresponde à ID do armazenamento de dados de eventos especificada nas configurações do Audit Manager. Você pode recuperar o armazenamento ARN de dados do evento nas configurações do Audit Manager. Para obter mais informações, consulte GetSettingsna AWS Audit Manager APIReferência.	Essa validação é processada pelo Audit Manager.
GROUP BY	Uma cláusula GROUP BY está presente na consulta	Remova a cláusula GROUP BY.	Essa validação é processada pelo Audit Manager.
HAVING	Uma cláusula HAVING está presente na consulta	Remova a cláusula HAVING.	Essa validação é processada pelo Audit Manager.
LIMIT	A cláusula LIMIT contém um valor que excede o limite máximo permitido	Se a cláusula LIMIT existir, certifique-se de que seu valor seja igual ou menor que o limite máximo compatível: Para relatórios de mesma Região, o limite é 22.000 Para relatórios entre Regiões, o limite é 3.500 Para relatórios em que a avaliação relacionada usa um cliente gerenciado AWS KMS key, o limite é de 3.500	No console, não há limite para o número de resultados de evidências que podem ser retornados. No entanto, ao gerar um relatório de avaliação, um limite se aplica à quantidade de evidências que você pode incluir. Se nenhum valor LIMIT for fornecido em sua instrução de consulta, os limites máximos padrão serão aplicados. Essa validação é processada pelo Audit Manager.
ORDER BY	A cláusula ORDER BY contém perfis agregados ou Apelidos que não estão presentes na cláusula SELECT	Certifique-se de que a cláusula ORDER BY não contenha nenhuma condição usando perfis agregados ou aliases.	Essa validação é feita pelo CloudTrail StartQuery API.
WHERE	A cláusula WHERE contém mais de uma assessmentId ou A cláusula WHERE contém uma assessmentId que não corresponde à assessmentId da sua solicitação createAssessmentReport ou A cláusula WHERE contém um nome de coluna não suportado	Certifique-se de que somente um AssessmentID seja especificado e que corresponda ao assessmentId parâmetro que você especificou na createAssessmentReport API solicitação. Remova nomes de coluna não compatíveis.	Essa validação é feita pelo CloudTrail StartQuery API.

Exemplos

Os exemplos a seguir mostram como você pode usar o queryStatement parâmetro ao chamar a CreateAssessmentReportoperação. Antes de usar essas consultas, substitua o placeholder text com seus próprios edsId assessmentId valores.

Exemplo 1: criar um relatório (aplica-se o limite para a mesma região)

Este exemplo cria um relatório que inclui resultados para buckets do S3 criados entre 22 e 23 de janeiro de 2022.

SELECT eventJson FROM 12345678-abcd-1234-abcd-123456789012 WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' AND eventTime > '2022-01-22 00:00:00.000' AND eventTime < '2022-01-23 00:00:00.000' AND eventName='CreateBucket' LIMIT 22000

Exemplo 2: criar um relatório (aplica-se o limite para diferentes regiões)

Este exemplo cria um relatório que inclui todos os resultados para o armazenamento de dados de eventos e a avaliação especificados, sem nenhum intervalo de datas determinado.

SELECT eventJson FROM 12345678-abcd-1234-abcd-123456789012 WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' LIMIT 7000

Exemplo 3: criar um relatório (abaixo do limite padrão)

Este exemplo cria um relatório que inclui todos os resultados do armazenamento e avaliação de dados de eventos especificados, com um limite abaixo do máximo padrão.

SELECT eventJson FROM 12345678-abcd-1234-abcd-123456789012 WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' LIMIT 2000

Recursos adicionais

As páginas a seguir contêm orientações para solução de problemas gerais sobre relatórios de avaliação:

• Solução de problemas de relatórios de avaliação

Minha CSV exportação falhou

Sua CSV exportação pode falhar por vários motivos. Você pode solucionar esse problema verificando as causas mais frequentes.

Primeiro, verifique se você atende aos pré-requisitos para usar o CSV recurso de exportação:

Você habilitou com sucesso o localizador de evidências

Se você não tiver ativado o localizador de evidências, não poderá executar uma consulta de pesquisa nem exportar os resultados da pesquisa.

O preenchimento do seu armazenamento de dados de eventos está concluído

Se você usar o localizador de evidências imediatamente após ativá-lo e o preenchimento de evidências ainda estiver em andamento, alguns resultados poderão não estar disponíveis. Para verificar o status do preenchimento, consulteConfirmando o status do localizador de evidências .

Sua consulta de pesquisa teve êxito

O Audit Manager não pode exportar os resultados de uma consulta na qual ocorreu uma falha. Para solucionar uma falha na consulta, confira Ocorre uma falha na minha consulta de pesquisa.

Depois de confirmar que você atende aos pré-requisitos, use a lista de verificação a seguir para verificar possíveis problemas:

1. Verifique o status da sua consulta de pesquisa:

   1. A consulta foi cancelada? O localizador de evidências exibe resultados parciais que foram processados antes do cancelamento da consulta. No entanto, o Audit Manager não exporta resultados parciais para seu bucket do S3 ou para a central de downloads.

   2. A consulta está sendo executada há mais de uma hora? Consultas executadas por mais de uma hora podem expirar. O localizador de evidências exibe resultados parciais que foram processados antes do tempo limite da consulta esgotar. No entanto, o Audit Manager não exporta resultados parciais. Para evitar um tempo limite, você pode reduzir a quantidade de evidências examinadas Editar filtros de pesquisa para especificar um intervalo de tempo mais estreito.

2. Verifique o nome e o URI do seu bucket S3 de destino de exportação:

   1. O bucket especificado existe? Se você inseriu manualmente um bucketURI, certifique-se de não ter digitado nada errado. Um erro de digitação ou erro URI pode resultar em um RESOURCE_NOT_FOUND erro quando o Audit Manager tenta exportar o CSV arquivo para o Amazon S3.

3. Verifique as permissões do seu bucket do S3 de destino de exportação:

   1. Você tem permissões de gravação para o bucket do S3? Você deve ter acesso de gravação ao bucket do S3 usado como destino de exportação. Mais especificamente, a política de IAM permissões deve incluir uma s3:PutObject ação e o bucket ARN e listar CloudTrail como principal do serviço. Fornecemos uma política de exemplo que você pode usar.

4. Verifique se alguma das suas Região da AWS informações não coincide:

   1. A Região da AWS chave gerenciada pelo cliente corresponde à Região da AWS da sua avaliação? Se você forneceu uma chave gerenciada pelo cliente para criptografia de dados, ela deverá ser da mesma Região da AWS que a sua avaliação. Para obter instruções sobre como alterar a KMS chave, consulteDefinindo suas configurações de criptografia de dados.

5. Verifique as permissões da sua conta de administrador delegado:

   1. A chave gerenciada pelo cliente nas configurações do Audit Manager concede permissões ao administrador delegado? Se você estiver usando uma conta de administrador delegado e tiver especificado uma chave gerenciada pelo cliente para criptografia de dados, verifique se o administrador delegado tem acesso a essa KMS chave. Para obter instruções, consulte Permitir que usuários de outras contas usem uma KMS chave no Guia do AWS Key Management Service desenvolvedor. Para revisar e alterar suas configurações de criptografia no Audit Manager, consulteDefinindo suas configurações de criptografia de dados.

nota

Se você alterar as configurações de criptografia de dados do Audit Manager, essas alterações se aplicarão às novas avaliações que você criar daqui para frente. Isso inclui todos CSV os arquivos que você exporta de suas novas avaliações.

As alterações não se aplicam às avaliações existentes criadas antes de alterar suas configurações de criptografia. Isso inclui novas CSV exportações de avaliações existentes, além CSV das exportações existentes. As avaliações existentes — e todas as suas CSV exportações — continuam usando a chave antiga. KMS Se a IAM identidade que está exportando o CSV arquivo não tiver permissões para usar a KMS chave antiga, você poderá conceder permissões no nível da política de chaves.

Não consigo exportar evidências específicas dos meus resultados de pesquisa

Todos os resultados da sua pesquisa estão incluídos nos resultados.

Se você quiser incluir somente evidências específicas no CSV arquivo, recomendamos que você edite seus filtros de pesquisa atuais. Dessa forma, você pode restringir seus resultados para direcionar apenas as evidências que deseja exportar.

Não consigo exportar vários CSV arquivos ao mesmo tempo

Esse erro é causado pela execução de muitas consultas do CloudTrail Lake ao mesmo tempo.

Isso pode acontecer se você agrupar os resultados da pesquisa e tentar exportar imediatamente um CSV arquivo para cada item de linha nos resultados agrupados. Quando você obtém os resultados da pesquisa e exporta um CSV arquivo, cada uma dessas ações invoca uma consulta. Você pode executar até cinco consultas por vez. Se você estiver executando o número máximo de consultas simultâneas, um erro MaxConcurrentQueriesException será retornado.

Para evitar esse erro, verifique se você não está exportando muitos CSV arquivos ao mesmo tempo.

Para resolver esse erro, aguarde a conclusão CSV das exportações em andamento. A maioria das exportações leva alguns minutos. No entanto, se estiver exportando uma quantidade muito grande de dados, a exportação pode levar até uma hora para ser concluída. Sinta-se à vontade para sair do localizador de evidências enquanto a exportação estiver em andamento.

Você pode verificar o status da exportação na central de downloads no console do Audit Manager. Depois que os arquivos exportados estiverem prontos, retorne aos resultados agrupados no localizador de evidências. Em seguida, você pode continuar obtendo os resultados e exportando um CSV arquivo para cada item de linha.