本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
更改对照收集证据的频率
AWS Audit Manager 可以从各种数据源收集证据。证据收集的频率取决于对照使用的数据源的类型。
以下章节提供了有关每种控件数据来源类型的证据收集频率以及如何对其进行更改(如果适用)的更多信息。
关键点
-
对于 AWS API 调用,Audit Manager 使用对另一个 AWS 服务的描述 API 调用来收集证据。您可以直接在 Audit Manager 中指定证据收集频率(仅适用于自定义控件)。
-
对于 AWS Config,Audit Manager 直接从中报告合规性检查的结果 AWS Config。频率遵循 AWS Config 规则中定义的触发器。
-
对于 AWS Security Hub,Audit Manager 直接从 Security Hub 中报告合规性检查的结果。频率遵循 Security Hub 检查的时间表。
-
对于 AWS CloudTrail,Audit Manager 不断从中收集证据 CloudTrail。您无法更改此类证据的收集频率。
来自 AWS API 调用的配置快照
注意
以下内容仅适用于自定义控件。您无法更改标准对照的取证频率。
如果自定义控件使用 AWS API 调用作为数据源类型,则可以按照以下步骤在 Audit Manager 中更改证据收集频率。
更改以 API 调用作为数据来源的自定义控件的证据收集频率
在 https://console.aws.amazon.com/auditmanager/home
处打开 AWS Audit Manager 控制台。 -
在导航窗格中,选择 “控制库”,然后选择 “自定义” 选项卡。
-
选择要编辑的自定义控件,然后选择编辑。
-
在编辑控件详细信息页面上,选择编辑。
-
在 “客户管理的来源” 下,查找要更新的 API 调用数据源。
-
从表中选择数据源,然后选择 “移除”。
-
选择添加。
-
选择 AWS API 调用。
-
选择您在步骤 5 中删除的相同 API 调用,然后选择您的首选取证频率。
-
在数据源名称下,提供描述性名称。
-
(可选)在其他详细信息下,输入数据来源描述和疑难解答描述。
-
选择下一步。
-
在编辑行动计划页面上,选择下一步。
-
在查看和更新页面上,查看自定义控件的信息。若要更改步骤信息,请选择编辑。
-
完成后,选择保存更改。
编辑控件后,更改将在世界标准时间第二天 00:00 在包括该控件在内的所有有效评估中生效。
来自 AWS Config的合规性检查
注意
以下内容适用于使用 AWS Config 规则 作为数据来源的标准控件和自定义控件。
如果控件 AWS Config 用作数据源类型,则无法直接在 Audit Manager 中更改证据收集频率。这是因为频率遵循 AWS Config 规则中定义的触发器。
有两种类型的触发器 AWS Config 规则:
-
配置更改- AWS Config 在创建、更改或删除某些类型的资源时对规则进行评估。
-
定期- AWS Config 按您选择的频率对规则进行评估(例如,每 24 小时一次)。
要了解有关触发器的更多信息 AWS Config 规则,请参阅《AWS Config 开发者指南》中的触发器类型。
有关如何管理的说明 AWS Config 规则,请参阅管理您的 AWS Config 规则。
来自 Security Hub 的合规性检查
注意
以下内容适用于使用 Security Hub 检查作为数据来源的标准控件和自定义控件。
如果控件使用 Security Hub 作为数据来源类型,则无法直接在 Audit Manager 中更改证据收集频率。这是因为频率遵循了 Security Hub 检查的时间表。
-
在最近一次运行后的 12 小时内,将自动运行定期检查。您无法更改周期。
-
在关联的资源更改状态时,将运行更改触发的检查。即使资源没有更改状态,更改触发的检查的更新时间也将每 18 小时刷新一次。这有助于指明控件仍处于启用状态。通常,Security Hub 尽可能使用更改触发的规则。
要了解更多信息,请参阅 AWS Security Hub 用户指南中的安全检查运行时间表。
来自 AWS CloudTrail的用户活动日志
注意
以下内容适用于使用 AWS CloudTrail 用户活动日志作为数据来源的标准控件和自定义控件。
对于使用活动日志 CloudTrail 作为数据源类型的控件,您无法更改证据收集频率。Audit Manager 会持续收集此类证据。 CloudTrail 这种频率是持续的,因为用户活动可以在一天中的任何时间发生。
