了解如何 AWS Audit Manager 收集证据

中的每项主动评估 AWS Audit Manager 都会自动从一系列数据源收集证据。在每次评估中，您可以定义哪些 AWS 账户审计经理将收集范围内的证据，并由审计经理管理 AWS 服务哪些评估的证据。这些服务和账户中的每一个都包含您拥有和使用的多种资源。Audit Manager 中的证据收集涉及对每个范围内资源评测。这被称为资源评测。

以下步骤描述了 Audit Manager 收集每次资源评测方法的证据：

1. 评测来自数据来源的资源

为了开始收集证据，Audit Manager 会评测来自数据来源范围内的资源。它通过捕获配置快照、相关的合规性检查结果或用户活动来实现此目的。然后，它会运行分析以确定该数据支持的控件类型。然后，资源评测结果将被保存并转化为证据。有关不同证据类型的更多信息，请参阅本指南evidence的AWS Audit Manager 概念和术语部分。

2. 将评测结果转化为证据

资源评估的结果既包含从该资源中捕获的原始数据，也包含表明数据支持哪种控制的元数据。Audit Manager 将原始数据转换为便于审计员使用的格式。然后，转换后的数据和元数据将保存为 Audit Manager 证据，然后再附加至控件。

3. 将证据随附至关联控件

Audit Manager 读取证据元数据。然后，它将已保存的证据附加至评测中的相关对照中。随附证据将在 Audit Manager 中可见。资源评测周期完成。

注意

根据控件配置，在某些情况下，可以将相同的证据附加制来自多个 Audit Manager 评测的多个控件中。当多个控件附带相同证据时，Audit Manager 会精确计量一次资源评测。原因是同样的证据仅收集一次。但是，Audit Manager 评测中的控件可以包含来自多个数据来源的多个证据。

证据收集频率

证据收集是一个持续的过程，从您创建评测时开始。Audit Manager 以不同的频率从多个数据源收集证据。因此，关于收集证据的频率尚无 one-size-fits-all 答案。证据收集频率取决于证据类型及其数据来源，如下所述。

合规性检查 — Audit Manager 从 AWS Security Hub 和收集此类证据 AWS Config。
- 对于 Security Hub，证据收集遵循您的 Security Hub 检查的时间表。有关 Security Hub 检查时间表的更多信息，请参阅AWS Security Hub 用户指南中的运行安全检查计划。有关 Audit Manager 支持的 Security Hub 检查的更多信息，请参阅 AWS Security Hub 支持的控件 AWS Audit Manager。
- 对于 AWS Config，证据收集遵循 AWS Config 规则中定义的触发器。有关 AWS Config 规则触发器的更多信息，请参阅AWS Config 用户指南中的触发器类型。有关 Audit AWS Config 规则 Manager 支持的内容的更多信息，请参阅AWS Config 规则由... 支持 AWS Audit Manager。
用户活动 — Audit Manager 会持续收集此类证据。 AWS CloudTrail 这种频率是持续的，原因是用户活动可以在一天中的任何时间发生。有关更多信息，请参阅 AWS CloudTrail 支持的事件名称 AWS Audit Manager。
配置数据 — Audit Manager 使用对其他证据（ AWS 服务例如亚马逊EC2、Amazon S3 或）的描述API调用来收集此类证据IAM。您可以选择要调用的API操作。您还可以在 Audit Manager 中将频率设置为每天、每周或者每月。在控件库中创建或编辑控件时，可以指定此频率。有关如何编辑或创建控件的说明，请参阅使用控件库管理中的控件 AWS Audit Manager。有关 Audit Manager 支持的API调用的更多信息，请参阅AWS 支持的 API 调用 AWS Audit Manager。

无论数据来源的证据收集频率如何，只要控件和评测处于活动状态，就会自动收集新的证据。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

概念和术语

控件的示例