本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
變更控制項收集證據的頻率
AWS Audit Manager 可以從各種數據源收集證據。證據收集的頻率取決於控制項使用的資料來源類型。
下列各章節提供關於每個控制項資料來源類型的證據收集頻率相關資訊,及其變更方式 (如果適用)。
重點
-
針對 AWS API 呼叫,Audit Manager 會使用對其他人 AWS 服務的描述 API 呼叫來收集證據。您可以直接在 Audit Manager 中指定證據收集頻率(僅適用於自訂控制項)。
-
對於 AWS Config,「Audit Manager」會直接從中報告符合性檢查的結果 AWS Config。頻率會遵循 AWS Config 規則中定義的觸發程序。
-
針對 AWS Security Hub,Audit Manager 會直接從 Security Hub 回報合規檢查的結果。頻率會遵循 Security Hub 的檢查排程。
-
對於 AWS CloudTrail,Audit Manager 會持續收集來自的證據 CloudTrail。您無法變更此證據類型的頻率。
AWS API 呼叫的組態快照
注意
以下內容僅適用於自訂控制項。您無法變更標準控制項的證據收集頻率。
如果自訂控制項使用 AWS API 呼叫做為資料來源類型,您可以依照下列步驟在 Audit Manager 中變更證據收集頻率。
使用 API 呼叫資料來源變更自訂控制項的證據收集頻率
開啟 AWS Audit Manager 主控台,網址為 https://console.aws.amazon.com/auditmanager/home
。 -
在功能窗格中,選擇 [控制項資料庫],然後選擇 [自訂] 索引標籤。
-
選擇您要編輯的自訂控制項,並選擇編輯。
-
在編輯控制項詳細資訊頁面上,選擇下一步。
-
在「客戶管理來源」下,尋找您要更新的 API 呼叫資料來源。
-
從表格中選取資料來源,然後選擇「移除」。
-
選擇新增。
-
選擇 AWS API 呼叫。
-
選擇您在步驟 5 中移除的相同 API 呼叫,然後選取偏好的證據收集頻率。
-
在 [資料來源名稱] 下,提供描述性名稱。
-
(選擇性)在其他詳細資訊下,輸入資料來源說明和疑難排解說明。
-
選擇下一步。
-
在編輯行動計劃頁面上,選擇下一步。
-
在 [檢閱和更新] 頁面上,檢閱自訂控制項的資訊。如需變更步驟的資訊,請選擇編輯。
-
完成時,請選擇儲存變更。
編輯控制項之後,變更會在包含控制項的所有作用中評估中,次日 00:00 UTC 生效。
AWS Config合規檢查
注意
以下內容適用於使用 AWS Config 規則 做為資料來源使用的標準控制項和自訂控制項。
如果控制項用 AWS Config 作資料來源類型,您無法直接在 Audit Manager 中變更證據收集頻率。這是因為頻率遵循 AWS Config 規則中定義的觸發程序。
有兩種類型的觸發器 AWS Config 規則:
-
組態變更- AWS Config 在建立、變更或刪除特定類型的資源時,執行規則的評估。
-
週期性-以您選擇的頻率 AWS Config 執行規則評估 (例如,每 24 小時)。
若要深入瞭解的觸發器 AWS Config 規則,請參閱開發AWS Config 人員指南中的觸發器類型。
如需如何管理的指示 AWS Config 規則,請參閱管理 AWS Config 規則。
安全中心的合規檢查
注意
以下內容適用於使用 Security Hub 檢查做為資料來源的標準控制項和自訂控制項。
如果控制項使用 Security Hub 做為資料來源類型,您無法直接在 Audit Manager 中變更證據收集頻率。這是因為頻率遵循 Security Hub 的檢查排程。
-
定期檢查會在最近一次執行後的 12 小時內自動執行。您無法變更其週期性。
-
變更觸發檢查會在關聯資源變更狀態時執行。即使資源未變更狀態,變更觸發檢查的時間也會每 18 小時重新整理一次更新。這有助於指出控制是否仍已啟用。一般而言,Security Hub 會盡可能地使用變更觸發規則。
若要深入瞭解,請參閱AWS Security Hub 使用指南中的執行安全檢查的排程。
使用者活動日誌 AWS CloudTrail
注意
以下內容適用於使用 AWS CloudTrail 使用者活動日誌做為資料來源的標準控制項和自訂控制項。
您無法變更使用活動記錄 CloudTrail 做為資料來源類型之控制項的證據收集頻率。Audit Manager 會以連續的方式收集此證據類型。 CloudTrail 頻率是連續的,因為使用者活動可能在一天中的任何時間發生。
