疑難排解評估和證據收集問題

請參考此頁面提供的資訊來解決 Audit Manager 中的常見評估和證據收集問題。

證據收集問題

• 我建立了一個評估，但還看不到任何證據

• 我的評估不會從中收集合規性檢查證據 AWS Security Hub

• 我的評估不會從中收集合規性檢查證據 AWS Config

• 我的評估不會從 AWS CloudTrail中收集使用者活動證據

• 我的評估不會收集 AWS API通話的組態資料證據

• 常見的控制項不會收集任何自動化證據

• 我的證據是以不同的時間間隔產生的，我不確定它的收集頻率

• 我先停用再重新啟用 Audit Manager，導致我既有的評估不再進行收集證據

• 在我的評估詳細資料頁面上，系統會提示我重新建立評估

• 資料來源和證據來源有什麼區別？

評估問題

• 我的評估建立失敗

• 如果我從組織中移除範圍內的帳戶，會發生什麼情況？

• 我看不到評估範圍內的服務

• 我無法編輯評估範圍內的服務

• 範圍內的服務和資料來源類型有什麼不同？

我建立了一個評估，但還看不到任何證據

如果您看不到任何證據，可能是您在建立評估後尚未等待至少 24 小時，或是發生設定錯誤。

我們建議您檢查以下內容：

1. 確認自建立評估以來已過 24 小時。建立評估 24 小時後，即可使用自動證據。

2. 請確定您使用的 Audit Manager AWS 區域 與您預期看到的證據相同。 AWS 服務

3. 如果您希望看到 AWS Config 和的合規性檢查證據 AWS Security Hub，請確定 AWS Config 和 Security Hub 主控台都顯示這些檢查的結果。 AWS Config 與 Security Hub 結果應顯示在中使 AWS 區域 用 Audit Manager 的相同。

如果您仍然無法在評估中看到證據，並且不是由於上述任一問題所造成，請查看此頁面描述的其他潛在原因。

我的評估不會從中收集合規性檢查證據 AWS Security Hub

如果您沒有看到 AWS Security Hub 控制項的合規性檢查證據，這可能是由於下列其中一個問題所致。

AWS Security Hub 中缺少配置

如果您在啟用 AWS Security Hub時遺漏了某些設定步驟，可能會導致此問題。

若要修正此問題，請確定您已使用 Audit Manager 的必要設定啟用 Security Hub。如需說明，請參閱啟用和設定 AWS Security Hub。

您的 ControlMappingSource 中的一個 Security Hub 控制項名稱輸入不正確

當您使用 Audit Manager API 建立自訂控制項時，您可以指定 Security Hub 控制項作為證據收集的資料來源對應。若要執行此操作，請輸入控制 ID 做為 keywordValue。

如果您沒有看到 Security Hub 控制項的合規檢查證據，可能是因為 keywordValue 在您的 ControlMappingSource 中輸入不正確。keywordValue 會區分大小寫。如果輸入不正確，Audit Manager 可能無法辨識該規則。因此，您可能無法如預期收集該控制項的合規檢查證據。

若要修正此問題，請更新自訂控制項並修訂keywordValue. Security Hub 關鍵字的正確格式各不相同。為了獲得準確性，請參考的清單支援的 Security Hub 控制項 。

AuditManagerSecurityHubFindingsReceiverAmazon EventBridge 規則丟失

啟用 Audit Manager 時，系統會在 Amazon 中自動建立並啟用名為AuditManagerSecurityHubFindingsReceiver的規則 EventBridge。此規則可讓 Audit Manager 收集 Security Hub 調查結果作為證據。

如果您使用 Security Hub 的 AWS 區域 位置未列出並啟用此規則，則 Audit Manager 無法收集該區域的安全中心發現項目。

若要解決此問題，請前往EventBridge 主控台並確認您的 AWS 帳戶. AuditManagerSecurityHubFindingsReceiver 如果規則不存在，建議您停用 Audit Manager，然後重新啟用服務。如果此動作無法解決問題，或停用 Audit Manager 不是可選選項，請聯絡 AWS Support 尋求協助。

由 Security Hub 建立的服務連結 AWS Config 規則

請記住，Audit Manager 不會從 Security Hub 建立的服務連結 AWS Config 規則中收集證據。這是由 Security Hub 服務啟用和控制的特定受管理 AWS Config 規則類型。Security Hub 會在您的 AWS 環境中建立這些服務連結規則的執行個體，即使相同規則的其他執行個體已經存在也是如此。因此，為防止證據重複，Audit Manager 不支援從服務連結規則收集證據。

我在 Security Hub 中禁用了安全控制。Audit Manager 是否會收集該安全性控制的符合性檢查證據？

Audit Manager 不會收集已停用安全性控制的證據。

如果您在 Security Hub 中將安全性控制的狀態設定為 [停用]，則不會針對目前帳戶和 [區域] 中的該控制項執行安全性檢查。因此，Security Hub 中沒有可用的安全性發現項目，而且 Audit Manager 不會收集任何相關證據。

透過遵守您在 Security Hub 中設定的停用狀態，Audit Manager 可確保您的評估能夠準確反映與您環境相關的作用中安全性控制和發現項目，不包括您故意停用的任何控制項。

我Suppressed在安全中心中設置了發現的狀態。Audit Manager 是否會收集有關該發現項目的合規性檢查

Audit Manager 會針對隱藏搜尋結果的安全控制收集證據。

如果您在 Security Hub 中將尋找項目的工作流程狀態設定為隱藏，這表示您已檢閱此尋找項目，且不相信需要執行任何動作。在「Audit Manager」中，這些隱藏的發現項目會作為證據收集並附加至您的評估。證據詳細資料會顯示直接從 Security Hub SUPPRESSED 報告的評估狀態。

此方法可確保您的 Audit Manager 評估準確地表示 Security Hub 中的發現項目，同時還可讓您瞭解任何可能需要在稽核中進一步檢閱或考量的隱藏發現項目。

我的評估不會從中收集合規性檢查證據 AWS Config

如果您沒有看到規則的合 AWS Config 規性檢查證據，這可能是由於下列其中一個問題所致。

在您的 ControlMappingSource 中規則識別碼輸入錯誤

當您使用 Audit Manager 建立自訂控制項時，您可以API將 AWS Config 規則指定為證據收集的資料來源對應。您指定的 keywordValue 取決於規則的類型。

如果您沒有看到規則的合 AWS Config 規性檢查證據，可能keywordValue是您的ControlMappingSource. keywordValue 會區分大小寫。如果輸入不正確，Audit Manager 可能無法辨識規則。因此，您可能無法如預期收集該規則的合規檢查證據。

若要修正此問題，請更新自訂控制項並修訂keywordValue.

• 對於自訂規則，請確定 keywordValue 具有 Custom_ 字首，後面接著自訂規則名稱。自訂規則名稱的格式可能會有所差異。為確保正確性，請造訪 AWS Config 控制台以驗證您的自訂規則名稱。

• 對於受管規則，請確定 keywordValue 是 ALL_CAPS_WITH_UNDERSCORES 中的規則識別碼。例如 CLOUDWATCH_LOG_GROUP_ENCRYPTED。如需準確性，請參考支援的受管規則關鍵字清單。

  注意

  對於某些受管規則，規則識別碼與規則名稱不同。例如，受限制 ssh 的規則識別碼為 INCOMING_SSH_DISABLED。請務必使用規則識別碼，而不是規則名稱。若要尋找規則識別碼，請從受管規則清單中選擇規則，然後找到其識別碼值。

此規則為服務連結 AWS Config 規則

您可以使用受管規則和自訂規則作為證據收集的資料來源映射項目。但是，Audit Manager 不會從大多數服務連結規則中收集證據。

Audit Manager 只會從下列兩種類型收集證據的服務連結規則：

• 一致性套件中的服務連結規則

• 服務連結規則 AWS Organizations

Audit Manager 不會從其他服務連結規則收集證據，特別是任何具有 Amazon 資源名稱 (ARN) 且包含下列前置詞的規則：arn:aws:config:*:*:config-rule/aws-service-rule/...

Audit Manager 無法從大多數服務連結 AWS Config 規則中收集證據的原因，是為了防止評估中出現重複的證據。服務連結規則是一種特定類型的受管規則，可讓其他人在您 AWS 服務 的帳戶中建立 AWS Config 規則。例如，某些 Security Hub 控制項會使用 AWS Config 服務連結規則來執行安全性檢查。對於每個使用服務連結 AWS Config 規則的 Security Hub 控制項，Security Hub 會在您的 AWS 環境中建立必要 AWS Config 規則的執行個體。即使您帳戶中已存在原始規則，也會發生這種情況。因此，為避免從同一規則中重複收集相同證據，Audit Manager 會忽略服務連結規則，而不會從中收集證據。

AWS Config 未啟用

AWS Config 必須在您的 AWS 帳戶. 以這種方式進行設 AWS Config 定之後，每次執行 AWS Config 規則評估時，Audit Manager 都會收集證據。請確定您已 AWS Config 在 AWS 帳戶. 如需指示，請參閱啟用和設定 AWS Config。

在您設定評估之前， AWS Config 規則評估了資源組態

如果您的 AWS Config 規則設定為評估特定資源的組態變更，您可能會在中看到評估 AWS Config 與 Audit Manager 中的證據不相符。如果規則評估發生在您在 Audit Manager 評估中設定控制項之前，就會發生這種情況。在此情況下，直到基礎資源再次變更狀態並觸發規則的重新評估，Audit Manager 才會產生證據。

因應措施是您可以導覽至 AWS Config 主控台中的規則，然後手動重新評估規則。這將調用與該規則相關之所有資源的新評估。

我的評估不會從 AWS CloudTrail中收集使用者活動證據

當您使用 Audit Manager API 建立自訂控制項時，您可以指定 CloudTrail 事件名稱作為證據收集的資料來源對應。若要執行此操作，請將事件名稱輸入為 keywordValue。

如果您沒有看到 CloudTrail 事件的使用者活動證據，可能keywordValue是您的ControlMappingSource. keywordValue 會區分大小寫。如果輸入不正確，Audit Manager 可能無法辨識事件名稱。因此，您可能無法依預期收集該事件的使用者活動證據。

若要修正此問題，請更新自訂控制項並修訂keywordValue. 請確保事件寫入為 serviceprefix_ActionName。例如 cloudtrail_StartLogging。如需準確性，請參閱服務授權參考中的 AWS 服務 字首和動作名稱。

我的評估不會收集 AWS API通話的組態資料證據

當您使用 Audit Manager 建立自訂控制項時，您可以API將 AWS API呼叫指定為證據收集的資料來源對應。若要這麼做，請輸入API呼叫的方式為keywordValue。

如果您沒有看到 AWS API通話的組態資料證據，可能keywordValue是您的ControlMappingSource. keywordValue 會區分大小寫。如果輸入錯誤，Audit Manager 可能無法辨識API呼叫。因此，您可能無法依預期收集該API呼叫的組態資料證據。

若要修正此問題，請更新自訂控制項並修訂keywordValue. 確保API呼叫寫入為serviceprefix_ActionName。例如 iam_ListGroups。為了獲得準確性，請參考的清單AWS 支援的 API 呼叫 AWS Audit Manager。

常見的控制項不會收集任何自動化證據

當您檢閱通用控制項時，您可能會看到下列訊息：此通用控制項不會從核心控制項收集自動證據。

這表示目前沒有任何 AWS 受管理的證據來源可以支援此通用控制項。因此，[證據來源] 索引標籤是空的，且不會顯示核心控制項。

當通用控制項未收集自動化證據時，就稱為手動通用控制項。手動通用控制項通常需要提供實體記錄和簽章，或者關於 AWS 環境外發生的事件的詳細資料。因此，通常沒有 AWS 資料來源可以產生支援控制項需求的證據。

如果通用控制項是手動的，您仍然可以將其用作自訂控制項的證據來源。唯一的區別是，共同的控制不會自動收集任何證據。相反，您需要手動上傳自己的證據以支持共同控制的要求。

若要將證據新增至手動共用控制項

1. 建立自訂控制項

   • 依照下列步驟建立或編輯自訂控制項。

   • 當您在步驟 2 中指定證據來源時，請選擇手動通用控制項作為證據來源。

2. 建立自訂架構

   • 依照下列步驟建立或編輯自訂架構。

   • 當您在步驟 2 中指定控制項集時，請加入新的自訂控制項。

3. 建立評估

   • 按照以下步驟從您的自定義框架創建評估。

   • 在這一點上，手動共同控制現在是主動評估控制中的證據來源。

4. 上傳手動證據

   • 請按照以下步驟將手動證據添加到評估中的控制項中。

注意

隨著 future 可用的 AWS 資料來源越多，可 AWS 能會更新通用控制項，將核心控制項納入為證據來源。在這種情況下，如果通用控制項是一或多個作用中評估控制項中的證據來源，您將自動從這些更新中獲益。您無需進一步設置，您將開始收集支持共同控制的自動證據。

我的證據是以不同的時間間隔產生的，我不確定它的收集頻率

Audit Manager 評估中的控制項會映射至各種資料來源。每個資料來源都有不同的證據收集頻率。因此，對於收集證據的頻率沒有 one-size-fits-all 答案。某些資料來源會評估合規性，而其他資料來源僅擷取資源狀態和變更資料，不涉及合規性判斷。

以下是不同資料來源類型的摘要，以及收集證據的頻率。

Data source type (資料來源類型)	說明	證據收集頻率	此控制項在評估中處於作用中狀態時
AWS CloudTrail	追蹤特定使用者活動。	持續性	Audit Manager 會根據您選擇的關鍵字篩選 CloudTrail 記錄。已處理的日誌檔會匯入為使用者活動證據。
AWS Security Hub	透過 Security Hub 報告調查結果，擷取資源安全狀況的快照。	根據 Security Hub 檢查的排程計劃 (通常約每 12 小時進行一次)	Audit Manager 會直接從 Security Hub 擷取安全性調查結果。調查結果會匯入為合規檢查證據。
AWS Config	透過報告發現項目來擷取資源安全狀況的快照 AWS Config。	根據規則中定義的設 AWS Config 定	Audit Manager 會直接從中擷取規則評估 AWS Config。評估結果會匯入為合規檢查證據。
AWS API呼叫	透過API呼叫指定的，直接擷取資源組態的快照 AWS 服務。	每日、每週或每月	Audit Manager 會根據您指定的頻率進行API呼叫。系統會將回應匯入為組態資料‬證據。

無論證據收集頻率如何，只要評估處於活動狀態，系統都會自動收集新證據。如需詳細資訊，請參閱 證據收集頻率。

如需了解詳細資訊，請參閱 自動化證據的支援資料來源類型 和 變更控制項收集證據的頻率。

我先停用再重新啟用 Audit Manager，導致我既有的評估不再進行收集證據

當您停用 Audit Manager 並選擇不刪除資料時，您現有的評估會進入休眠狀態，並停止收集證據。這表示當您重新啟用 Audit Manager 時，您先前建立的評估仍可使用。但是，它們不會自動恢復收集證據。

如需重新開始收集既有評估的證據，請編輯評估並選擇儲存，而不進行任何變更。

在我的評估詳細資料頁面上，系統會提示我重新建立評估

如果您看到「建立新評估以收集更全面的證據」的訊息，表示「Audit Manager」現在會針對建立評估的來源提供標準架構的新定義。

在新的架構定義中，架構的所有標準控制項現在都可以從AWS 受管理的來源收集證據。這表示每當針對一般或核心控制項的基礎資料來源有更新時，Audit Manager 就會自動將相同的更新套用至所有相關的標準控制項。

若要從這些受 AWS 管理的來源中受益，我們建議您從更新的架構建立新的評估。執行此操作之後，您可以將舊的評估狀態變更為非作用中。此動作有助於確保您的新評估會收集來自 AWS 受管理來源的最準確、最全面的證據。如果您不採取任何行動，您的評估會繼續使用舊的架構和控制項定義來收集與之前完全相同的證據。

資料來源和證據來源有什麼區別？

證據來源決定從何處收集證據。這可以是個別資料來源，也可以是對應至核心控制項或共用控制項的預先定義資料來源群組。

資料來源是最精細的證據來源類型。資料來源包含下列詳細資訊，告知 Audit Manager 要從何處收集證據資料：

• 資料來源類型 (例如， AWS Config)

• 資料來源對映 (例如，特定 AWS Config 規則，例如s3-bucket-public-write-prohibited)

我的評估建立失敗

如果您的評估建立失敗，可能是因為您在評估範圍中選取了太多 AWS 帳戶 。如果您使用的是 AWS Organizations，Audit Manager 員在單一評估範圍內最多可支援 200 個成員帳戶。如果超過此數量，評估建立可能會失敗。因應措施是，您可以進行多次評估，每次評估使用範圍內不同帳戶來執行。

如果我從組織中移除範圍內的帳戶，會發生什麼情況？

當範圍內的帳戶從組織中移除時，Audit Manager 不會再為該帳戶收集證據。但是，該帳戶仍會繼續顯示在您的評估中的 AWS 帳戶 索引標籤下。若要從範圍內的帳戶清單中移除該帳戶，請編輯評估。已移除帳戶在編輯期間不再顯示於清單中，您可以在不包含該帳戶的範圍內儲存您的變更。

我看不到評估範圍內的服務

如果您沒有看到此索AWS 服務引標籤，這表示範圍內的服務是由稽核管理員為您管理。當您建立新評估時，稽核管理員會從該時間點開始為您管理範圍內的服務。

如果您有較舊的評估，可能是您先前在評估中看到此標籤。但是，當發生下列任一事件時，Audit Manager 會自動從您的評估中移除此標籤，並接管範圍內的服務管理：

• 您可以編輯評估

• 您可以編輯評估中使用的其中一個自訂控制項

Audit Manager 會檢查您的評估控制項及其資料來源，然後將此資訊對應至對應 AWS 服務的資訊，藉此推斷範圍內的服務。如果您的評估基礎資料來源變更，我們會根據需要自動更新範圍，以反映正確的服務。這可確保您的評估收集有關您 AWS 環境中所有相關服務的準確而全面的證據。

我無法編輯評估範圍內的服務

編輯評量 AWS Audit Manager工作流程不再具有 「編輯」服務步驟。這是因為 Audit Manager 現在 AWS 服務 會管理您評估範圍內的哪些項目。

如果您有較舊的評估，建立評估時，可能是手動定義範圍內的服務。但是，您無法繼續編輯這些服務。當發生下列任一事件時，Audit Manager 會自動接管評估範圍內的服務管理：

• 您可以編輯評估

• 您可以編輯評估中使用的其中一個自訂控制項

Audit Manager 會檢查您的評估控制項及其資料來源，然後將此資訊對應至對應 AWS 服務的資訊，藉此推斷範圍內的服務。如果您的評估基礎資料來源變更，我們會根據需要自動更新範圍，以反映正確的服務。這可確保您的評估收集有關您 AWS 環境中所有相關服務的準確而全面的證據。

範圍內的服務和資料來源類型有什麼不同？

A service in scope 是包 AWS 服務 含在評估範圍內的。當一項服務在範圍內時，Audit Manager 會收集您使用該服務及其資源的相關證據。

注意

Audit Manager AWS 服務 會管理您評估範圍內的哪些項目。如果您有較舊的評估，可能是您過去手動指定範圍內的服務。往後，您無法指定或編輯範圍內的服務。

資料來源類型會指出從何處收集證據。如果您上傳自己的證據，則資料來源類型為手動。如果由 Audit Manager 收集證據，則資料來源可以是下列四種類型之一：

1. AWS Security Hub — 從 Security Hub 報告發現項目，擷取資源安全狀況的快照。

2. AWS Config — 透過報告發現項目來擷取資源安全狀況的快照 AWS Config。

3. AWS CloudTrail — 追蹤資源的特定使用者活動。

4. AWS API呼叫 — 透過呼API叫特定項目，直接擷取資源組態的快照 AWS 服務。

這裡有兩個例子來說明範圍內的服務，以及資料來源類型之間的差異。

範例 1

假設您想收集名為 4.1.2 — 禁止對 S3 儲存貯體進行公開寫入存取的控制項證據。此控制項會檢查 S3 儲存貯體政策的存取層級。對於此控制項，Audit Manager 會使用特定 AWS Config 規則 (s3-bucket-public-write-prohibited) 來尋找 S3 儲存貯體的評估。在此範例中，下列情況成立：

• service in scope是 Amazon S3

• 正在評估的資源是您的 S3 儲存貯體

• 資料來源類型為 AWS Config

• 資料來源對映是特定 AWS Config 規則 (s3-bucket-public-write-prohibited)

範例 2

假設您想為名為 164.308 (a) (5) (ii) (C) 的HIPAA控制項收集證據。此控制項需要監控程序來偵測不適當的登入。針對此控制項，Audit Manager 會使用 CloudTrail 記錄檔來尋找所有AWS 管理主控台登入事件。在此範例中，下列情況成立：

• 就service in scope是 IAM

• 正在評估的資源是您的使用者

• 資料來源類型為 CloudTrail

• 資料來源對映是特定 CloudTrail 事件 (ConsoleLogin)