證據搜尋器的篩選和分組選項 - AWS Audit Manager
篩選器參考資料分組參考

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

證據搜尋器的篩選和分組選項

在此頁面上,您可以看到可用於證據查找器的過濾器和分組選項列表。

篩選器參考資料

您可以使用下列篩選器來尋找符合特定條件的證據,例如評估、控制或 AWS 服務。

主題

必要篩選器

使用這些篩選條件,開始對評估中的證據進行高階概觀。

篩選器名稱描述備註

評估

傳回特定評估的證據。

您只能依據一個評估進行篩選。

日期範圍

傳回特定時段的證據。

或者,您可以使用相對範圍來定義相對於今天日期的範圍(例如,Last 30 days)。

或者,您可以使用絕對範圍來指定特定的日期範圍 (例如,June 27th – July 4th)。
支援合規 傳回具有特定合規檢查評估的資源。

Audit Manager 會針對使用 AWS Config 和 Security Hub 做為資料來源類型的控制項收集符合性檢查證據。請記住,在收集證據時可能會評估多種資源。因此,單一合規檢查證據可以包含一或多個資源。您可以使用此篩選器來探索資源層級的合規狀態。

您可以選擇以下其中一個選項:

  • 不合規 — 此篩選器會尋找具有合規檢查問題的資源。如果 Security Hub 報告失敗結果或報告不合規的結果,就會發生這種情況。 AWS Config

  • 合規 — 此篩選器會尋找不具有合規檢查問題的資源。如果 Security Hub 報告「通過」結果或報告「合規」結果,就會發生這種情況。 AWS Config

  • 不確定 — 此篩選器會尋找合規檢查不可用或不適用的資源。如果資源使用 AWS Config 或安全中樞做為基礎資料來源類型,但這些服務未啟用,就會發生這種情況。如果資源使用不支援符合性檢查 (例如手動證據、 AWS API呼叫或 CloudTrail) 的基礎資料來源類型,也會發生這種情況。

其他篩選條件(選擇性)

使用這些篩選條件來縮小搜尋查詢的範圍。例如,使用服務查看與 Amazon S3 相關的所有證據。使用資源類型將範圍縮小至 S3 儲存貯體。或者,使用資源ARN來定位特定的 S3 儲存貯體。

您可以使用下列一或多個條件建立其他篩選器。

條件名稱 描述 何時使用此條件
帳戶 ID

向下鑽取 AWS 帳戶。

 使用此條件來尋找與特定 AWS 帳戶相關的證據。
控制項

依控制項名稱進行深層探勘。

使用此條件來尋找與特定控制項相關的證據。
控制項域

依控制項網域進行深層探勘。

當您準備稽核時,請使用此條件,將重點放在特定主題領域。如果您要查詢從標準架構建立的評估,則可以依控制項網域進行篩選。

控制網域的範例包括網路安全性、身分識別與存取管理,以及資料保護。

在稽核管理員轉換至控制項目錄所 AWS 提供的一組新控制網域之後,某些控制網域可能會標記為「已過期」。如需詳細資訊,請參閱 我看到控制域被標記為「過時」。這代表什麼意思?
Data source type (資料來源類型)

依資料來源的類型進行深層探勘。

使用此條件可將結果限縮於特定資料來源。

將值設定為Manual,以尋找您手動上傳的證據。或者,您可以根據自動證據的來源(例如AWS ConfigCloudTrailSecurity HubAWS API calls)過濾自動證據。
事件名稱

依事件名稱進行深層探勘。

使用此條件可將重點放在與證據相關的特定事件上。事件是 AWS 帳戶中活動的記錄。

例如,您可以搜尋API呼叫的名稱,例如用來設定權限的IAMAttachRolePolicy作業。或者,搜尋 CloudTrail 關鍵字,例如使用者登入您的帳戶 CloudTrail 時所記錄的ConsoleLogin事件。
資源 ARN

按 Amazon 資源名稱(ARN)向下鑽取。

使用此條件來尋找與特定 AWS 資源相關的證據。
Resource Type (資源類型)

依資源類型進行深層探勘。

 使用此準則專注於正在評估的資源類型,例如 Amazon EC2 執行個體或 S3 儲存貯體。
服務

按 AWS 服務 名稱向下鑽取。

 使用此條件尋找與特定相關的證據 AWS 服務,例如 Amazon EC2、Amazon S3 或 AWS Config.
服務目錄

按 AWS 服務 類別向下鑽研。

 使用此條件可將重點放在的特定類別上 AWS 服務。

範例包括安全性、身分識別與合規性、資料庫和存放區。

結合篩選器

條件行為

當您指定多個條件時,Audit Manager 會將 AND 運算子套用到您的選定內容。這表示所有條件都會分組為單一查詢,且結果必須符合所有組合的條件。

範例

在下列篩選器設定中,證據搜尋工具會針對呼叫 MySOC2Assessment 的評估,傳回過去 7 天內不合規的資源。此外,結果與IAM策略和指定的控制項有關。

選取套用的篩選器,AND運算子會反白顯示。

條件值行為

當您指定多個條件值時,這些值會與 OR 運算子連結。證據搜尋工具會傳回符合任何這些條件值的結果。

範例

在下列篩選器設定中,證據搜尋工具會傳回來自 AWS CloudTrail AWS Config、或的搜尋結果 AWS Security Hub。

顯示針對單一條件定義多個值的範例篩選器設定。

分組參考

您可以將搜尋結果分組,以加快瀏覽速度。分組顯示搜尋結果的廣度,以及它們在特定維度中的分佈方式。

您可以使用以下任一分組的數值。

分組依據描述
帳戶 ID 依據分組結果 AWS 帳戶。
控制項 依控制項名稱分組結果。
Data source type (資料來源類型) 依證據來源的資料來源類型分組結果。
事件名稱 依事件名稱分組結果。
資源 ARN 按 Amazon 資源名稱(ARN)對結果進行分組。
Resource Type (資源類型) 依資源類型分組結果。
服務 依 AWS 服務 名稱分組結果。
服務目錄 按 AWS 服務 類別分組結果。