AWS Audit Manager 控制項範例 - AWS Audit Manager
自動化控制 (Security Hub)自動化控制 (AWS Config)自動化控制(API呼叫)自動化控制 (CloudTrail)手動控制具有混合資料來源的控制項

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Audit Manager 控制項範例

您可以檢閱此頁面上的範例,進一步了解控制項在 AWS Audit Manager的運作方式。

在 Audit Manager 中,控制項可以自動從四種資料來源類型收集證據:

  1. AWS CloudTrail— 從 CloudTrail 日誌中捕獲用戶活動並將其導入為用戶活動證據

  2. AWS Security Hub— 從 Security Hub 收集發現並將其導入為合規性檢查證據

  3. AWS Config— 從中收集規則評估 AWS Config 並將其導入為合規性檢查證據

  4. AWS API呼叫 — 從呼API叫擷取資源快照,並將其匯入為組態資料證據

許多控制項會使用這些資料來源的預先定義分組來收集證據。這些資料來源群組稱為AWS 受管理來源。每個 AWS Managed 來源代表一個共同的控制項或核心控制項。這可讓您有效率地將合規要求對應至相關的資料來源群組,這些資料來源由中 AWS的業界認證評估機構驗證和維護。或者,您可以使用上述四種資料來源類型來定義自己的資料來源。這使您可以靈活地上傳手動證據,或從業務特定資源(例如自定義 AWS Config 規則)收集自動證據。

此頁面上的範例顯示控制項如何從每個個別資料來源類型收集證據。它們描述了控制項的外觀、Audit Manager 如何從資料來源收集證據,以及您可以採取以證明合規性的後續步驟。

提示

我們建議您啟用 AWS Config 和 Security Hub,以便在 Audit Manager 中獲得最佳體驗。當您啟用這些服務時,Audit Manager 可以使用 Security Hub 發現項目並 AWS Config 規則 產生自動化的證據。

以下為每種控制項類型的範例:

用 AWS Security Hub 作資料來源類型的自動化控制項

此範例顯示用 AWS Security Hub 作資料來源類型的控制項。這是取自AWS 基礎安全性最佳作法 (FSBP) 架構的標準控制項。Audit Manager 會使用此控制項產生證據,協助您的 AWS 環境FSBP符合需求。

控制項細節範例

  • 控制項名稱FSBP1-012: AWS Config should be enabled

  • 控制集Config. 這是與組態管理相關的FSBP控制項的框架特定群組。

  • 證據來源 — 個別資料來源

  • 資料來源類型 — AWS Security Hub

  • 證據類型 — 合規檢查

在下列範例中,此控制項位於從FSBP架構建立的「Audit Manager」評估中。

顯示評估中安全中心控制項的螢幕擷取畫面。

評估會顯示控制狀態。它還顯示了迄今為止為此控制收集了多少證據。您可以從這裡委派控制集以供檢閱,或自行檢閱。選擇控制項名稱會開啟詳細資訊頁面,其中包含詳細資訊,包括該控制項的證據。

這個控制項可以做什麼

此控制項需要 AWS Config 在您使用安全性中心的所有 AWS 區域 位置啟用。Audit Manager 可以使用此控制項來檢查您的IAM策略是否過於廣泛而無法滿足FSBP需求。更具體地說,它可以檢查您的客戶管理IAM策略是否具有包含以下萬用字元陳述式的管理員存取權限:"Effect": "Allow""Action": "*"超過"Resource": "*"

Audit Manager 如何收集此控制項的證據

Audit Manager 會採取下列步驟來收集此控制項的證據:

  1. Audit Manager 會針對每個控制項評估您的範圍內資源。它會使用控制項設定中指定的資料來源來執行此作業。在此範例中,您的IAM原則是資源,而 Security Hub AWS Config 是資料來源類型。Audit Manager 會尋找特定安全性中樞檢查 ([IAM.1]) 的結果,然後使用 AWS Config 規則來評估您的IAM原則 (iam-policy-no-statements-with-admin-access)。

  2. 資源評估的結果將被保存,並轉換為易於稽核的證據。Audit Manager 會針對使用安全中樞作為資料來源類型的控制項產生合規檢查證據。此證據包含直接從 Security Hub 報告的合規檢查結果。

  3. Audit Manager 會將儲存的證據附加至評估中名為 FSBP1-012: AWS Config should be enabled 的控制項。

如何使用 Audit Manager 來證明對此控制項的合規性

將證據附加到控制項後,您或您選擇的委派代表可以檢閱證據,以查看是否需要進行任何修復。

在此範例中,Audit Manager 可能會顯示來自 Security Hub 的失敗裁決。如果您的IAM政策包含萬用字元 (*),而且過於廣泛而無法符合控制項,就可能會發生這種情況。在這種情況下,您可以更新IAM策略,使其不允許完整的管理權限。為實現這一點,您可以決定使用者需要執行哪些任務,然後打造讓使用者只執行這些任務的政策。此更正動作有助於使您的 AWS 環境FSBP符合需求。

當您的IAM政策符合控制項時,請將控制項標示為 [已審閱],並將證據新增至您的評估報告。然後,您可以與稽核人員共用此報告,以證明控制項正在如預期般運作。

用 AWS Config 作資料來源類型的自動化控制項

此範例顯示用 AWS Config 作資料來源類型的控制項。這是取自 AWS Control Tower 防護機制架構的標準控制項。Audit Manager 使用此控制項產生證據,協助您的 AWS 環境符合 AWS Control Tower 護欄。

控制項細節範例

  • 控制項名稱CT-4.1.2: 4.1.2 - Disallow public write access to S3 buckets

  • 控制集 — 此控制項屬於Disallow public access控制集。這是與存取管理相關的控制項群組。

  • 證據來源 — 個別資料來源

  • 資料來源類型 — AWS Config

  • 證據類型 — 合規檢查

在下列範例中,此控制項位於從「 AWS Control Tower 護欄」架構建立的「Audit Manager」評估中。

顯示評估中 AWS Config 控制項的螢幕擷取畫面。

評估會顯示控制狀態。它還顯示了迄今為止為此控制收集了多少證據。您可以從這裡委派控制集以供檢閱,或自行檢閱。選擇控制項名稱會開啟詳細資訊頁面,其中包含詳細資訊,包括該控制項的證據。

這個控制項可以做什麼

Audit Manager 可以使用此控制項來檢查 S3 儲存貯體政策的存取層級是否太寬鬆而無法滿足需 AWS Control Tower 求。更具體地說,它可以檢查「阻止公共訪問」設置,存儲桶策略和存儲桶訪問控制列表(ACL),以確認您的值區不允許公共寫入訪問。

Audit Manager 如何收集此控制項的證據

Audit Manager 會採取下列步驟來收集此控制項的證據:

  1. Audit Manager 會針對每個控制項,使用控制項設定中指定的資料來源評估範圍內的資源。在這種情況下,您的 S3 儲存貯體是資源,而 AWS Config 是資料來源類型。Audit Manager 會尋找特定 AWS Config 規則 (s3-bucket-public-write-prohibited) 的結果,以評估評估範圍內ACL的每個 S3 儲存貯體的設定、政策和。

  2. 資源評估的結果將被保存,並轉換為易於稽核的證據。Audit Manager 會針對用 AWS Config 作資料來源類型的控制項產生符合性檢查證據。此證據包含直接從中報告的合規性檢查的結果 AWS Config。

  3. Audit Manager 會將儲存的證據附加至評估中名為 CT-4.1.2: 4.1.2 - Disallow public write access to S3 buckets 的控制項。

如何使用 Audit Manager 來證明對此控制項的合規性

將證據附加到控制項後,您或您選擇的委派代表可以檢閱證據,以查看是否需要進行任何修復。

在此範例中,Audit Manager 可能會顯示 AWS Config 指出 S3 儲存貯體不合規的裁決。假如其中一個 S3 儲存貯體具有不限制公用政策的封鎖公開存取功能設定,且使用中的政策允許公開寫入存取權,就可能會發生這種情況。如需修正此問題,您可以更新封鎖公開存取設定以限制公共策略。或者,您可以使用不允許公開寫入存取權的不同儲存貯體政策。此更正動作有助於使您的 AWS 環境 AWS Control Tower 符合需求。

當您確認 S3 儲存貯體存取層級符合控制項時,可以將該控制項標記為已檢閱,並將證據新增至您的評估報告。然後,您可以與稽核人員共用此報告,以證明控制項正在如預期般運作。

使用 AWS API呼叫做為資料來源類型的自動化控制項

此範例顯示使用 AWS API呼叫做為資料來源類型的自訂控制項。Audit Manager 會使用此控制項產生證據,協助您的 AWS 環境符合您的特定需求。

控制項細節範例

  • 控制項名稱Password Use

  • 控制組 — 此控制項屬於稱為 Access Control 的控制集。這是與身分識別和存取管理相關的控制項群組。

  • 證據來源 — 個別資料來源

  • 資料來源類型 — AWS API 呼叫

  • 證據類型 — 配置資料

在下列範例中,此控制項位於從自訂架構建立的 Audit Manager 評估中。

顯示評估中API控制項的螢幕擷取畫面。

評估會顯示控制狀態。它還顯示了迄今為止為此控制收集了多少證據。您可以從這裡委派控制集以供檢閱,或自行檢閱。選擇控制項名稱會開啟詳細資訊頁面,其中包含詳細資訊,包括該控制項的證據。

這個控制項可以做什麼

Audit Manager 可以使用此自訂控制項,來協助您確保擁有足夠的存取控制項策略。此控制項要求您在選擇和使用密碼時遵循良好的安全實踐。Audit Manager 可以擷取位於評估範圍內之IAM主參與者的所有密碼原則清單,以協助您驗證此問題。

Audit Manager 如何收集此控制項的證據

Audit Manager 採取下列步驟來收集此自訂控制項的證據:

  1. Audit Manager 會針對每個控制項,使用控制項設定中指定的資料來源評估範圍內的資源。在這種情況下,您的IAM主體是資源, AWS API呼叫是資料來源類型。Audit Manager 會尋找特定IAMAPI呼叫 (GetAccountPasswordPolicy) 的結果。接著會傳回評估範圍內 AWS 帳戶 的密碼政策。

  2. 資源評估的結果將被保存,並轉換為易於稽核的證據。Audit Manager 會針對使用API呼叫做為資料來源的控制項產生組態資料證據。此證據包含從API回應擷取的原始資料,以及指出資料支援哪些控制項的其他中繼資料。

  3. Audit Manager 會將儲存的證據附加至評估中名為 Password Use 的自訂控制項。

如何使用 Audit Manager 來證明對此控制項的合規性

將證據附加到控制項後,您或您選擇的委派代表可以檢閱證據,以查看證據是否充分或是否需要進行任何修補。

在此範例中,您可以檢閱證據以查看來自API通話的回應。GetAccountPasswordPolicy回應會說明您帳戶中使用者密碼的複雜性需求和強制輪替期間。您可以使用此API回應作為證據,以顯示您有足夠的密碼存取控制原則適 AWS 帳戶 用於評估範圍內的原則。如果需要,您也可以新增評論至控制項,以為相關政策提供其他見解。

當您對IAM主參與者的密碼原則符合自訂控制項感到滿意時,您可以將控制項標示為 [已審閱],並將證據新增至您的評估報告。然後,您可以與稽核人員共用此報告,以證明控制項正在如預期般運作。

用 AWS CloudTrail 作資料來源類型的自動化控制項

此範例顯示用 AWS CloudTrail 作資料來源類型的控制項。這是取自HIPAA安全規則 2003 框架的標準控制。Audit Manager 會使用此控制項產生證據,協助您的 AWS 環境HIPAA符合需求。

控制項細節範例

  • 控制項名稱164.308(a)(5)(ii)(C): Administrative Safeguards - 164.308(a)(5)(ii)(C)

  • 控制集 — 此控制項屬於稱為Section 308的控制集。這是與系統管理保護措施相關的HIPAA控制項的框架特定群組。

  • 證據來源 — AWS 託管來源(核心控制)

  • 基礎資料來源類型 — AWS CloudTrail

  • 證據類型 — 使用者活動

以下是從HIPAA框架創建的「Audit Manager」評估中顯示的控件:

顯示評估中 CloudTrail 控制項的螢幕擷取畫面。

評估會顯示控制狀態。它還顯示了迄今為止為此控制收集了多少證據。您可以從這裡委派控制集以供檢閱,或自行檢閱。選擇控制項名稱會開啟詳細資訊頁面,其中包含詳細資訊,包括該控制項的證據。

這個控制項可以做什麼

此控制要求您具備監控程序以偵測未經授權的存取。未經授權存取的範例是,使用者在未啟用多重要素驗證 (MFA) 的情況下登入主控台。Audit Manager 提供證據表明您將 Amazon CloudWatch 設定為監控未啟用的管理主控台登入請求,以協助您驗證此控制項。MFA

Audit Manager 如何收集此控制項的證據

Audit Manager 會採取下列步驟來收集此控制項的證據:

  1. Audit Manager 會針對每個控制項,使用控制項設定中指定的證據來源評估您的範圍內資源。在此情況下,控制項會使用數個核心控制項做為證據來源。

    每個核心控制項都是個別資料來源的受管群組。在我們的例子中,這些核心控件之一(Configure Amazon CloudWatch alarms to detect management console sign-in requests without MFA enabled)用 CloudTrail 作數據源。 CloudTrail 是資料來源類型,Amazon CloudWatch 警示是評估的資源。

    Audit Manager 會使用monitoring_EnableAlarmActions關鍵字來檢閱您的 CloudTrail 記錄,以尋找啟用由記錄的動作的 CloudWatch 警示 CloudTrail。然後,它會傳回評估範圍內相關事件的記錄。

  2. 資源評估的結果將被保存,並轉換為易於稽核的證據。Audit Manager 會針對用 CloudTrail 作資料來源類型的控制項產生使用者活動證據。此證據包含從 Amazon 擷取的原始資料 CloudWatch,以及指示資料支援哪些控制項的其他中繼資料。

  3. Audit Manager 會將儲存的證據附加至評估中名為 164.308(a)(5)(ii)(C): Administrative Safeguards - 164.308(a)(5)(ii)(C) 的控制項。

如何使用 Audit Manager 來證明對此控制項的合規性

將證據附加到控制項後,您或您選擇的委派代表可以檢閱證據,以查看是否需要進行任何修復。

在此範例中,您可以檢閱證據,以查看由 CloudTrail記錄的警示啟用事件。您可以使用此記錄檔做為證據,以顯示您有足夠的監視程序來偵測何時未MFA啟用主控台登入。如果需要,您也可以新增評論至控制項,為相關政策提供其他見解。例如,如果記錄檔顯示多個未登入MFA,您可以新增說明如何修正問題的註解。定期監控主控台登入狀況,可協助您避免因不一致和不當登入嘗試而產生的安全問題。反過來,此最佳做法有助於使您的 AWS 環境HIPAA符合需求。

當您確認監控程序符合控制項時,可以將該控制項標記為已檢閱,並將證據新增至您的評估報告。然後,您可以與稽核人員共用此報告,以證明控制項正在如預期般運作。

手動控制

某些控制項不支援自動化證據收集。除了觀察、訪談和雲端中未產生的其他事件之外,這包括依賴提供實體記錄和簽名的控制項。在這些情況下,您可以手動上傳證據以證明您滿足控制項的要求。

此範例顯示 Audit Manager 不會收集自動化證據的手動控制項。這是取自 NIST800-53(修訂版 5)框架的標準控制。您可以使用 Audit Manager 上傳並儲存證明此控制項的合規證據。

控制項細節範例

  • 控制項名稱AT-4: Training Records

  • 控制集(AT) Awareness and training. 這是與訓練相關的NIST控制項的框架特定群組。

  • 證據來源 — 資料來源

  • 基礎資料來源類型 — 手動

  • 證據類型 — 手動

以下是從 NIST 800-53 (修訂版 5) 低-中高架構建立的 Audit Manager 評估中顯示的控制項:

顯示評估中控制項的螢幕擷取畫面。

評估會顯示控制狀態。它還顯示了迄今為止為此控制收集了多少證據。您可以從這裡委派控制集以供檢閱,或自行檢閱。選擇控制項名稱會開啟詳細資訊頁面,其中包含詳細資訊,包括該控制項的證據。

這個控制項可以做什麼

您可以使用此控制項來協助您確保您的人員接受適當層級的安全性和隱私權訓練。具體來說,您可以證明您已根據所有員工的角色記錄了所有員工的安全性和隱私權訓練活動。您也可以顯示證明每個人都會保留訓練記錄。

如何手動上傳此控制項的證據

若要上傳補充自動化證據的手動證據,請參閱中的上傳手動證據 AWS Audit Manager。Audit Manager 會將上傳的證據附加至評估中名為 AT-4: Training Records 的控制項。

如何使用 Audit Manager 來證明對此控制項的合規性

如果您有支援此控制項的文件,您可以將其上傳為手動證據。例如,您可以上傳人力資源部門發行給員工的強制性角色訓練材料的最新副本。

就像使用自動化控制項一樣,您可以將手動控制項委派給可協助您檢閱證據的利益關係者 (或在此情況下提供)。例如,當您檢閱此控制項時,您可能會發現只有部分符合其需求。如果您沒有面對面培訓的任何出勤跟踪副本,則可能是這種情況。您可以將控制權委派給 HR 利益相關者,然後他們可以上傳參加培訓的員工清單。

如果您滿意自己符合控制項,可以將其標記為已檢閱,並將證據新增至您的評估報告。然後,您可以與稽核人員共用此報告,以證明控制項正在如預期般運作。

具有混合資料來源類型的控制項 (自動和手動)

在許多情況下,需要結合自動化和手動證據來滿足控制項。雖然 Audit Manager 可以提供與控制項相關的自動化證據,但您可能需要使用您自己識別和上傳的手動證據來補充此資料。

此範例顯示使用手動證據和自動證據組合的控制項。這是取自 NIST800-53(修訂版 5)框架的標準控制。Audit Manager 會使用此控制項產生證據,協助您的 AWS 環境NIST符合需求。

控制項細節範例

  • 控制項名稱Personnel Termination

  • 控制集(PS) Personnel Security (10). 這是一組特定於框架的NIST控制項群組,與在組織系統上執行硬體或軟體維護的個人相關。

  • 證據來源 — AWS 受管理 (核心控制) 和個別資料來源 (手動)

  • 基礎資料來源類型 — AWS API 呼叫 AWS CloudTrail、 AWS Config、手動

  • 證據類型 — 配置數據,用戶活動,合規性檢查,手動證據)

以下是從 NIST 800-53 (修訂版 5) 架構建立的 Audit Manager 評估中顯示的控制項:

顯示評估中控制項的螢幕擷取畫面。

評估會顯示控制狀態。它還顯示了迄今為止為此控制收集了多少證據。您可以從這裡委派控制集以供檢閱,或自行檢閱。選擇控制項名稱會開啟詳細資訊頁面,其中包含詳細資訊,包括該控制項的證據。

這個控制項可以做什麼

您可以使用此控制項來確認您是否在員工終止時保護組織資訊。具體而言,您可以證明您已停用系統存取權,並撤銷個人的認證。此外,您可以證明所有已終止的個人都參加了退出面試,其中包括對您組織的相關安全協議的討論。

Audit Manager 如何收集此控制項的證據

Audit Manager 會採取下列步驟來收集此控制項的證據:

  1. Audit Manager 會針對每個控制項,使用控制項設定中指定的證據來源評估您的範圍內資源。

    在此情況下,控制項會使用數個核心控制項做為證據來源。反過來,這些核心控制項都會從個別資料來源 (AWS API呼叫 AWS CloudTrail、和 AWS Config) 收集相關證據。Audit Manager 會使用這些IAM資料來源類型,針對相關API呼叫、 CloudTrail 事件和 AWS Config 規則來評估您的資源 (例如群組、金鑰和策略)。

  2. 資源評估的結果將被保存,並轉換為易於稽核的證據。此證據包含從每個資料來源擷取的原始資料,以及指示資料支援哪些控制項的其他中繼資料。

  3. Audit Manager 會將儲存的證據附加至評估中名為 Personnel Termination 的控制項。

如何手動上傳此控制項的證據

若要上傳補充自動化證據的手動證據,請參閱中的上傳手動證據 AWS Audit Manager。Audit Manager 會將上傳的證據附加至評估中名為 Personnel Termination 的控制項。

如何使用 Audit Manager 來證明對此控制項的合規性

將證據附加到控制項後,您或您選擇的委派代表可以檢閱證據,以查看證據是否充分或是否需要進行任何修補。例如,當您檢閱此控制項時,您可能會發現只有部分符合其需求。如果您有證據證明訪問被撤銷,但沒有任何退出面試的副本,則可能是這種情況。您可以將控制權委派給 HR 利益相關者,然後他們可以上傳退出面試文書的副本。或者,如果稽核期間沒有員工終止,您可以留下註解,說明為何控制項沒有附加簽署的文書工作。

當您確認自己符合控制項時,可以將該控制項標記為已檢閱,並將證據新增至您的評估報告。然後,您可以與稽核人員共用此報告,以證明控制項正在如預期般運作。