Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Buscador de evidencias
El buscador de evidencias proporciona una forma eficaz de buscar evidencias en Audit Manager. En lugar de explorar exhaustivamente carpetas de evidencias para encontrar lo que busca, ahora puede utilizar el buscador de evidencias para consultarlas rápidamente. Si utiliza el buscador de evidencias como administrador delegado, puede buscar evidencias en todas las cuentas de miembros de su organización.
Mediante una combinación de filtros y agrupaciones, puede reducir progresivamente el alcance de su consulta de búsqueda. Por ejemplo, si desea obtener una visión general del estado de su sistema, realice una búsqueda amplia y filtre por evaluación, intervalo de fechas y conformidad de los recursos. Si su objetivo es corregir un recurso específico, puede realizar una búsqueda restringida para encontrar evidencias que apunten a un identificador de control o recurso específico. Tras definir los filtros, puede agrupar y, a continuación, obtener una vista previa de los resultados de búsqueda coincidentes antes de crear un informe de evaluación.
Para utilizar el buscador de evidencias, debe habilitar esta característica en la configuración de Audit Manager.
## Puntos clave
### Entendiendo cómo funciona el buscador de pruebas con CloudTrail Lake
El buscador de evidencias utiliza la capacidad de consulta y almacenamiento de [AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html). Antes de empezar a utilizar el buscador de pruebas, es útil entender un poco más sobre cómo funciona CloudTrail Lake.
CloudTrail Lake agrega los datos en un único almacén de datos de eventos en el que se pueden realizar búsquedas y que admite potentes consultas SQL. Esto significa que puede buscar datos en toda su organización y dentro de intervalos de tiempo personalizados. Con el buscador de evidencias, puede utilizar esta función de búsqueda directamente en la consola de Audit Manager.
Cuando solicita habilitar el buscador de evidencias, Audit Manager crea un almacén de datos de eventos en su nombre. Una vez habilitado el buscador de evidencias, todas las evidencias futuras de Audit Manager se incorporarán al almacén de datos del evento, donde estarán disponibles para las consultas de búsqueda del buscador de evidencias. Después de habilitar el buscador de evidencias, también rellenamos el almacén de datos de eventos recién creado con los datos de evidencias de los dos últimos años. Si habilita el buscador de evidencias como administrador delegado, rellenaremos los datos de todas las cuentas de los miembros de la organización.
Todas sus evidencias, ya sean nuevas o repuestas, se retienen en el almacén de datos de evidencias durante 2 años. Puede cambiar el periodo de retención predeterminado en cualquier momento. Para obtener instrucciones, consulte [Actualización de un almacén de datos de eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-lake-cli.html#lake-cli-update-eds.) en la *Guía del usuario de AWS CloudTrail *. Puede conservar datos de eventos en un almacén de datos de eventos por hasta 7 años o 2555 días.
**nota**
Cuando se añaden nuevos datos probatorios al almacén de datos del evento, CloudTrail Lake incurre en gastos de almacenamiento e ingesta de datos.
Para las consultas de CloudTrail Lake, pagas por uso. Esto significa que, por cada consulta de búsqueda que ejecute en el buscador de evidencias, se le cobrará por los datos escaneados.
Para obtener más información sobre los precios de CloudTrail Lake, consulta [AWS CloudTrail los precios](https://aws.amazon.com/cloudtrail/pricing/).
## Siguientes pasos
Para comenzar, habilite el buscador de evidencias en la configuración de Audit Manager. Para obtener instrucciones, consulte [Habilitar el buscador de evidencias](evidence-finder-settings-enable.md).
## Recursos adicionales
+ [Búsqueda de evidencias en el buscador de evidencias](search-for-evidence-in-evidence-finder.md)
+ [Visualizar los resultados en el buscador de evidencias](viewing-search-results-in-evidence-finder.md)
+ [Opciones de filtrado y agrupación para el buscador de evidencias](evidence-finder-filters-and-groups.md)
+ [Ejemplos de casos de uso del buscador de evidencias](example-use-cases-for-evidence-finder.md)
+ [Solución de problemas con el buscador de evidencias](evidence-finder-issues.md)
# Búsqueda de evidencias en el buscador de evidencias
Puede utilizar el buscador de evidencias para realizar búsquedas específicas y encontrar rápidamente las evidencias pertinentes para su revisión.
En esta página aprenderá a filtrar las búsquedas por criterios, como, por ejemplo, evaluación, intervalo de fechas, estado de conformidad de los recursos y otros atributos. La aplicación de estos filtros reduce el ámbito de la búsqueda a solo las evidencias que necesita. También puede agrupar los resultados por campos para analizar mejor los patrones.
## Requisitos previos
Asegúrese de completar los pasos necesarios para habilitar el buscador de evidencias en la configuración de Audit Manager. Para obtener instrucciones, consulte [Habilitar el buscador de evidencias](evidence-finder-settings-enable.md).
Además, asegúrese de que cuente con los permisos necesarios para realizar consultas de búsqueda en el buscador de evidencias. Para ver un ejemplo de política de permisos que puede usar, consulte [Permita a los usuarios realizar consultas de búsqueda en el buscador de evidencias](security_iam_id-based-policy-examples.md#evidence-finder-query-access).
## Procedimiento
Siga estos pasos para buscar evidencias en la consola de Audit Manager.
1. [Perform a search query](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#performing-a-search)
1. [Stop an in-progress search query (optional)](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#stopping-a-search)
1. [Edit the filters for your search query (optional)](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#editing-a-search)
**nota**
También puedes usar la CloudTrail API para consultar tus datos probatorios. Para obtener más información, consulta [StartQuery](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_StartQuery.html) en la *AWS CloudTrail Referencia de la API de *. Si prefiere utilizar la AWS CLI, consulte [Iniciar una consulta](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-lake-cli.html#lake-cli-start-query) en la *Guía del AWS CloudTrail usuario*.
### Realizar una consulta de búsqueda
Siga estos pasos para realizar una consulta de búsqueda en el buscador de evidencias.
**Para buscar evidencias**
1. Abra la consola de AWS Audit Manager en [https://console.aws.amazon.com/auditmanager/casa](https://console.aws.amazon.com/auditmanager/home).
1. En el panel de navegación, seleccione **Buscador de evidencias**.
1. A continuación, aplique filtros para limitar el alcance de la búsqueda.
1. En **Evaluación**, elija una evaluación.
1. En **Intervalo de fechas**, seleccione un intervalo.
1. En **Conformidad de los recursos**, seleccione un estado de evaluación.
![\[La evaluación requerida, el intervalo de fechas y la conformidad de los recursos se filtran en el buscador de evidencias.\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/images/evidence-finder-required_filters-console.png)
1. (Opcional) Seleccione **filtros adicionales (opcionales**) para restringir aún más la búsqueda.
1. Seleccione **Añadir criterios**, seleccione un criterio y, a continuación, seleccione uno o más valores para ese criterio.
1. Siga creando más filtros de la misma manera.
1. Para eliminar un filtro no deseado, seleccione **Eliminar**.
![\[Filtro adicional para un control específico en el buscador de evidencias.\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/images/evidence-finder-additional_filters-console.png)
1. En **Agrupación**, especifique si desea agrupar los resultados de la búsqueda.
1. Si desea agrupar los resultados, seleccione un valor por el que agruparlos.
1. Si no desea agrupar los resultados, continúe con el paso 6.
![\[Opción seleccionada para agrupar los resultados, con un grupo elegido por valor.\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/images/evidence-finder-grouping-console.png)
1. Elija **Buscar**.
![\[Botón de búsqueda para iniciar una consulta de búsqueda en el buscador de evidencias.\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/images/evidence-finder-search-console.png)
La búsqueda puede tardar unos minutos, en función de la cantidad de datos de evidencias de los que disponga. Puede salir del buscador de evidencias mientras la búsqueda está en curso. Una barra parpadeante le avisará cuando los resultados de la búsqueda estén listos.
### Detener una consulta de búsqueda
Si desea detener una consulta de búsqueda por cualquier motivo, siga estos pasos.
**nota**
Detener una consulta de búsqueda aún puede generar cargos. Se le cobrará la cantidad de datos de evidencias escaneados antes de detener la consulta de búsqueda. Cuando se detenga, podrá ver los resultados parciales devueltos.
**Detención de una consulta de búsqueda en curso**
1. En la barra parpadeante de progreso azul de la parte superior de la pantalla, seleccione **Detener búsqueda**.
![\[Barra parpadeante azul que indica si hay una consulta de búsqueda en curso.\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/images/in_progress_search-evidence-finder-console.png)
1. (Opcional) Revise los resultados parciales devueltos antes de detener la consulta de búsqueda.
1. Si se encuentra en la página del buscador de evidencias, los resultados parciales se muestran en la pantalla.
1. Si ha navegado fuera del buscador de evidencias, seleccione **Ver resultados parciales** en la barra parpadeante de confirmación verde.
![\[Barra parpadeante verde que indica cuándo se ha detenido una búsqueda.\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/images/stopped_search-evidence-finder-console.png)
### Editar filtros de búsqueda
Siga estos pasos para volver a la consulta de búsqueda más reciente y ajustar los filtros según sea necesario.
**nota**
Al editar los filtros y seleccionar **Buscar**, se inicia una nueva consulta de búsqueda.
**Edición de una consulta de búsqueda reciente**
1. En la página **Ver resultados**, seleccione **Buscador de evidencias** en el menú de navegación de la ruta de navegación.
![\[Menú de navegación de la ruta de navegación de la consola con el buscador de evidencias resaltado\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/images/breadcrumb_menu-evidence-finder-console.png)
1. Seleccione **Filtros y agrupaciones** para ampliar la selección de filtros.
![\[Sección ampliable de filtros y agrupaciones del buscador de evidencias.\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/images/expand_filters-evidence-finder-console.png)
1. A continuación, edite sus filtros o inicie una nueva búsqueda.
1. Para editar los filtros, ajuste o elimine los filtros actuales y la selección de agrupación.
1. Para volver a empezar, seleccione **Borrar filtros** y aplique los filtros y agrupaciones que prefiera.
![\[Botón para borrar filtros que puede usar para empezar de nuevo con una nueva consulta de búsqueda.\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/images/evidence-finder-clear_filters-console.png)
1. Cuando haya terminado, elija **Buscar**.
![\[Botón de búsqueda para iniciar una nueva consulta de búsqueda en el buscador de evidencias.\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/images/evidence-finder-search-console.png)
## Siguientes pasos
Una vez finalizada la búsqueda, podrá ver los resultados que coincidan con sus criterios de búsqueda. Para obtener instrucciones, consulte [Visualizar los resultados en el buscador de evidencias](viewing-search-results-in-evidence-finder.md).
## Recursos adicionales
+ [Opciones de filtrado y agrupación para el buscador de evidencias](evidence-finder-filters-and-groups.md)
+ [Ejemplos de casos de uso del buscador de evidencias](example-use-cases-for-evidence-finder.md)
+ [Solución de problemas con el buscador de evidencias](evidence-finder-issues.md)
# Visualizar los resultados en el buscador de evidencias
Una vez finalizada la búsqueda, podrá ver los resultados que coincidan con sus criterios de búsqueda.
Tenga en cuenta que es posible que se evalúen varios recursos durante la recopilación de evidencias. Como resultado, la evidencia puede incluir uno o varios recursos relacionados. En el buscador de evidencias, los resultados se muestran a nivel de recurso, con una fila para cada recurso. Puede previsualizar un resumen de cada recurso sin salir de la página.
Tras revisar los resultados de la búsqueda, puede generar un informe de evaluación que incluya esas evidencias. También puede exportar los resultados de la búsqueda a un archivo de valores separados por comas (CSV).
**importante**
Le recomendamos que mantenga abierto el buscador de evidencias hasta que termine de explorar los resultados de la búsqueda. Los resultados de la búsqueda se descartan al salir de la tabla **Ver resultados**. Si es necesario, puede [ver sus resultados recientes](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-results.html) en la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/). Aquí, los resultados de sus consultas de búsqueda se guardan durante siete días. Sin embargo, ten en cuenta que no puedes generar un informe de evaluación a partir de los resultados de búsqueda en la CloudTrail consola.
## Requisitos previos
En el procedimiento siguiente se de por sentado que ya ha seguido los pasos para [realizar una búsqueda](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html) en el buscador de evidencias.
## Procedimiento
Siga estos pasos para ver los resultados de la búsqueda en el buscador de evidencias.
**Tareas**
+ [Paso 1. Visualizar resultados agrupados](#review-grouped-results)
+ [Paso 2. Visualización de los resultados de búsqueda](#review-search-results)
+ [Administración de las preferencias de visualización](#manage-preferences)
+ [Visualización previa de los resúmenes de los recursos](#preview-evidence)
### Paso 1. Visualizar resultados agrupados
Si agrupó los resultados, puede revisarlos antes de examinar las evidencias.
**nota**
Si no agrupó los resultados, el buscador de evidencias no mostrará la tabla **Agrupar por resultados**. En su lugar, accederá directamente a la tabla **Ver resultados**.
Utilice la tabla **Agrupar por resultados** para conocer el alcance de la evidencia coincidente y cómo se distribuye en una dimensión específica. Los resultados se agrupan según el valor que haya seleccionado. Por ejemplo, si has agrupado por **tipo de recurso**, la tabla muestra una lista de tipos de AWS recursos. En la columna de **Evidencia total** se mostrará el número de resultados coincidentes para cada tipo de recurso.
![\[Tabla Agrupar por resultados en el buscador de evidencias.\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/images/evidence-finder-group_by_table-console.png)
**Para obtener los resultados de un grupo**
1. En la tabla **Agrupar por resultados**, seleccione la fila de los resultados que desee obtener.
1. Seleccione **Obtener resultados**. Esto iniciará una nueva consulta de búsqueda y le redirigirá a la tabla **Ver resultados**, donde podrá ver los resultados de ese grupo.
### Paso 2. Visualización de los resultados de búsqueda
En la tabla **Ver resultados** se muestran los resultados de la búsqueda. Aquí puede administrar sus preferencias de visualización y obtener una vista previa de los resúmenes de recursos.
#### Administración de las preferencias de visualización
Sus preferencias de visualización controlan lo que ve en la página de resultados.
**Administrar sus preferencias de visualización**
1. Seleccione el icono de configuración (⚙) situado en la parte superior de la tabla **Ver resultados**.
1. Revise y cambie la configuración siguiente como sea necesario:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/viewing-search-results-in-evidence-finder.html)
1. Elija **Confirmar** para guardar las preferencias.
#### Visualización previa de los resúmenes de los recursos
Puede obtener una vista previa de los recursos relacionados con las evidencias que coincidan con su consulta de búsqueda. Esto le ayuda a determinar si la consulta de búsqueda arrojó los resultados esperados o si necesita ajustar los filtros y volver a ejecutar la consulta de búsqueda.
Tenga en cuenta que las evidencias pueden tener uno o más recursos relacionados. El buscador de evidencias muestra los resultados a nivel de recurso (con una fila para cada recurso).
**nota**
El buscador de evidencias devuelve los resultados de las evidencias automatizadas y manuales. Sin embargo, solo puede obtener vista previa de resúmenes de recursos para evidencias automatizadas. Esto se debe a que Audit Manager no realiza evaluaciones de recursos para obtener evidencias manuales y, como resultado, no hay un resumen de recursos disponibles.
Para consultar los datos sobre la evidencia manual, seleccione el nombre de la evidencia para abrir la página de datos de la evidencia. Si genera un informe de evaluación a partir de los resultados del buscador de evidencias, los datos de las evidencias manuales se incluyen en el informe de evaluación.
**Vista previa de resúmenes de recursos**
1. Seleccione el botón de opción situado junto al resultado. Se abrirá un panel de resumen de recursos en la página actual.
1. (Opcional) Para ver todos los datos de la evidencia relacionada, seleccione el nombre de la evidencia.
1. (Opcional) Utilice las líneas horizontales (**=**) para arrastrar y cambiar el tamaño del panel de resumen de recursos.
1. Seleccione (**x**) para cerrar el panel de resumen de recursos.
![\[Ejemplo de resumen de recursos en la página de visualización de resultados del buscador de evidencias.\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/images/evidence-finder-preview-console.png)
## Siguientes pasos
Tras revisar los resultados de la búsqueda, puede generar informes de evaluación a partir de ellos o exportarlos como un archivo CSV. Para obtener instrucciones, consulte [Exportación de los resultados de la búsqueda desde el buscador de evidencias](exporting-search-results-from-evidence-finder.md).
## Recursos adicionales
+ [Opciones de filtrado y agrupación para el buscador de evidencias](evidence-finder-filters-and-groups.md)
+ [Ejemplos de casos de uso del buscador de evidencias](example-use-cases-for-evidence-finder.md)
+ [Solución de problemas con el buscador de evidencias](evidence-finder-issues.md)
# Exportación de los resultados de la búsqueda desde el buscador de evidencias
Tras revisar los resultados de la búsqueda, puede generar informes de evaluación a partir de esos resultados. Además, puede exportar los resultados de búsqueda del buscador de evidencias en un archivo CSV.
## Requisitos previos
En el procedimiento siguiente se de por sentado que ya ha seguido los pasos para [realizar una búsqueda](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html) y [revisar los resultados](https://docs.aws.amazon.com/audit-manager/latest/userguide/viewing-search-results-in-evidence-finder.html) en el buscador de evidencias.
## Procedimiento
**Contents**
+ [Generación de un informe de evaluación a partir de los resultados de la búsqueda](#generate-one-time-report-from-search-results)
+ [Exportación de los resultados de la búsqueda a un archivo CSV](#export-search-results)
+ [Ver los resultados después de exportarlos](#viewing-results-after-export)
### Generación de un informe de evaluación a partir de los resultados de la búsqueda
Una vez que esté satisfecho con los resultados de la búsqueda, puede generar un informe de evaluación.
**Genere un informe de evaluación a partir de los resultados de la búsqueda**
1. En la parte superior de la tabla **Ver resultados**, seleccione **Generar informe de evaluación**.
1. Introduzca un nombre y una descripción para el informe de evaluación y revise los detalles del informe de evaluación.
1. Seleccione **Generar informe de evaluación**.
Se tarda unos minutos en generar el informe de evaluación. Mientras tanto, puede salir del buscador de evidencias. Aparecerá una notificación de éxito de color verde que confirmará que el informe está listo. A continuación, puede ir al centro de descargas de Audit Manager y [descargar su informe de evaluación](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html#download-a-file).
**nota**
Audit Manager generará un informe único utilizando únicamente la evidencia de los resultados de la búsqueda. Este informe no incluye ninguna evidencia que se haya [agregado manualmente a un informe desde la página de evaluación](https://docs.aws.amazon.com/audit-manager/latest/userguide/generate-assessment-report-include-evidence.html).
Existen límites a la cantidad de evidencias que se pueden incluir en un informe de evaluación. Para obtener más información, consulte [Solución de problemas con el buscador de evidencias](evidence-finder-issues.md).
### Exportación de los resultados de la búsqueda a un archivo CSV
Es posible que necesite una versión portátil de los resultados de búsqueda de su buscador de evidencias. De ser así, puede exportar los resultados de la búsqueda a un archivo CSV.
Tras exportar los resultados de la búsqueda, el archivo CSV estará disponible en el centro de descargas de Audit Manager durante siete días. También se envía una copia del archivo CSV a su bucket de S3 preferido, que se conoce como *destino de exportación*. El archivo CSV permanece disponible en este bucket hasta que lo elimine.
Audit Manager utiliza la funcionalidad de [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) para exportar y entregar archivos CSV desde el buscador de evidencias. Los siguientes factores definen cómo funciona el proceso de exportación de CSV:
+ Todos los resultados de la búsqueda se incluyen en el archivo CSV. Si solo quiere incluir resultados de búsqueda específicos, le recomendamos que [edite sus filtros de búsqueda](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#editing-a-search). De esta forma, puede restringir los resultados para orientarlos únicamente a las evidencias que desee exportar.
+ Los archivos CSV se exportan en formato GZIP comprimido. El nombre predeterminado del archivo CSV es `queryID/result.csv.gz`, donde `queryID` es el ID de la consulta de búsqueda.
+ El tamaño de archivo máximo de una exportación CSV es de 1 TB. Si exporta más de 1 TB de datos, los resultados se dividirán en más de un archivo. Cada archivo CSV se denomina `result_number.csv.gz`. La cantidad de archivos CSV que reciba dependerá del tamaño total de los resultados de la búsqueda. Por ejemplo, al exportar 2 TB de datos se obtendrán dos archivos de resultados de consultas: `result_1.csv.gz` y`result_2.csv.gz`.
+ Además del archivo CSV, se enviará un archivo de firma JSON a su bucket de S3. Este archivo actuará como una suma de comprobación para verificar que la información del archivo CSV es correcta. Para obtener más información, consulte CloudTrail la [estructura de los archivos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-results-file-validation-sign-file-structure.html) de firmas en la *Guía para AWS CloudTrail desarrolladores*. Para determinar si los resultados de la consulta se modificaron, eliminaron o no cambiaron después de entregarse, puede utilizar la validación de integridad de los resultados de la CloudTrail consulta. Para obtener instrucciones, consulte [Validar los resultados de las consultas guardadas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-query-results-validation-intro.html) en la *Guía para desarrolladores de AWS CloudTrail *.
**nota**
Las respuestas textuales de evidencias manuales no se incluyen actualmente en las vistas previas del buscador de evidencias ni en las exportaciones a CSV. Para ver los datos de la respuesta textual, seleccione el nombre de la evidencia manual en el buscador de resultados para abrir la página de detalles de la evidencia. Si necesita ver los datos de las respuestas de texto fuera de la consola de Audit Manager, le recomendamos que genere un informe de evaluación a partir de los resultados del buscador de evidencias. Todos los datos de las evidencias manuales, incluidas las respuestas en texto, se incluyen en los informes de evaluación.
#### Exportar resultados por primera vez
Siga estos pasos para exportar los resultados de búsqueda por primera vez. Este procedimiento le da la opción de especificar un destino de exportación predeterminado para todas sus futuras exportaciones. Si no desea guardar un destino de exportación predeterminado en este momento, puede hacerlo más adelante [actualizando la configuración del destino de exportación](https://docs.aws.amazon.com/audit-manager/latest/userguide/settings-export-destination.html).
**importante**
Antes de empezar, asegúrese de tener un bucket de S3 disponible para usarlo como destino de exportación. Puede usar uno de sus buckets de S3 existentes o puede [crear uno nuevo en Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html). Para una seguridad y un rendimiento óptimos, le recomendamos que utilice un bucket de S3 en la misma AWS cuenta y región que utilizó la evaluación. Además, su bucket de S3 debe tener la política de permisos necesaria CloudTrail para poder escribir en él los archivos de exportación. Más específicamente, la política de bucket debe incluir una `s3:PutObject` acción y el ARN del bucket, y figurar CloudTrail como principal de servicio. Proporcionamos un [ejemplo de política de permisos](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_resource-based-policy-examples.html) que puede utilizar. Para obtener instrucciones sobre cómo adjuntar esta política a su bucket de S3, consulte [Añadir una política de buckets mediante la consola de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html).
Para obtener más consejos, consulte [Consejos de configuración para el destino de su exportación](settings-export-destination.md#settings-export-destination-tips). Si tiene algún problema al exportar un archivo CSV, consulte [](evidence-finder-issues.md#csv-exports).
**Para exportar los resultados de la búsqueda (primera ejecución)**
1. En la parte superior de la tabla **Ver resultados**, seleccione **Exportar CSV**.
1. Especifique el bucket de S3 al que desea exportar su archivo.
+ Seleccione **Explorar S3** para elegir de una lista de sus buckets.
+ Como alternativa, puede introducir el URI del bucket en este formato: **s3://bucketname/prefix**
**sugerencia**
Para mantener el bucket de destino organizado, puede crear una carpeta opcional para sus exportaciones a CSV. Para ello, añada una barra (**/**) y un prefijo al valor del cuadro **URI del recurso** (por ejemplo, **/evidenceFinderExports**). A continuación, Audit Manager incluirá este prefijo cuando añada el archivo CSV al bucket y Amazon S3 generará la ruta especificada por el prefijo. Para obtener más información acerca de los prefijos en Amazon S3, consulte [Organizar objetos en la consola de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html) en la Guía del usuario de *Amazon Simple Storage Service*.
1. (Opcional) Si no quiere guardar este bucket como destino de exportación predeterminado, desmarque la casilla de verificación que indica **Guardar este bucket como destino de exportación predeterminado en la configuración de mi buscador de evidencias**.
1. Seleccione **Exportar**.
#### Exportar los resultados después de guardar un destino de exportación
Una vez que haya guardado un bucket de S3 predeterminado como destino de exportación predeterminado, puede seguir estos pasos en el futuro.
**Para exportar los resultados de la búsqueda (después de guardar un destino de exportación predeterminado)**
1. En la parte superior de la tabla **Ver resultados**, seleccione **Exportar CSV**.
1. En el mensaje que aparece, revise el bucket de S3 predeterminado en el que se guardará el archivo exportado.
1. (Opcional) Para seguir usando este bucket y ocultar este mensaje en el futuro, marque la casilla **No volver a recordármelo**.
1. (Opcional) Para cambiar este bucket, siga el procedimiento para [actualizar la configuración del destino de exportación](https://docs.aws.amazon.com/audit-manager/latest/userguide/settings-export-destination.html).
1. Elija **Confirmar**.
Según la cantidad de datos que exporte, el proceso de exportación puede tardar unos minutos en completarse. Puede navegar fuera del buscador de evidencias mientras la exportación está en curso. Al salir del buscador de evidencias, la búsqueda se detendrá y los resultados de la búsqueda se descartarán en la consola. Sin embargo, el proceso de exportación a CSV continuará en segundo plano. El archivo CSV contendrá el conjunto completo de resultados de búsqueda que coincidan con su consulta.
#### Ver los resultados después de exportarlos
Para buscar el archivo CSV y comprobar su estado, vaya al [Centro de descargas de Audit Manager](download-center.md) de Audit Manager. Cuando el archivo exportado esté listo, puede [descargar su archivo CSV](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html#download-a-file) desde el centro de descargas.
También puede buscar y descargar el archivo CSV desde el bucket de S3 de destino de exportación.
**Para buscar el archivo CSV y el archivo de firma en la consola de Amazon S3**
1. Abra la [consola de Amazon S3](https://console.aws.amazon.com/s3/).
1. Seleccione el bucket de destino de exportación que especificó al exportar el archivo CSV.
1. Recorra la jerarquía de objetos hasta que encuentre el archivo CSV y el archivo de firma. El archivo CSV tiene una extensión `.csv.gz` y el archivo de firma tiene una extensión `.json`.
Verá una jerarquía de objetos similar a la del siguiente ejemplo, pero con diferente nombre de bucket para el destino de exportación, ID de cuenta, fecha e ID de consulta.
```
All Buckets
Export_Destination_Bucket_Name
AWSLogs
Account_ID;
CloudTrail-Lake
Query
YYYY
MM
DD
Query_ID
```
## Recursos adicionales
+ [Solución de problemas con el buscador de evidencias](evidence-finder-issues.md)
+ [Configuración del destino de la exportación predeterminada para el buscador de evidencias](settings-export-destination.md)
# Opciones de filtrado y agrupación para el buscador de evidencias
En esta página puede ver una lista de las opciones de filtrado y agrupación disponibles para el buscador de evidencias.
## Referencia de filtro
Puede utilizar los siguientes filtros para buscar pruebas que coincidan con criterios específicos, como una evaluación, un control o Servicio de AWS.
**Temas**
+ [filtros requeridos](#required-filters)
+ [Filtros adicionales (opcionales)](#additional-filters)
+ [Combinar filtros](#combining-filters)
### filtros requeridos
Utilice estos filtros para comenzar con información general de alto nivel de la evidencia de una evaluación.
| Nombre del filtro | Description (Descripción) | Notas |
| --- | --- | --- |
| **Evaluación** | Devuelve la evidencia de una evaluación específica. | Puede filtrar por una sola evaluación. |
| **Rango de fechas** | Devuelve evidencia de un periodo de tiempo específico. | O bien, puede usar un *Rango relativo* para definir un rango relativo a la fecha de hoy (por ejemplo, **Last 30 days**). O bien, puede usar un *Rango absoluto* para especificar un rango de fechas específico (por ejemplo, **June 27th – July 4th**). |
| Conformidad de recursos | Devuelve los recursos con una evaluación de verificación de conformidad específica. | Audit Manager recopila [pruebas de verificación de conformidad](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#evidence) para los controles que utilizan AWS Config Security Hub CSPM como tipo de fuente de datos. Es posible que se evalúen varios recursos durante la recopilación de evidencias. En consecuencia, una sola evidencia de verificación de conformidad puede incluir uno o más recursos. Puede usar este filtro para explorar el estado de conformidad a nivel de recurso. Puede elegir una o más de las siguientes opciones: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/evidence-finder-filters-and-groups.html) |
### Filtros adicionales (opcionales)
Utilice estos filtros para limitar el alcance de la consulta de búsqueda. Por ejemplo, utilice **Servicio** para ver todas las evidencias relacionadas con Amazon S3. Utilice **Tipo de recurso** para centrarse únicamente en los buckets de S3. O bien, utilice **ARN del recurso** para dirigirse a un bucket de S3 específico.
Puede crear filtros adicionales mediante uno o varios de los siguientes criterios.
| Nombre del criterio | Description (Descripción) | Cuándo utilizar este criterio |
| --- | --- | --- |
| ID de cuenta | Desglose por Cuenta de AWS. | Utilice este criterio para buscar evidencias relacionadas con una Cuenta de AWS específica. |
| Control | Desglosar por nombre de control. | Utilice este criterio para buscar evidencias relacionadas con un control específico. |
| Dominio de control | Desglosar por dominio de control. | Utilice este criterio para centrarse en un área temática específica mientras se prepara para una auditoría. Puede filtrar por dominio de control si está consultando una evaluación creada a partir de un marco estándar. Entre algunos ejemplos de dominios de control se incluye la seguridad de redes, la administración de identidades y accesos y la protección de datos. Es posible que algunos dominios de control estén marcados como **desactualizados** tras la transición de Audit Manager a un nuevo conjunto de dominios de control proporcionado por AWS Control Catalog. Para obtener más información, consulte [Veo que un dominio de control está marcado como obsoleto ¿Qué significa esto?](evidence-finder-issues.md#outdated-control-domains). |
| Data source type (Tipo de origen de datos) | Desglosar por tipo de origen de datos. | Utilice este criterio para centrarse en un origen de datos específico. Establezca el valor en `Manual` para buscar evidencias que haya subido manualmente. De lo contrario, puede filtrar las evidencias automatizadas en función de su procedencia (por ejemplo `AWS Config`, `CloudTrail`, `Security Hub CSPM` o `AWS API calls`). |
| Nombre de evento | Desglosar por nombre de evento. | Utilice este criterio para centrarse en un evento específico con el que esté relacionada la evidencia. Un evento es el registro de una actividad en Cuenta de AWS. Por ejemplo, puede buscar el nombre de una llamada a la API, como la operación de IAM `AttachRolePolicy` que se usa para configurar los permisos. O bien, busca una CloudTrail palabra clave, como el `ConsoleLogin` evento que se registra CloudTrail cuando un usuario inicia sesión en tu cuenta. |
| ARN de recurso | Desglosar por nombre de recurso de Amazon (ARN). | Utilice este criterio para buscar evidencias relacionadas con un recurso específico de AWS . |
| Tipo de recurso | Desglosar por tipo de recurso. | Utilice este criterio para centrarse en el tipo de recurso que se está evaluando, como una instancia de Amazon EC2 o un bucket de S3. |
| Servicio | Desglosa por Servicio de AWS nombre. | Utilice este criterio para buscar pruebas relacionadas con algo específico Servicio de AWS, como Amazon EC2, Amazon S3 o. AWS Config |
| Categorías de servicio | Desglose por Servicio de AWS categoría. | Utilice este criterio para centrarse en una categoría específica de Servicio de AWS. Algunos ejemplos son seguridad, identidad y conformidad, base de datos y almacenamiento. |
### Combinar filtros
#### Comportamiento de criterios
Cuando especifica más de un criterio, Audit Manager aplica el operador `AND` a sus selecciones. Esto significa que todos los criterios se agrupan en una sola consulta y los resultados deben coincidir con todos los criterios combinados.
**Ejemplo**
En la siguiente configuración de filtros, el buscador de evidencias devuelve los recursos de no conformidad de los últimos 7 días para la evaluación denominada **MySOC2Assessment**. Además, los resultados se refieren tanto a una política de IAM como al control especificado.
![\[Una selección de filtros aplicados, con el operador AND destacado.\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/images/evidence-finder-filter_description-console.png)
#### Comportamiento del valor de criterios
Cuando se especifica más de un valor de criterio, los valores se vinculan con un operador `OR`. El buscador de evidencias devuelve resultados que coinciden con cualquiera de estos valores de criterio.
**Ejemplo**
En la siguiente configuración de filtro, el buscador de evidencias devuelve los resultados de búsqueda que provienen de AWS CloudTrail AWS Config, o AWS Security Hub CSPM.
![\[Un ejemplo de configuración de filtro que muestra varios valores definidos para un único criterio.\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/images/evidence-finder-filter_description-multiple_values-console.png)
## Agrupación de referencia
Puede agrupar los resultados de la búsqueda para una navegación más rápida. La agrupación le muestra la amplitud de los resultados de búsqueda y cómo están distribuidos en una dimensión específica.
Puede utilizar cualquiera de los siguientes grupos por valores.
| Agrupación por | Description (Descripción) |
| --- | --- |
| ID de cuenta | Agrupar los resultados por Cuenta de AWS. |
| Control | Agrupe los resultados por nombre de control. |
| Data source type (Tipo de origen de datos) | Agrupe los resultados por el tipo de origen de datos del que provienen las evidencias. |
| Nombre de evento | Agrupe los resultados por el nombre de un evento. |
| ARN de recurso | Agrupe resultados por nombre de recurso de Amazon (ARN). |
| Tipo de recurso | Agrupe los resultados por tipo de recurso. |
| Servicio | Agrupa los resultados por Servicio de AWS nombre. |
| Categorías de servicio | Agrupa los resultados por Servicio de AWS categoría. |
# Ejemplos de casos de uso del buscador de evidencias
El buscador de evidencias puede ayudarle con varios casos de uso. En esta página se proporcionan algunos ejemplos y se sugieren los filtros de búsqueda que puede utilizar en cada situación.
**Topics**
+ [Caso de uso 1: busque evidencias de no conformidad y organice las delegaciones](#use-case-find-non-compliant-evidence)
+ [Caso de uso 2: identificar evidencias de conformidad](#use-case-find-compliant-evidence)
+ [Caso de uso 3: realizar una vista previa rápida de los recursos de evidencias](#use-case-evidence-preview)
## Caso de uso 1: busque evidencias de no conformidad y organice las delegaciones
Este caso de uso es ideal si es responsable de conformidad, de protección de datos o un profesional de GRC encargado de supervisar la preparación de las auditorías.
Al supervisar la postura de conformidad de su organización, puede confiar en los equipos de socios para que le ayuden a solucionar los problemas. Puede utilizar el buscador de evidencias para ayudarle a organizar el trabajo para los equipos de sus socios.
Al aplicar filtros, puede centrarse en las evidencias de un área en concreto. Además, también puede estar en consonancia con las responsabilidades y el ámbito de cada equipo asociado con el que trabaje. Al realizar una búsqueda específica de este modo, puede utilizar los resultados de la búsqueda para identificar qué es exactamente lo que hay que corregir en cada área temática. A continuación, puede delegar las evidencias de no conformidad en el equipo asociado correspondiente para que las corrija.
Para este flujo de trabajo, siga los pasos para [buscar evidencias](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html). Utilice los siguientes filtros para buscar evidencias de no conformidad.
```
Assessment |
Date range |
Resource compliance | Non-compliant
```
A continuación, aplique filtros adicionales para el área en la que se está centrando. Por ejemplo, utilice el filtro **Categoría de servicio** para buscar recursos de no conformidad relacionados con la IAM. A continuación, comparta esos resultados con el equipo propietario de los recursos de la IAM para su organización. O bien, si está consultando una evaluación que se creó a partir de un marco estándar, puede usar el filtro de **Dominio de control** para encontrar evidencias de no conformidad relacionadas con el dominio de administración de identidades y accesos.
```
Control domain |
or
Service category |
```
Cuando encuentre las evidencias que necesite, siga los pasos para generar un informe de evaluación a partir de los resultados de la búsqueda. Para obtener instrucciones, consulte [Generación de un informe de evaluación a partir de los resultados de la búsqueda](exporting-search-results-from-evidence-finder.md#generate-one-time-report-from-search-results). Puede compartir este informe con su equipo asociado, que lo puede utilizar como lista de comprobación de las correcciones.
## Caso de uso 2: identificar evidencias de conformidad
Este caso de uso es ideal si trabaja en TI o en SecOps otro rol que posea activos en la nube y los corrija. DevOps
Como parte de una auditoría, es posible que se le pida que solucione los problemas relacionados con los recursos de los que dispone. Después de realizar este trabajo, puede utilizar el buscador de evidencias para validar que sus recursos son de conformidad.
Para este flujo de trabajo, siga los pasos para [buscar evidencias](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html). Utilice los siguientes filtros para buscar evidencias de conformidad.
```
Assessment |
Date range |
Resource compliance | Compliant
```
A continuación, aplique filtros adicionales para mostrar solo las evidencias de las que sea responsable. En función del ámbito de su propiedad, haga que la búsqueda sea tan segmentada como necesite. Los siguientes ejemplos de filtros están ordenados del más amplio al más preciso. Elija las opciones adecuadas para usted y sustitúyalas por sus propios valores. **
```
Control domain |
Service category |
Service |
Resource type |
Resource ARN |
```
Si eres responsable de varias instancias con el mismo criterio (por ejemplo, si eres propietario de varias Servicios de AWS), puedes [agrupar los resultados](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder-filters-and-groups.html#groups) por ese valor. Esto le proporcionará el total de coincidencias de evidencias para cada Servicio de AWS. A continuación, podrá obtener los resultados de los servicios de los que disponga.
## Caso de uso 3: realizar una vista previa rápida de los recursos de evidencias
Este caso de uso es ideal para todos los clientes de Audit Manager.
Hasta ahora, revisar los datos de las evidencias individuales llevaba mucho tiempo. Si quería obtener una vista previa de las evidencias, tenía que ir directamente a esa evaluación y, a continuación, navegar por carpetas de evidencias muy jerarquizadas. Ahora, el buscador de evidencias ofrece una forma cómoda de obtener una vista previa de esta información. Para cada elemento de evidencia que coincida con su consulta de búsqueda, puede obtener una vista previa de los recursos individuales para dicha evidencia.
Para empezar, siga los pasos para [buscar evidencias](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html). A continuación, seleccione el botón de opción situado junto al resultado para ver un resumen de recursos en la página actual. Puede obtener una vista previa de cada recurso individual relacionado con un elemento de evidencia. Para ver todos los detalles de la evidencia de cualquier recurso, seleccione el nombre de la evidencia. Para obtener más información, consulte [Visualización previa de los resúmenes de los recursos](viewing-search-results-in-evidence-finder.md#preview-evidence).
![\[Un ejemplo de un resultado de búsqueda y el resumen de recursos que aparece en pantalla para ese resultado.\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/images/evidence-finder-preview-console.png)