Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Outil de recherche d’éléments probants
L’outil de recherche d’éléments probants est un puissant moyen de rechercher des éléments probants dans Audit Manager. Au lieu de parcourir des dossiers d’éléments probants profondément enfouis et difficiles d’accès pour trouver ce que vous recherchez, l’outil de recherche d’éléments probants est beaucoup plus rapide. Si vous utilisez la recherche d’éléments probants en tant qu’administrateur délégué, vous pouvez inclure tous les comptes membres de votre organisation dans votre recherche.
Vous pouvez affiner votre requête de recherche à l’aide de filtres et de regroupements. Par exemple, si vous souhaitez obtenir une vue d’ensemble de l’état de votre système, effectuez une recherche approfondie et filtrez par évaluation, plage de dates et conformité des ressources. Si votre objectif est de remédier à une ressource spécifique, vous pouvez effectuer une recherche précise afin de cibler les éléments probants d’un contrôle ou d’un identifiant de ressource spécifique. Après avoir défini vos filtres, vous pouvez regrouper puis prévisualiser les résultats de recherche correspondants, avant de créer un rapport d’évaluation.
Pour utiliser l’outil de recherche d’éléments probants, vous devez activer cette fonctionnalité dans les paramètres de l’Audit Manager.
## Points clés
### Comprendre comment fonctionne Evidence Finder avec CloudTrail Lake
L’outil de recherche d’éléments probants utilise les capacités de requête et de stockage d’[AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html). Avant de commencer à utiliser Evidence Finder, il est utile d'en savoir un peu plus sur CloudTrail le fonctionnement de Lake.
CloudTrail Lake regroupe les données dans un seul magasin de données d'événements consultable qui prend en charge de puissantes requêtes SQL. Vous pouvez ainsi effectuer des recherches dans toute votre organisation et sur des plages horaires personnalisées. L’outil de recherche d’éléments probants vous permet d’utiliser cette fonctionnalité de recherche directement sur la console Audit Manager.
Lors de la demande d’activation de l’outil de recherche d’éléments probants, Audit Manager crée un entrepôt de données d’événements en votre nom. Une fois l’outil de recherche d’éléments probants activé, tous vos futurs éléments probants Audit Manager sont ingérés dans l’entrepôt de données d’événements, où ils sont disponibles pour recherche. Une fois l’outil de recherche d’éléments probants activé, l’entrepôt de données d’événements nouvellement créé se remplit automatiquement des données d’éléments probants de ces deux dernières années. Si vous activez l’outil de recherche d’éléments probants en tant qu’administrateur délégué, les données de tous les comptes membres de votre organisation seront renseignées.
Toutes vos données d’éléments probants, qu’elles soient remplies rétroactivement ou nouvelles, sont conservées dans l’entrepôt de données d’événements pendant 2 ans. Vous pouvez modifier la période de conservation par défaut à tout moment. Pour des instructions plus détaillées, consultez la section [Update an event data store](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-lake-cli.html#lake-cli-update-eds.) du *guide de l’utilisateur AWS CloudTrail *. Vous pouvez conserver les données d’événement dans un entrepôt de données d’événement pendant sept ans maximum (soit 2 555 jours).
**Note**
Lorsque de nouvelles données probantes sont ajoutées au magasin de données sur les événements, des frais de CloudTrail Lake sont facturés pour le stockage et l'ingestion des données.
Pour les requêtes CloudTrail Lake, vous payez au fur et à mesure. Cela signifie que pour chaque requête de recherche effectuée dans l’outil de recherche d’éléments probants, les données analysées vous sont facturées.
Pour plus d'informations sur la tarification CloudTrail du lac, consultez la section [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/).
## Étapes suivantes
Pour commencer, activez l'outil de recherche de preuves dans les paramètres de l'Audit Manager. Pour obtenir des instructions, veuillez consulter [Activation de l’outil de recherche d’éléments probants](evidence-finder-settings-enable.md).
## Ressources supplémentaires
+ [Recherche de preuves dans Evidence Finder](search-for-evidence-in-evidence-finder.md)
+ [Affichage des résultats dans l’outil de recherche d’éléments probants](viewing-search-results-in-evidence-finder.md)
+ [Options de filtrage et de regroupement pour l'outil de recherche de preuves](evidence-finder-filters-and-groups.md)
+ [Exemples de cas d'utilisation de l'outil de recherche de preuves](example-use-cases-for-evidence-finder.md)
+ [Résolution des problèmes liés à l’outil de recherche d’éléments probants](evidence-finder-issues.md)
# Recherche de preuves dans Evidence Finder
Vous pouvez utiliser l'outil de recherche de preuves pour effectuer des recherches ciblées et trouver rapidement des preuves pertinentes à examiner.
Sur cette page, vous apprendrez à filtrer vos recherches en fonction de critères tels que l'évaluation, la plage de dates, le statut de conformité des ressources et des attributs supplémentaires. L'application de ces filtres réduit votre champ de recherche aux seules preuves dont vous avez besoin. Vous pouvez également regrouper vos résultats en fonction de certains champs afin de mieux analyser les modèles.
## Conditions préalables
Assurez-vous d'avoir suivi les étapes pour activer l'outil de recherche de preuves dans les paramètres de l'Audit Manager. Pour obtenir des instructions, veuillez consulter [Activation de l’outil de recherche d’éléments probants](evidence-finder-settings-enable.md).
En outre, assurez-vous que vous êtes autorisé à effectuer des recherches dans Evidence Finder. Pour un exemple de politique d'autorisation que vous pouvez utiliser, consultez[Autoriser les utilisateurs à exécuter des requêtes de recherche dans l’outil de recherche d’éléments probants](security_iam_id-based-policy-examples.md#evidence-finder-query-access).
## Procédure
Pour rechercher des éléments probants sur la console Audit Manager, procédez comme suit.
1. [Exécuter une requête de recherche](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#performing-a-search)
1. [Arrêter une requête de recherche en cours (facultatif)](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#stopping-a-search)
1. [Modifiez les filtres pour votre requête de recherche (facultatif)](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#editing-a-search)
**Note**
Vous pouvez également utiliser l' CloudTrail API pour interroger vos données de preuve. Pour plus d’informations, consultez [StartQuery](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_StartQuery.html) dans la *Référence d’API AWS CloudTrail *. Si vous préférez utiliser le AWS CLI, voir [Lancer une requête](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-lake-cli.html#lake-cli-start-query) dans le *guide de AWS CloudTrail l'utilisateur*.
### Exécution d’une requête de recherche
Pour effectuer une requête de recherche dans l’outil de recherche d’éléments probants, procédez comme suit.
**Recherchez des éléments probants**
1. Ouvrez la console AWS Audit Manager à la [https://console.aws.amazon.com/auditmanager/maison](https://console.aws.amazon.com/auditmanager/home).
1. Dans le volet de navigation, cliquez sur **Outil de recherche d’éléments probants**.
1. Puis, appliquez des filtres pour réduire la portée de votre recherche.
1. Dans **Évaluation**, choisissez une évaluation.
1. Dans **Plage de dates**, sélectionnez une plage.
1. Dans **Conformité des ressources**, sélectionnez un statut d’évaluation.
![\[L’évaluation requise, la plage de dates et la conformité des ressources sont filtrées dans l’outil de recherche d’éléments probants.\]](http://docs.aws.amazon.com/fr_fr/audit-manager/latest/userguide/images/evidence-finder-required_filters-console.png)
1. (Facultatif) Cliquez sur **Filtres supplémentaires - facultatif** pour affiner encore davantage la recherche.
1. Cliquez sur**Ajouter des critères**, sélectionnez un critère, puis une ou plusieurs valeurs pour ce critère.
1. Continuez à créer d’autres filtres de la même manière.
1. Pour supprimer un filtre indésirable, cliquez sur **Supprimer**.
![\[Filtre supplémentaire pour un contrôle spécifique dans l’outil de recherche d’éléments probants.\]](http://docs.aws.amazon.com/fr_fr/audit-manager/latest/userguide/images/evidence-finder-additional_filters-console.png)
1. Sous **Regroupement**, indiquez si vous souhaitez regrouper les résultats de la recherche.
1. Si vous souhaitez regrouper les résultats, sélectionnez une valeur selon laquelle les résultats seront regroupés.
1. Si vous ne souhaitez pas regrouper les résultats, passez à l’étape 6.
![\[L’option de regroupement des résultats est sélectionnée, et un groupe est choisi par valeur.\]](http://docs.aws.amazon.com/fr_fr/audit-manager/latest/userguide/images/evidence-finder-grouping-console.png)
1. Choisissez **Rechercher**.
![\[Le bouton de recherche, servant à lancer une requête de recherche dans l’outil de recherche d’éléments probants.\]](http://docs.aws.amazon.com/fr_fr/audit-manager/latest/userguide/images/evidence-finder-search-console.png)
Votre recherche peut prendre quelques minutes, en fonction du nombre d’éléments probants dont vous disposez. N’hésitez pas à quitter l’outil de recherche d’éléments probants en cours de recherche. Une barre clignotante vous avertit lorsque les résultats de la recherche sont prêts.
### Interrompre une requête de recherche
Si vous souhaitez interrompre une requête de recherche, procédez comme suit.
**Note**
Même si elle est interrompue, une requête de recherche peut entraîner des frais. Le nombre de données d’éléments probants analysés avant l’interruption de la requête de recherche vous sera facturé. Une fois l’opération interrompue, vous pouvez consulter les résultats partiels renvoyés.
**Pour interrompre une requête de recherche en cours**
1. Dans la barre de progression bleue située en haut de l’écran, choisissez **Arrêter la recherche**.
![\[La barre clignotante bleue indique qu’une requête de recherche est en cours.\]](http://docs.aws.amazon.com/fr_fr/audit-manager/latest/userguide/images/in_progress_search-evidence-finder-console.png)
1. (Facultatif) Vérifiez les résultats partiels renvoyés avant l’arrêt de la requête de recherche.
1. Si vous êtes sur la page de l’outil de recherche d’éléments probants, les résultats partiels s’affichent à l’écran.
1. Si vous avez quitté l’outil de recherche d’éléments probants, choisissez **Afficher les résultats partiels** dans la barre de confirmation verte.
![\[La barre clignotante verte indique à quel moment une recherche a été arrêtée.\]](http://docs.aws.amazon.com/fr_fr/audit-manager/latest/userguide/images/stopped_search-evidence-finder-console.png)
### Modification des filtres de recherche
Suivez ces étapes pour revenir à votre dernière requête de recherche et ajuster les filtres selon vos besoins.
**Note**
Si vous modifiez les filtres et que vous choisissez **Rechercher**, une nouvelle requête de recherche est lancée.
**Pour modifier une requête de recherche récente**
1. Sur la page **Afficher les résultats**, choisissez **Outil de recherche d’éléments probants** dans la piste de navigation.
![\[Le menu de navigation en fil d'Ariane de la console avec Evidence Finder en surbrillance.\]](http://docs.aws.amazon.com/fr_fr/audit-manager/latest/userguide/images/breadcrumb_menu-evidence-finder-console.png)
1. Pour développer la sélection de filtres, cliquez sur **Filtres et regroupements**.
![\[La section Filtres et regroupements à développer de l’outil de recherche d’éléments probants.\]](http://docs.aws.amazon.com/fr_fr/audit-manager/latest/userguide/images/expand_filters-evidence-finder-console.png)
1. Modifiez ensuite vos filtres ou lancez une nouvelle recherche.
1. Pour modifier les filtres, ajustez ou supprimez les filtres et la sélection de groupes actuels.
1. Pour recommencer, cliquez sur **Effacer les filtres** et appliquez les filtres et les regroupements de votre choix.
![\[Le bouton Effacer les filtres vous permet de lancer une nouvelle requête de recherche.\]](http://docs.aws.amazon.com/fr_fr/audit-manager/latest/userguide/images/evidence-finder-clear_filters-console.png)
1. Lorsque vous avez terminé, sélectionnez **Recherche**.
![\[Le bouton de recherche, pour lancer une nouvelle requête de recherche dans l’outil de recherche d’éléments probants.\]](http://docs.aws.amazon.com/fr_fr/audit-manager/latest/userguide/images/evidence-finder-search-console.png)
## Étapes suivantes
Une fois votre recherche terminée, vous pouvez consulter les résultats correspondant à vos critères de recherche. Pour obtenir des instructions, veuillez consulter [Affichage des résultats dans l’outil de recherche d’éléments probants](viewing-search-results-in-evidence-finder.md).
## Ressources supplémentaires
+ [Options de filtrage et de regroupement pour l'outil de recherche de preuves](evidence-finder-filters-and-groups.md)
+ [Exemples de cas d'utilisation de l'outil de recherche de preuves](example-use-cases-for-evidence-finder.md)
+ [Résolution des problèmes liés à l’outil de recherche d’éléments probants](evidence-finder-issues.md)
# Affichage des résultats dans l’outil de recherche d’éléments probants
Une fois votre recherche terminée, vous pouvez consulter les résultats correspondant à vos critères de recherche.
N’oubliez pas que plusieurs ressources peuvent être évaluées lors de la collecte d’éléments probants. Par conséquent, ceux-ci peuvent inclure une ou plusieurs ressources connexes. Dans l’outil de recherche d’éléments probants, les résultats s’affichent par ressource, chaque ligne correspondant à une ressource. Vous pouvez prévisualiser un résumé de chaque ressource sans quitter la page.
Après avoir examiné les résultats de la recherche, vous pouvez générer un rapport d’évaluation comprenant ces éléments probants. Vous pouvez également exporter les résultats de votre recherche dans un fichier CSV (valeurs séparées par des virgules).
**Important**
Nous vous recommandons de laisser l’outil de recherche d’éléments probants ouvert jusqu’à ce que vous ayez fini d’explorer les résultats de la recherche. Si vous quittez le tableau **Afficher les résultats**, les résultats de votre recherche sont supprimés. Si nécessaire, vous pouvez [consulter vos derniers résultats](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-results.html) dans la CloudTrail console à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/). Les résultats de vos requêtes de recherche y sont conservés pendant sept jours. Cependant, n'oubliez pas que vous ne pouvez pas générer de rapport d'évaluation à partir des résultats de recherche dans la CloudTrail console.
## Conditions préalables
La procédure suivante suppose que vous avez déjà suivi les étapes pour [effectuer une recherche dans Evidence](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html) Finder.
## Procédure
Suivez ces étapes pour afficher les résultats de votre recherche dans Evidence Finder.
**Tâches**
+ [Étape 1. Affichage des résultats groupés](#review-grouped-results)
+ [Étape 2. Affichage des résultats de la recherche](#review-search-results)
+ [Gestion de vos préférences de visionnage](#manage-preferences)
+ [Afficher un aperçu des résumés des ressources](#preview-evidence)
### Étape 1. Affichage des résultats groupés
Si vous avez regroupé vos résultats, vous pouvez passer en revue ces regroupements avant d’analyser plus en profondeur les éléments probants.
**Note**
Si vous n’avez pas regroupé les résultats, l’outil de recherche d’éléments probants n’affiche pas le tableau **Regrouper par résultats**. Au lieu de cela, vous êtes redirigé directement vers le tableau **Afficher les résultats**.
Le tableau **Regrouper par résultats** vous indique l’étendue des éléments probants trouvés et leur répartition spécifique. Les résultats sont regroupés en fonction de la valeur sélectionnée. Par exemple, si vous avez groupé par **type de ressource**, le tableau affiche une liste des types de AWS ressources. La colonne **Total des éléments probants** indique le nombre de résultats trouvés pour chaque type de ressource.
![\[Tableau des groupes par résultats dans l’outil de recherche d’éléments probants.\]](http://docs.aws.amazon.com/fr_fr/audit-manager/latest/userguide/images/evidence-finder-group_by_table-console.png)
**Pour obtenir les résultats d’un groupe**
1. Dans le tableau **Grouper par résultats**, sélectionnez la ligne correspondant aux résultats que vous souhaitez obtenir.
1. Cliquez sur **Obtenir les résultats**. Une nouvelle requête de recherche se lance et vous êtes redirigé vers le tableau **Afficher les résultats**, où vous pouvez voir les résultats du groupe désiré.
### Étape 2. Affichage des résultats de la recherche
Le tableau **Afficher les résultats** affiche les résultats de votre recherche. À partir de là, vous pouvez gérer vos préférences d'affichage et prévisualiser les résumés des ressources.
#### Gestion de vos préférences de visionnage
Vos préférences d’affichage contrôlent ce que vous voyez sur la page des résultats.
**Pour gérer vos préférences d’affichage**
1. Cliquez sur l’icône des paramètres (⚙) en haut du tableau **Afficher les résultats**.
1. Vérifiez et modifiez les paramètres suivants au besoin :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/audit-manager/latest/userguide/viewing-search-results-in-evidence-finder.html)
1. Choisissez **Confirmer** pour enregistrer vos préférences.
#### Afficher un aperçu des résumés des ressources
Vous pouvez prévisualiser les ressources associées aux éléments probants correspondant à votre requête de recherche. Cela vous permet de déterminer si la requête de recherche a renvoyé les résultats escomptés ou si vous devez ajuster vos filtres et réexécuter celle-ci.
N’oubliez pas que les éléments probants peuvent avoir une ou plusieurs ressources connexes. L’outil de recherche d’éléments probants affiche les résultats par ressources (une ligne par ressource).
**Note**
L’outil de recherche d’éléments probants renvoie des résultats d’éléments probants automatisés ou manuels. Toutefois, vous ne pouvez prévisualiser les récapitulatifs des ressources que pour les éléments probants automatisés. Cela est dû au fait qu’Audit Manager n’évalue pas les ressources pour les éléments probants manuels et que, par conséquent, aucun résumé des ressources n’est disponible.
Pour voir le détail d’un élément probant manuel, cliquez sur son nom : la page détaillée s’ouvre. Si vous générez un rapport d’évaluation à partir des résultats de votre recherche d’éléments probants, le détail de ceux-ci sera inclus dans le rapport d’évaluation.
**Pour prévisualiser les récapitulatifs de ressources**
1. Activez la case d’option située en regard d’un résultat. Un panneau récapitulatif des ressources s’ouvre sur la page en cours.
1. (Facultatif) Pour voir le détail de l’élément probant connexe, cliquez sur son nom.
1. (Facultatif) Utilisez les lignes horizontales (**=**) pour faire glisser et redimensionner le volet récapitulatif des ressources.
1. Cliquez sur (**x**) pour fermer le volet récapitulatif des ressources.
![\[Exemple de résumé de ressource sur la page Afficher les résultats dans l’outil de recherche d’éléments probants.\]](http://docs.aws.amazon.com/fr_fr/audit-manager/latest/userguide/images/evidence-finder-preview-console.png)
## Étapes suivantes
Après avoir examiné les résultats de recherche, vous pouvez générer un rapport d'évaluation à partir de ceux-ci ou les exporter sous forme de fichier CSV. Pour obtenir des instructions, veuillez consulter [Exporter les résultats de votre recherche depuis Evidence Finder](exporting-search-results-from-evidence-finder.md).
## Ressources supplémentaires
+ [Options de filtrage et de regroupement pour l'outil de recherche de preuves](evidence-finder-filters-and-groups.md)
+ [Exemples de cas d'utilisation de l'outil de recherche de preuves](example-use-cases-for-evidence-finder.md)
+ [Résolution des problèmes liés à l’outil de recherche d’éléments probants](evidence-finder-issues.md)
# Exporter les résultats de votre recherche depuis Evidence Finder
Après avoir examiné les résultats de votre recherche, vous pouvez générer un rapport d'évaluation basé sur ces résultats. Vous pouvez également exporter les résultats de votre recherche de preuves dans un fichier CSV.
## Conditions préalables
La procédure suivante suppose que vous avez déjà suivi les étapes pour [effectuer une recherche](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html) et [passer en revue les résultats de votre recherche](https://docs.aws.amazon.com/audit-manager/latest/userguide/viewing-search-results-in-evidence-finder.html) dans Evidence Finder.
## Procédure
**Contents**
+ [Génération d'un rapport d'évaluation à partir des résultats de votre recherche](#generate-one-time-report-from-search-results)
+ [Exportation des résultats de recherche dans un fichier CSV](#export-search-results)
+ [Afficher vos résultats une fois exportés](#viewing-results-after-export)
### Génération d'un rapport d'évaluation à partir des résultats de votre recherche
Une fois que vous êtes satisfait des résultats de recherche, vous pouvez générer un rapport d'évaluation.
**Générer un rapport d’évaluation à partir des résultats de votre recherche**
1. En haut du tableau **Afficher les résultats**, sélectionnez **Générer un rapport d’évaluation**.
1. Entrez un nom et une description pour votre rapport d’évaluation, puis passez en revue ses détails.
1. Choisissez **Générer un rapport d’évaluation**.
Votre rapport d’évaluation est généré en l’espace de quelques minutes. Vous pouvez, pendant ce temps ; quitter l’outil de recherche d’éléments probants : une notification verte de réussite confirmera que le rapport est prêt. Vous pouvez ensuite accéder au centre de téléchargement d’Audit Manager et [télécharger votre rapport d’évaluation](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html#download-a-file).
**Note**
Audit Manager génère un rapport unique à partir des éléments probants des résultats de recherche uniquement. Ce rapport ne comprend aucun élément probant [ajouté manuellement à un rapport sur la page d’évaluation](https://docs.aws.amazon.com/audit-manager/latest/userguide/generate-assessment-report-include-evidence.html).
Des limites s’appliquent au nombre d’éléments probants pouvant être inclus dans un rapport d’évaluation. Pour de plus amples informations, veuillez consulter [Résolution des problèmes liés à l’outil de recherche d’éléments probants](evidence-finder-issues.md).
### Exportation des résultats de recherche dans un fichier CSV
Vous pourrez avoir besoin d’une version portable des résultats de votre recherche. Dans ce cas, vous pouvez exporter les résultats de votre recherche dans un fichier CSV.
Une fois les résultats de votre recherche exportés, le fichier CSV sera disponible dans le centre de téléchargement d’Audit Manager pendant sept jours. Une copie de ce fichier CSV sera également envoyée vers votre compartiment S3 préféré, la *destination d’exportation*. Votre fichier CSV restera disponible dans ce compartiment jusqu’à ce que vous le supprimiez.
Audit Manager utilise la fonctionnalité [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) pour exporter et diffuser des fichiers CSV depuis Evidence Finder. Les facteurs suivants définissent le fonctionnement du processus d’exportation au format CSV :
+ Tous les résultats de votre recherche sont inclus dans le fichier CSV. Si vous souhaitez uniquement inclure des résultats de recherche spécifiques, nous vous recommandons de [modifier vos filtres de recherche](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#editing-a-search). Ainsi, vous pouvez affiner vos résultats pour cibler uniquement les éléments probants que vous souhaitez exporter.
+ Les fichiers CSV sont exportés au format GZIP compressé. Le nom du fichier CSV par défaut est `queryID/result.csv.gz`, `queryID` étant l’ID de votre requête de recherche.
+ La taille maximale d’un fichier CSV d’exportation est de 1 To. Si vous exportez plus de 1 To de données, vos résultats seront répartis dans plusieurs fichiers. Chaque fichier CSV est nommé `result_number.csv.gz`. Le nombre de fichiers CSV obtenu dépend de la taille totale des résultats de la recherche. Par exemple, l’exportation de 2 To de données vous fournit deux fichiers de résultats de requête : `result_1.csv.gz` et`result_2.csv.gz`.
+ Outre le fichier CSV, un fichier de signature JSON est envoyé à votre compartiment S3. Ce fichier agit comme une somme de contrôle pour vérifier l’exactitude des informations contenues dans le fichier CSV. Pour en savoir plus, consultez la [structure des fichiers de CloudTrail signature](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-results-file-validation-sign-file-structure.html) dans le *Guide du AWS CloudTrail développeur*. Pour déterminer si les résultats de la requête ont été modifiés, supprimés ou inchangés après leur livraison, vous pouvez utiliser la validation de l'intégrité des résultats de la CloudTrail requête. Pour des instructions détaillées, consultez la section [Valider les résultats des requêtes enregistrées](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-query-results-validation-intro.html) du *Guide du développeur AWS CloudTrail *.
**Note**
Les réponses textuelles des éléments probants manuels ne sont actuellement pas comprises dans les aperçus de l’outil de recherche d’éléments probants, ni dans les exportations CSV. Pour voir les données de réponse textuelle, choisissez le nom d’élément probant manuel dans les résultats de votre outil de recherche d’éléments probants pour ouvrir leur page détaillée. Si vous devez consulter les données des réponses textuelles en dehors de la console Audit Manager, nous vous recommandons de générer un rapport d’évaluation à partir des résultats de votre recherche d’éléments probants. Tous les détails relatifs aux éléments probants manuels, y compris les réponses textuelles, sont inclus dans les rapports d’évaluation.
#### Exporter vos résultats pour la première fois
Pour exporter les résultats de votre recherche pour la première fois, procédez comme suit. Cette procédure vous permet de définir une destination d’exportation par défaut pour toutes vos futures exportations. Si vous ne souhaitez pas enregistrer de destination d’exportation par défaut pour le moment, vous pouvez le faire ultérieurement en [mettant à jour vos paramètres de destination d’exportation](https://docs.aws.amazon.com/audit-manager/latest/userguide/settings-export-destination.html).
**Important**
Avant de commencer, assurez-vous que vous disposez d’un compartiment S3 comme destination d’exportation. Vous pouvez utiliser l’un de vos compartiments S3 existants ou [créer un nouveau compartiment dans Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html). Pour une sécurité et des performances optimales, nous vous recommandons d'utiliser un compartiment S3 dans le même AWS compte et dans la même région que ceux de votre évaluation. En outre, votre compartiment S3 doit disposer de la politique d'autorisation requise pour CloudTrail permettre d'y écrire les fichiers d'exportation. Plus précisément, la politique de compartiment doit inclure une `s3:PutObject` action et l'ARN du compartiment, et la liste CloudTrail en tant que principal de service. Nous fournissons un [exemple de politique d’autorisation](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_resource-based-policy-examples.html) que vous pouvez utiliser. Pour savoir comment joindre cette politique à votre compartiment S3, consultez [Ajout d’une stratégie de compartiment à l’aide de la console Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html).
Pour plus de conseils, consultez[Conseils de configuration pour votre destination d’exportation](settings-export-destination.md#settings-export-destination-tips). Si vous rencontrez des problèmes lors de l'exportation d'un fichier CSV, consultez[](evidence-finder-issues.md#csv-exports).
**Pour exporter les résultats de votre recherche (première fois)**
1. En haut du tableau **Afficher les résultats**, sélectionnez **Exporter au format CSV**.
1. Précisez le compartiment S3 vers lequel vous souhaitez exporter vos fichiers.
+ Choisissez **Parcourir S3** pour sélectionner un compartiment dans la liste.
+ Vous pouvez également saisir l’URI du compartiment au format suivant : **s3://bucketname/prefix**
**Astuce**
Pour que votre compartiment de destination reste organisé, vous pouvez créer un dossier facultatif pour vos exportations CSV. Pour ce faire, ajoutez une barre oblique (**/**) et un préfixe à la valeur dans la zone **URI de ressource** (par exemple, **/evidenceFinderExports**). Audit Manager ajoutera alors ce préfixe lors de l’envoi du fichier CSV au compartiment et Amazon S3 génèrera le chemin spécifié par le préfixe. Pour plus d’informations sur les préfixes dans Amazon S3, veuillez consulter [Organisation des objets dans la console Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html) dans le Guide de l’utilisateur *Amazon Simple Storage Service*.
1. (Facultatif) Si vous ne souhaitez pas enregistrer ce compartiment comme destination d’exportation par défaut, décochez la case **Enregistrer ce compartiment comme destination d’exportation par défaut dans les paramètres de mon outil de recherche d’éléments probants**.
1. Cliquez sur **Exporter**.
#### Exporter vos résultats après avoir enregistré une destination d’exportation
Une fois votre compartiment S3 enregistré comme destination d’exportation par défaut, vous pouvez procéder comme suit.
**Pour exporter les résultats de votre recherche (après avoir enregistré une destination d’exportation par défaut)**
1. En haut du tableau **Afficher les résultats**, sélectionnez **Exporter au format CSV**.
1. Dans l’invite qui s’affiche, vérifiez le compartiment S3 par défaut dans lequel votre fichier exporté sera enregistré.
1. (Facultatif) Pour continuer à utiliser ce compartiment et masquer ce message à l’avenir, cochez la case **Ne plus me le rappeler**.
1. (Facultatif) Pour changer de compartiment, suivez la procédure de [mise à jour de vos paramètres de destination d’exportation](https://docs.aws.amazon.com/audit-manager/latest/userguide/settings-export-destination.html).
1. Choisissez **Confirmer**.
En fonction de la quantité de données que vous exportez, le processus d’exportation peut prendre quelques minutes. N’hésitez pas à quitter l’outil de recherche d’éléments probants pendant que l’exportation est en cours d’exécution. Si vous quittez l’outil de recherche d’éléments probants, votre recherche sera interrompue et les résultats de recherche seront ignorés dans la console. Toutefois, le processus d’exportation CSV se poursuit en arrière-plan. Le fichier CSV contiendra l’ensemble complet des résultats de recherche correspondant à votre requête.
#### Afficher vos résultats une fois exportés
Pour trouver votre fichier CSV et vérifier son statut, rendez-vous dans l'Audit Manager[Centre de téléchargement d’Audit Manager](download-center.md). Lorsque le fichier exporté est prêt, vous pouvez [télécharger votre fichier CSV](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html#download-a-file) depuis le centre de téléchargement.
Vous pouvez également rechercher et télécharger le fichier CSV depuis votre compartiment S3 de destination d’exportation.
**Pour rechercher votre fichier CSV et votre fichier de signature dans la console Amazon S3**
1. Ouvrez la [console Amazon S3](https://console.aws.amazon.com/s3/).
1. Choisissez le compartiment de destination d’exportation que vous avez indiqué lors de l’exportation de votre fichier CSV.
1. Parcourez la hiérarchie des objets jusqu’à ce que vous trouviez le fichier CSV et le fichier de signature. Le fichier CSV a une extension `.csv.gz` et le fichier de signature une extension `.json`.
Vous allez parcourir une hiérarchie d’objets similaire à l’exemple suivant, mais avec un nom de compartiment de destination d’exportation, un ID de compte, une date et un ID de requête différents.
```
All Buckets
Export_Destination_Bucket_Name
AWSLogs
Account_ID;
CloudTrail-Lake
Query
YYYY
MM
DD
Query_ID
```
## Ressources supplémentaires
+ [Résolution des problèmes liés à l’outil de recherche d’éléments probants](evidence-finder-issues.md)
+ [Configuration de votre destination d'exportation par défaut pour Evidence Finder](settings-export-destination.md)
# Options de filtrage et de regroupement pour l'outil de recherche de preuves
Sur cette page, vous pouvez voir une liste des options de filtre et de regroupement que vous pouvez utiliser dans Evidence Finder.
## Référence du filtre
Vous pouvez utiliser les filtres suivants pour trouver des preuves correspondant à des critères spécifiques, tels qu'une évaluation, un contrôle ou Service AWS.
**Rubriques**
+ [Filtres requis](#required-filters)
+ [Filtres supplémentaires (en option)](#additional-filters)
+ [Filtres multiples](#combining-filters)
### Filtres requis
Ces filtres vous donneront un aperçu général des éléments probants d’une évaluation pour commencer.
| Nom du filtre | Description | Remarques |
| --- | --- | --- |
| **Évaluation** | Renvoie des éléments probants pour une évaluation spécifique. | Vous pouvez filtrer en fonction d’une seule évaluation. |
| **Plage de dates** | Renvoie des éléments probants pour une période donnée. | Vous pouvez utiliser soit une *plage relative*, pour définir une plage de date du jour (par exemple, **Last 30 days**). soit une *plage absolue* pour spécifier une plage de dates spécifique (par exemple, **June 27th – July 4th**). |
| Conformité des ressources | Renvoie les ressources avec une évaluation de vérification de conformité spécifique. | Audit Manager collecte des [preuves de conformité](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#evidence) pour les contrôles qui utilisent AWS Config Security Hub CSPM comme type de source de données. Plusieurs ressources peuvent être évaluées pour la collecte d’éléments probants. Par conséquent, un même élément probant pour la vérification de conformité peut comprendre une ou plusieurs ressources. Vous pouvez utiliser ce filtre pour explorer l’état de conformité par ressources. Vous pouvez choisir l’une ou plusieurs options parmi les options suivantes : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/audit-manager/latest/userguide/evidence-finder-filters-and-groups.html) |
### Filtres supplémentaires (en option)
Utilisez ces filtres pour affiner la portée de votre requête de recherche. Par exemple, utilisez **Service** pour voir tous les éléments probants liés à Amazon S3. Utilisez **Type de ressource** pour vous limiter aux compartiments S3. Vous pouvez également utiliser **Ressource ARN** pour cibler un compartiment S3 spécifique.
Vous pouvez créer des filtres supplémentaires en utilisant un ou plusieurs des critères suivants.
| Nom du critère | Description | Quand utiliser ce critère |
| --- | --- | --- |
| ID de compte | Profilez vers le bas par Compte AWS. | Utilisez ce critère pour trouver des éléments probants liés à un Compte AWS spécifique. |
| Contrôle | Explorer par nom de contrôle. | Utilisez ce critère pour trouver des éléments probants liés à un contrôle spécifique. |
| Domaine de contrôle | Explorer par domaine de contrôle. | Utilisez ce critère pour vous limiter à un domaine spécifique pour la préparation d’un audit. Vous pouvez filtrer par domaine de contrôle si vous interrogez une évaluation créée à partir d’un framework standard. Parmi les domaines de contrôle figurent la sécurité du réseau, la gestion des identités et des accès, ainsi que la protection des données. Certains domaines de contrôle peuvent être marqués comme **obsolètes** suite à la transition d'Audit Manager vers un nouvel ensemble de domaines de contrôle fourni par AWS Control Catalog. Pour de plus amples informations, veuillez consulter [Je constate qu'un domaine de contrôle est marqué comme « obsolète ». Qu’est-ce que cela signifie ?](evidence-finder-issues.md#outdated-control-domains). |
| Data source type (Type de source de données) | Explorer par type de source de données. | Utilisez ce critère pour vous limiter à une source de données spécifique. Définissez la valeur sur `Manual` pour rechercher les éléments probants envoyés manuellement. Sinon, vous pouvez filtrer les éléments probants automatisés en fonction de leur provenance (par exemple `AWS Config`, `CloudTrail`, `Security Hub CSPM`, ou`AWS API calls`). |
| Nom de l’événement | Explorer par nom d’événement. | Utilisez ce critère pour vous limiter à un événement spécifique auquel les éléments probants sont liés. Un événement est l’enregistrement d’une activité dans un Compte AWS. Par exemple, vous pouvez rechercher le nom d’un appel d’API, comme l’opération IAM `AttachRolePolicy` utilisée pour configurer les autorisations. Vous pouvez également rechercher un CloudTrail mot clé, tel que l'`ConsoleLogin`événement enregistré CloudTrail lorsqu'un utilisateur se connecte à votre compte. |
| ARN des ressources | Explorer par Amazon Resource Name (ARN). | Utilisez ce critère pour trouver des éléments probants liés à une ressource AWS spécifique. |
| Type de ressource | Explorer par type de ressource. | Utilisez ce critère pour vous limiter au type de ressource évalué, comme une instance Amazon EC2 ou un compartiment S3. |
| Service | Effectuez une recherche par Service AWS nom. | Utilisez ces critères pour trouver des preuves liées à un élément spécifique Service AWS, tel qu'Amazon EC2, Amazon S3 ou. AWS Config |
| Catégorie de services | Profilez par Service AWS catégorie. | Utilisez ces critères pour vous concentrer sur une catégorie spécifique de Service AWS. Par exemple la sécurité, l’identité et la conformité, les bases de données et le stockage. |
### Filtres multiples
#### Comportement des critères
Si vous spécifiez plusieurs critères, Audit Manager applique l’opérateur `AND` à vos sélections. Cela signifie que tous les critères sont regroupés dans une seule requête et que les résultats doivent correspondre à tous les critères conjugués.
**Exemple**
Dans la configuration de filtre suivante, l’outil de recherche d’éléments probants renvoie les ressources non conformes des 7 derniers jours pour l’évaluation dénommée **MySOC2Assessment**. En outre, les résultats concernent à la fois une politique IAM et le contrôle spécifié.
![\[Sélection de filtres appliqués, avec l’opérateur AND en surbrillance.\]](http://docs.aws.amazon.com/fr_fr/audit-manager/latest/userguide/images/evidence-finder-filter_description-console.png)
#### Comportement des valeurs de critère
Si vous spécifiez plusieurs valeurs de critère, ces valeurs sont liées par un opérateur `OR`. L’outil de recherche d’éléments probants renvoie des résultats correspondant à l’une de ces valeurs de critères.
**Exemple**
Dans la configuration de filtre suivante, Evidence Finder renvoie des résultats de recherche provenant soit de AWS CloudTrail AWS Config, soit AWS Security Hub CSPM.
![\[Exemple de configuration de filtre montrant plusieurs valeurs définies pour un seul critère.\]](http://docs.aws.amazon.com/fr_fr/audit-manager/latest/userguide/images/evidence-finder-filter_description-multiple_values-console.png)
## Référence de regroupement
Vous pouvez regrouper les résultats de recherche pour accélérer la navigation. Le regroupement vous montre l’étendue de vos résultats de recherche et leur répartition spécifique.
Vous pouvez utiliser le regroupement par les valeurs suivantes de votre choix.
| Regrouper par | Description |
| --- | --- |
| ID de compte | Regrouper les résultats par Compte AWS. |
| Contrôle | Regroupez les résultats par nom de contrôle. |
| Data source type (Type de source de données) | Regroupez les résultats par type de source de données d’où proviennent les éléments probants. |
| Nom de l’événement | Regroupez les résultats par nom d’événement. |
| ARN des ressources | Regroupez les résultats par Amazon Resource Name (ARN). |
| Type de ressource | Regroupez les résultats par type de ressource. |
| Service | Regroupez les résultats par Service AWS nom. |
| Catégorie de services | Regroupez les résultats par Service AWS catégorie. |
# Exemples de cas d'utilisation de l'outil de recherche de preuves
L’outil de recherche d’éléments probants peut vous aider dans plusieurs cas d’utilisation. Cette page fournit quelques exemples et suggère les filtres de recherche que vous pouvez utiliser dans chaque scénario.
**Topics**
+ [Cas d’utilisation 1 : trouver des éléments probants non conformes et organiser des délégations](#use-case-find-non-compliant-evidence)
+ [Cas d’utilisation 2 : Identification des éléments probants de conformité](#use-case-find-compliant-evidence)
+ [Cas d’utilisation 3 : aperçu rapide des ressources d’éléments probants](#use-case-evidence-preview)
## Cas d’utilisation 1 : trouver des éléments probants non conformes et organiser des délégations
Ce cas d’utilisation est idéal si vous êtes responsable de la conformité ou de la protection des données ou un professionnel GRC chargé de superviser la préparation des audits.
Pour la surveillance du niveau de conformité de votre organisation, vous pouvez compter sur vos équipes partenaires pour vous aider à résoudre les problèmes. L’outil de recherche d’éléments probants vous aide à organiser votre travail pour vos équipes partenaires.
En appliquant des filtres, vous pouvez vous limiter aux éléments probants d’un seul domaine à la fois. De plus, vous pouvez également rester en phase avec les responsabilités et le champ d’action de chaque équipe partenaire avec laquelle vous travaillez. En effectuant une recherche ciblée de cette manière, vous pouvez utiliser les résultats de recherche pour identifier exactement ce qui doit être corrigé dans chaque domaine. Vous pouvez ensuite déléguer ces éléments probants non conformes à l’équipe partenaire correspondante pour qu’elle y remédie.
Pour ce flux de travail, procédez à la [recherche d’éléments probants](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html). Utilisez les filtres suivants pour rechercher des éléments probants de non-conformité.
```
Assessment |
Date range |
Resource compliance | Non-compliant
```
Appliquez ensuite des filtres supplémentaires pour le domaine choisi. Par exemple, utilisez le filtre **Catégorie de service** pour rechercher les ressources non conformes liées à IAM. Partagez ensuite ces résultats avec l’équipe responsable des ressources IAM de votre organisation. Ou si vous interrogez une évaluation créée à partir d’un framework standard, vous pouvez utiliser le filtre **Domaine de contrôle** pour trouver des éléments probants de non-conformité liées au domaine de gestion des identités et des accès.
```
Control domain |
or
Service category |
```
Une fois que vous avez trouvé les preuves dont vous avez besoin, suivez les étapes pour générer un rapport d'évaluation à partir des résultats de votre recherche. Pour obtenir des instructions, veuillez consulter [Génération d'un rapport d'évaluation à partir des résultats de votre recherche](exporting-search-results-from-evidence-finder.md#generate-one-time-report-from-search-results). Vous pouvez partager ce rapport avec votre équipe partenaire, qui pourra l’utiliser comme liste de contrôle des mesures correctives.
## Cas d’utilisation 2 : Identification des éléments probants de conformité
Ce cas d'utilisation est idéal si vous travaillez dans SecOps un rôle informatique ou si vous DevOps occupez un autre poste qui possède et corrige les actifs du cloud.
Dans le cadre d’un audit, il peut vous être demandé de résoudre des problèmes liés aux ressources dont vous êtes responsable. Une fois de travail effectué, vous pouvez valider la conformité de vos ressources à l’aide de l’outil de recherche d’éléments probants.
Pour ce flux de travail, procédez à la [recherche d’éléments probants](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html). Utilisez les filtres suivants pour rechercher des éléments probants de conformité.
```
Assessment |
Date range |
Resource compliance | Compliant
```
Puis, appliquez des filtres supplémentaires pour n’afficher que les éléments probants dont vous êtes responsable. Selon l’étendue de votre responsabilité, faites en sorte que la recherche soit aussi ciblée que nécessaire. Les exemples de filtres suivants vont du plus large au plus précis. Choisissez les options qui vous conviennent et remplacez-les ** par vos propres valeurs.
```
Control domain |
Service category |
Service |
Resource type |
Resource ARN |
```
Si vous êtes responsable de plusieurs instances des mêmes critères (par exemple, vous en possédez plusieurs Services AWS), vous pouvez [regrouper vos résultats](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder-filters-and-groups.html#groups) en fonction de cette valeur. Cela vous fournit le total des éléments probants concordants pour chaque Service AWS. Vous pouvez ensuite obtenir les résultats pour les services dont vous êtes responsable.
## Cas d’utilisation 3 : aperçu rapide des ressources d’éléments probants
Ce cas d’utilisation est idéal pour tous les clients d’Audit Manager.
Auparavant, l’examen détaillé des éléments probants individuels prenait beaucoup de temps. Si vous vouliez avoir un aperçu des éléments probants, vous deviez accéder directement à cette évaluation, puis parcourir des dossiers d’éléments probants profondément enfouis et difficiles à trouver. Désormais, l’outil de recherche d’éléments probants est un moyen pratique de prévisualiser ces informations. Pour chaque élément probant correspondant à votre requête de recherche, vous pouvez prévisualiser les ressources individuelles correspondantes.
Pour commencer, lancez une [recherche d’éléments probants](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html). Activez ensuite la case d’option en regard d’un résultat pour afficher le récapitulatif des ressources dans la page actuelle. Vous pouvez prévisualiser chaque ressource individuelle associée à un élément probant. Pour voir le détail complet des éléments probants de la ressource de votre choix, cliquez sur le nom de cet élément probant. Pour de plus amples informations, veuillez consulter [Afficher un aperçu des résumés des ressources](viewing-search-results-in-evidence-finder.md#preview-evidence).
![\[Exemple de résultat de recherche et résumé des ressources affiché à l’écran pour ce résultat.\]](http://docs.aws.amazon.com/fr_fr/audit-manager/latest/userguide/images/evidence-finder-preview-console.png)