翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 証拠ファインダー
証拠ファインダーは、Audit Manager で証拠を検索するための強力な手段です。検索する際に、深くネストされた証拠フォルダを閲覧する代わりに、証拠ファインダーを使用して証拠をすばやく検索できるようになりました。委任された管理者として Evidence Manager を使用している場合は、組織内のすべてのメンバーアカウントで証拠を検索できます。
フィルターとグルーピングを組み合わせて使用することで、検索クエリの範囲を徐々に絞り込むことができます。例えば、システムの状態を大まかに把握したい場合は、広範囲にわたる検索を行い、評価、日付範囲、およびリソースコンプライアンスに基づいてフィルタリングします。特定のリソースを修復することが目的であれば、特定の統制 ID またはリソース ID の証拠を絞り込んで絞り込むことができます。フィルターを定義したら、評価レポートを作成する前に、一致する検索結果をグループ化してプレビューできます。
証拠ファインダーを使用するには、Audit Manager の設定からこの機能を有効にする必要があります。
## 重要ポイント
### 証拠ファインダーが CloudTrail Lake でどのように機能するかを理解する
証拠ファインダーは [AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) のクエリ機能とストレージ機能を使用します。証拠ファインダーを使い始める前に、CloudTrail Lake の仕組みについてもう少し理解しておくと役に立ちます。
CloudTrail Lake は、強力な SQL クエリをサポートする単一の検索可能なイベントデータストアにデータを集約します。つまり、組織全体のデータをカスタムの時間範囲内で検索できるということです。証拠ファインダーを使用すると、この検索機能をAudit Manager コンソールで直接使用できます。
証拠ファインダーの有効化をリクエストすると、Audit Manager がユーザーに代わってイベントデータストアを作成します。証拠ファインダーを有効にすると、今後の Audit Manager の証拠はすべてイベントデータストアに取り込まれ、証拠ファインダーの検索クエリに使用できるようになります。証拠ファインダーを有効にすると、新しく作成されたイベントデータストアに、過去 2 年分の証拠データがバックフィルされます。委任管理者として証拠ファインダーを有効にすると、組織内のすべてのメンバーアカウントのデータがバックフィルされます。
バックフィルされたものか新しいものかを問わず、すべての証拠データはイベントデータストアに 2 年間保持されます。デフォルトの保持期間は、いつでも変更できます。手順については、「AWS CloudTrail ユーザーガイド」の「[イベントデータストアの更新](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-lake-cli.html#lake-cli-update-eds.)」を参照してください。イベントデータは、イベントデータストアに最大 7 年間 (2,555 日) 保持できます。
**注記**
新しい証拠データがイベントデータストアに追加されると、データストレージと取り込みに CloudTrail Lake の料金が発生します。
CloudTrail Lake のクエリについては、従量制料金でお支払いいただきます。これは、証拠ファインダーで検索クエリを実行するたびに、スキャンされたデータに対して料金が請求されることを意味します。
CloudTrail Lake の料金に関する詳細については、[AWS CloudTrail 料金設定](https://aws.amazon.com/cloudtrail/pricing/)を参照してください。
## 次の手順
開始するには、Audit Manager 設定で証拠ファインダーを有効化します。手順については、「[証拠ファインダーの有効化](evidence-finder-settings-enable.md)」を参照してください。
## その他のリソース
+ [証拠ファインダーで証拠を検索する](search-for-evidence-in-evidence-finder.md)
+ [証拠ファインダーでの結果の表示](viewing-search-results-in-evidence-finder.md)
+ [証拠ファインダーのフィルタリングとグループ化のオプション](evidence-finder-filters-and-groups.md)
+ [証拠ファインダーのユースケースの例](example-use-cases-for-evidence-finder.md)
+ [証拠ファインダーの問題のトラブルシューティング](evidence-finder-issues.md)
# 証拠ファインダーで証拠を検索する
証拠ファインダーを使用して、ターゲットを絞った検索を実行し、関連する証拠をすばやく見つけて確認することができます。
このページでは、評価、日付範囲、リソースコンプライアンスステータス、その他の属性などの基準で検索をフィルタリングする方法について説明します。これらのフィルターを適用すると、必要な証拠のみに検索範囲が絞り込まれます。特定のフィールドで結果をグループ化して、パターンをより適切に分析することもできます。
## 前提条件
Audit Manager 設定で証拠ファインダーを有効化する手順を完了していることを確認します。手順については、「[証拠ファインダーの有効化](evidence-finder-settings-enable.md)」を参照してください。
さらに、証拠ファインダーで検索クエリを実行するアクセス許可があることを確認します。使用できるアクセス許可ポリシーの例については、「[ユーザーが証拠ファインダーで検索クエリを実行できるようにします](security_iam_id-based-policy-examples.md#evidence-finder-query-access)」を参照してください。
## 手順
Audit Manager コンソールで証拠を検索するには、次の手順に従います。
1. [検索クエリの実行](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#performing-a-search)
1. [進行中の検索クエリを停止する (オプション)](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#stopping-a-search)
1. [検索クエリのフィルターを編集する (オプション)](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#editing-a-search)
**注記**
CloudTrail API を使用して、証拠データにクエリを実行することもできます。詳細については、「AWS CloudTrail API リファレンス」の「[StartQuery](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_StartQuery.html)」を参照してください。を使用する場合は AWS CLI、「 *AWS CloudTrail ユーザーガイド*[」の「クエリを開始する](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-lake-cli.html#lake-cli-start-query)」を参照してください。
### 検索クエリの実行
証拠ファインダーで検索クエリを実行するには、次の手順に従います。
**証拠を検索するには**
1. AWS Audit Manager コンソール [(https://console.aws.amazon.com/auditmanager/home)](https://console.aws.amazon.com/auditmanager/home) を開きます。
1. ナビゲーションペインで、**[証拠ファインダー]** を選択します。
1. 次に、フィルターを適用して検索範囲を絞り込みます。
1. **評価**では、評価を選択します。
1. **日付範囲**では、範囲を選択します。
1. **リソースコンプライアンス**では、評価ステータスを選択します。
![\[証拠ファインダー内の必要な評価、日付範囲、およびリソースのコンプライアンスフィルター。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/evidence-finder-required_filters-console.png)
1. (オプション) 検索をさらに絞り込むには、**その他のフィルター - オプション**を選択します。
1. **基準を追加**を選択し、基準を選択してから、その基準の 1 つまたは複数の値を選択します。
1. 同じ方法で、さらに多くのフィルターの作成を続けます。
1. 不要なフィルターを削除するには、**削除**を選択します。
![\[証拠ファインダーの特定のコントロール用の追加フィルター。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/evidence-finder-additional_filters-console.png)
1. **グループ化**で、検索結果をグループ化するかどうかを指定します。
1. 結果をグループ化する場合は、結果をグループ化するための値を選択します。
1. 結果をグループ化したくない場合は、ステップ 6 に進みます。
![\[結果をグループ化オプションを選択し、値でグループ化を選択します。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/evidence-finder-grouping-console.png)
1. **[検索]** を選択してください。
![\[証拠ファインダーで検索クエリを開始するための検索ボタン。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/evidence-finder-search-console.png)
所有する証拠データの量によっては、検索に数分かかる場合があります。検索中は、証拠ファインダーから自由に離れることができます。検索結果の準備が整うと、フラッシュバーが通知します。
### 検索クエリの停止
何らかの理由で検索クエリを停止する場合は、以下の手順に従います。
**注記**
検索クエリを停止しても、料金が発生する可能性があります。検索クエリを停止する前にスキャンされた証拠データの量に対して料金が発生します。停止すると、返された部分的な結果を確認できます。
**進行中の検索クエリを停止するには**
1. 画面上部にある青い進行状況フラッシュバーで、**検索を停止**を選択します。
![\[検索クエリが進行中であることを示す青いフラッシュバー。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/in_progress_search-evidence-finder-console.png)
1. (オプション) 検索クエリを停止する前に返された部分的な結果を確認します。
1. 証拠ファインダーページを開いている場合は、結果の一部が画面に表示されます。
1. 証拠ファインダーから離れた場合は、緑色の確認フラッシュバーで**部分的な結果を表示**を選択します。
![\[検索が停止されたことを示す緑色のフラッシュバー。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/stopped_search-evidence-finder-console.png)
### 検索フィルターの編集
以下の手順に従って、最新の検索クエリに戻り、必要に応じてフィルターを調整します。
**注記**
フィルターを編集して**検索**を選択すると、新しい検索クエリが開始されます。
**最近の検索クエリを編集するには**
1. **結果を表示**ページのパンくずリストナビゲーションメニューから**証拠ファインダー**を選択します。
![\[コンソールのパンくずリストナビゲーションメニューでは、証拠ファインダーが強調表示されています。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/breadcrumb_menu-evidence-finder-console.png)
1. **フィルターとグループ化**を選択してフィルターの選択肢を広げます。
![\[証拠ファインダーの拡張可能なフィルターとグループ化セクション。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/expand_filters-evidence-finder-console.png)
1. 次に、フィルターを編集するか、新しい検索を開始します。
1. フィルターを編集するには、現在のフィルターとグループ選択を調整または削除します。
1. 最初からやり直すには、**フィルターを解除**を選択し、選択したフィルターとグループ化の選択を適用します。
![\[「フィルターを解除」ボタンで、新しい検索クエリで最初からやり直すことができます。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/evidence-finder-clear_filters-console.png)
1. 終了したら、**検索**を選択します。
![\[証拠ファインダーで新しい検索クエリを開始するための検索ボタン。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/evidence-finder-search-console.png)
## 次の手順
検索が終了すると、検索基準に一致した結果を表示できます。手順については、「[証拠ファインダーでの結果の表示](viewing-search-results-in-evidence-finder.md)」を参照してください。
## その他のリソース
+ [証拠ファインダーのフィルタリングとグループ化のオプション](evidence-finder-filters-and-groups.md)
+ [証拠ファインダーのユースケースの例](example-use-cases-for-evidence-finder.md)
+ [証拠ファインダーの問題のトラブルシューティング](evidence-finder-issues.md)
# 証拠ファインダーでの結果の表示
検索が終了すると、検索基準に一致した結果を表示できます。
証拠収集中に複数のリソースが評価される場合がありますので、ご注意ください。その結果、証拠には、関連するリソースが 1 つ以上含まれることがあります。証拠ファインダーでは、結果はリソースレベルで表示され、リソースごとに 1 行ずつ表示されます。ページを離れることなく、各リソースの概要をプレビューできます。
検索結果を確認したら、その証拠を含む評価レポートを生成できます。検索結果をカンマ区切り値 (CSV) ファイルにエクスポートすることもできます。
**重要**
検索結果の調査が終了するまで、証拠ファインダーを開いたままにしておくことをお勧めします。**結果表示**表から移動すると、検索結果は破棄されます。必要に応じて、[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) の CloudTrail コンソールで[最近の結果を確認](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-results.html)できます。ここでは、検索クエリの結果が 7 日間保存されます。ただし、CloudTrail コンソールの検索結果から評価レポートを生成することはできませんので、ご注意ください。
## 前提条件
次の手順は、証拠ファインダーで[検索を実行する](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html)ための手順が実行済みであることを前提としています。
## 手順
証拠ファインダーで検索結果を表示するには、次の手順に従います。
**タスク**
+ [ステップ 1. グループ化された結果の表示](#review-grouped-results)
+ [ステップ 2. 検索結果の表示](#review-search-results)
+ [表示設定の管理](#manage-preferences)
+ [リソースの概要のプレビュー](#preview-evidence)
### ステップ 1. グループ化された結果の表示
結果をグループ化した場合は、証拠を詳しく調べる前にそのグループを確認できます。
**注記**
結果をグループ化しなかった場合、証拠ファインダーには**結果によるグループ化**表が表示されません。代わりに、**結果表示**表に直接移動します。
**結果によるグループ化**表を使用すると、一致する証拠の範囲と、それが特定のディメンションにどのように分布しているかを確認できます。結果は選択した値によってグループ化されます。たとえば、**リソースタイプ**でグループ化した場合、テーブルには AWS リソースタイプのリストが表示されます。**証拠の合計**列には、リソースタイプごとに一致する結果の数が表示されます。
![\[証拠ファインダーの結果によるグループ化の表。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/evidence-finder-group_by_table-console.png)
**グループの結果を取得するには**
1. **結果によるグループ化** の表から、取得したい結果の行を選択します。
1. **結果を取得**を選択します。新しい検索クエリが開始され、**結果表示**表にリダイレクトされ、そのグループの結果を確認できます。
### ステップ 2. 検索結果の表示
**結果表示**表には検索結果が表示されます。ここから、表示設定を管理し、リソースの概要をプレビューできます。
#### 表示設定の管理
表示設定によって、結果ページに表示される内容がコントロールされます。
**表示設定を管理するには**
1. **結果表示**表の上部にある設定アイコン (⚙) を選択します。
1. 必要に応じて、以下の設定を確認して変更します。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/viewing-search-results-in-evidence-finder.html)
1. 設定を保存するには**確認**を選択します。
#### リソースの概要のプレビュー
関連リソースをプレビューして、検索クエリに一致した証拠を探すことができます。これにより、検索クエリが意図した結果を返したのか、フィルターを調整して検索クエリを再実行する必要があるのかを判断できます。
証拠には、関連するリソースが 1 つ以上含まれている可能性がありますので、ご注意ください。証拠ファインダーは、リソースレベル (リソースごとに 1 行) で結果を表示します。
**注記**
証拠ファインダーは、自動証拠と手動証拠の結果を返します。ただし、自動証拠をプレビューできるのは、自動証拠の詳細のみです。これは、Audit Manager が手動証拠のリソース評価を実行しないためです。その結果、リソースの概要は利用できません。
手動証拠に関する詳細を表示するには、証拠名を選択して証拠詳細ページを開きます。証拠ファインダーの結果から評価レポートを生成すると、手動証拠の詳細が評価レポートに含まれます。
**リソースの概要をプレビューするには**
1. 結果の横にあるラジオボタンを選択します。現在のページにリソース概要パネルが開きます。
1. (オプション) 関連する証拠の詳細を確認するには、証拠名を選択します。
1. (オプション) 水平線 (**=**) を使用して、リソースサマリーペインをドラッグしてサイズを変更します。
1. (**x**) を選択してリソースサマリーペインを閉じます。
![\[証拠ファインダーの結果表示ページにあるリソース概要の例。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/evidence-finder-preview-console.png)
## 次の手順
検索結果の確認後、評価レポートを生成したり、CSV ファイルとしてエクスポートしたりすることができます。手順については、「[証拠ファインダーからの検索結果のエクスポート](exporting-search-results-from-evidence-finder.md)」を参照してください。
## その他のリソース
+ [証拠ファインダーのフィルタリングとグループ化のオプション](evidence-finder-filters-and-groups.md)
+ [証拠ファインダーのユースケースの例](example-use-cases-for-evidence-finder.md)
+ [証拠ファインダーの問題のトラブルシューティング](evidence-finder-issues.md)
# 証拠ファインダーからの検索結果のエクスポート
検索結果を確認したら、その結果に基づいて評価レポートを生成できます。また、証拠ファインダーの検索結果を CSV 形式でエクスポートすることもできます。
## 前提条件
次の手順は、[検索を実行し](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html)、証拠ファインダーで[検索結果を確認する](https://docs.aws.amazon.com/audit-manager/latest/userguide/viewing-search-results-in-evidence-finder.html)手順を実行済みであることを前提としています。
## 手順
**Contents**
+ [検索結果からの評価レポートの生成](#generate-one-time-report-from-search-results)
+ [検索結果の CSV ファイルへのエクスポート](#export-search-results)
+ [結果をエクスポートした後の表示](#viewing-results-after-export)
### 検索結果からの評価レポートの生成
検索結果に問題がなければ、評価レポートを生成します。
**検索結果から評価レポートを生成するには**
1. **結果表示**表の上部にある**評価レポートを生成**を選択します。
1. 評価レポートの名前と説明を入力し、評価レポートの詳細を確認します。
1. **[Generate assessment report]** (評価レポートを生成) を選択します。
評価レポートが生成されるまでには数分かかります。この間、証拠ファインダーから離れることができます。レポートの準備が整うと、緑色の完了通知が表示されます。その後、Audit Manager ダウンロードセンターにアクセスして、[評価レポートをダウンロード](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html#download-a-file)できます。
**注記**
Audit Manager は、検索結果の証拠のみを使用して 1 回限りのレポートを生成します。このレポートには、手動で[評価ページからレポートに追加された証拠](https://docs.aws.amazon.com/audit-manager/latest/userguide/generate-assessment-report-include-evidence.html)は含まれていません。
評価レポートに含めることができる証拠の量には制限があります。詳細については、「[証拠ファインダーの問題のトラブルシューティング](evidence-finder-issues.md)」を参照してください。
### 検索結果の CSV ファイルへのエクスポート
証拠ファインダーの検索結果のポータブルバージョンが必要になる場合があります。その場合は、検索結果を CSV ファイルにエクスポートできます。
検索結果をエクスポートすると、CSV ファイルは Audit Manager ダウンロードセンターで 7 日間使用できます。CSV ファイルのコピーは、エクスポート先と呼ばれるご希望の S3 バケットにも配信されます。CSV ファイルは、削除するまでこのバケットに残ります。
Audit Manager は [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) 機能を使用して、証拠ファインダーから CSV ファイルをエクスポートして配信します。CSV エクスポートプロセスの仕組みは、以下の要素によって定義されます。
+ 検索結果はすべて CSV ファイルに含まれます。特定の検索結果のみを含める場合は、[検索フィルターを編集する](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#editing-a-search)ことをお勧めします。これにより、エクスポートしたい証拠だけをターゲットにするように結果を絞り込むことができます。
+ CSV ファイルは圧縮された GZIP 形式でエクスポートされます。デフォルトの CSV ファイル名は`queryID/result.csv.gz`です。`queryID`は検索クエリの ID です。
+ CSV エクスポートの最大ファイルサイズは 1 TB です。1 TB を超えるデータをエクスポートする場合、結果は複数のファイルに分割されます。各 CSV ファイルには`result_number.csv.gz`という名前が付けられます。取得できる CSV ファイルの数は、検索結果の合計サイズによって異なります。例えば、2 TB のデータをエクスポートすると、`result_1.csv.gz`と`result_2.csv.gz`の 2 つのクエリ結果のファイルが作成されます。
+ CSV ファイルに加えて、JSON 署名ファイルが S3 バケットに配信されます。このファイルは、CSV ファイル内の情報が正確であることを確認するためのチェックサムとして機能します。詳細については、「AWS CloudTrail 開発者ガイド」の「[CloudTrail サインファイル構造](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-results-file-validation-sign-file-structure.html)」を参照してください。CloudTrail がクエリ結果を配信した後、クエリ結果が変更、削除、または変更されなかったかどうかを判断するには、CloudTrail クエリ結果の整合性の検証を使用することができます。手順については、「AWS CloudTrail 開発者ガイド」の「[保存したクエリ結果の検証](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-query-results-validation-intro.html)」を参照してください。
**注記**
現在、証拠ファインダーのプレビューや CSV エクスポートには、手動証拠のテキストレスポンスは含まれていません。テキストレスポンスデータを表示するには、証拠ファインダーの結果から手動証拠名を選択し、証拠詳細ページを開きます。Audit Manager コンソールの外部でテキストレスポンスデータを表示する必要がある場合は、証拠ファインダーの結果から評価レポートを生成することをお勧めします。テキストレスポンスを含め、手動証拠の詳細はすべて評価レポートに含まれます。
#### 結果を初めてエクスポートする場合
検索結果を初めてエクスポートするには、以下の手順に従います。この手順では、今後のすべてのエクスポートに対してデフォルトのエクスポート先を指定するオプションを提供します。デフォルトのエクスポート先を今すぐ保存したくない場合は、[エクスポート先の設定を更新する](https://docs.aws.amazon.com/audit-manager/latest/userguide/settings-export-destination.html)ことで後で保存できます。
**重要**
開始する前に、エクスポート先として使用できる S3 バケットがあることを確認します。既存の S3 バケットを使用するか、[Amazon S3 で新しいバケットを作成する](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)ことができます。セキュリティとパフォーマンスを最適化するには、評価と同じ AWS アカウントとリージョンの S3 バケットを使用することをお勧めします。さらに、S3 バケットには、CloudTrail がエクスポートファイルを書き込むために必要なアクセス権限ポリシーが必要です。具体的には、バケットポリシーには `s3:PutObject` アクションとバケット ARN が含まれ、サービスプリンシパルとして CloudTrail をリストする必要があります。使用できる[アクセス権限ポリシーの例](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_resource-based-policy-examples.html)を提供しています。このポリシーを S3 バケットにアタッチする方法については、「[Amazon S3 コンソールを使用してバケットポリシーを追加する](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)」を参照してください。
追加のヒントについては、「[エクスポート先の設定に関するヒント](settings-export-destination.md#settings-export-destination-tips)」を参照してください。CSV ファイルのエクスポート時に問題が発生した場合は、「[](evidence-finder-issues.md#csv-exports)」を参照してください。
**検索結果をエクスポートするには (初回実行時)**
1. **結果表示** 表の上部にある**CSV をエクスポート**を選択します。
1. ファイルのエクスポート先の S3 バケットを指定します。
+ **Browse S3** を選択し、バケットのリストから選択します。
+ または、**s3://bucketname/prefix** 形式でバケット URI を入力できます。
**ヒント**
エクスポート先のバケットを整理しておくために、CSV エクスポート用のオプションフォルダを作成できます。そのためには、**[リソース URI]** ボックス (例: **/evidenceFinderExports**) の値にスラッシュ (**/**) とプレフィックスを追加します。Audit Manager は CSV ファイルをバケットに追加するときにこのプレフィックスを含め、Amazon S3 はプレフィックスで指定されたパスを生成します。Amazon S3 でのプレフィックスの詳細については、「Amazon Simple Storage Service ユーザーガイド」の「[Amazon S3 コンソールのオブジェクトを整理する](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html)」を参照してください。
1. (オプション) このバケットをデフォルトのエクスポート先として保存したくない場合は、**証拠ファインダー設定でこのバケットをデフォルトのエクスポート先として保存する**というチェックボックスを解除します。
1. **[エクスポート]** を選択します。
#### エクスポート先を保存した後で結果をエクスポートする
デフォルトの S3 バケットをデフォルトのエクスポート先として保存したら、次の手順に従って次に進むことができます。
**検索結果をエクスポートするには (デフォルトのエクスポート先を保存した後に)**
1. **結果表示** 表の上部にある**CSV をエクスポート**を選択します。
1. 表示されるプロンプトで、エクスポートされたファイルが保存されるデフォルトの S3 バケットを確認します。
1. (オプション) このバケットを引き続き使用してこのメッセージを非表示にするには、「**今後通知しない**」ボックスをチェックしてください。
1. (オプション) このバケットを変更するには、手順に従って[エクスポート先の設定を更新してください](https://docs.aws.amazon.com/audit-manager/latest/userguide/settings-export-destination.html)。
1. **[確認]** を選択します。
エクスポートするデータの量によっては、エクスポートプロセスが完了するまでに数分かかることがあります。エクスポート中は、証拠ファインダーから別の場所に移動できます。証拠ファインダーから離れると、検索は停止し、検索結果はコンソール内で破棄されます。ただし、CSV エクスポートプロセスはバックグラウンドで継続されます。CSV ファイルには、クエリに一致した検索結果がすべて含まれます。
#### 結果をエクスポートした後の表示
CSV ファイルを検索してステータスを確認するには、Audit Manager [Audit Manager のダウンロードセンター](download-center.md) にアクセスしてください。エクスポートしたファイルの準備ができたら、ダウンロードセンターから [CSV ファイルをダウンロード](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html#download-a-file)できます。
エクスポート先の S3 バケットから CSV ファイルを検索してダウンロードすることもできます。
**Amazon S3 コンソールで CSV ファイルと署名ファイルを検索するには**
1. [Amazon S3 コンソール](https://console.aws.amazon.com/s3/)を開きます。
1. CSV ファイルをエクスポートしたときに指定したエクスポート先バケットを選択します。
1. CSV ファイルおよび署名ファイルが見つかるまでオブジェクト階層内を移動します。CSV ファイルの拡張子は`.csv.gz`で、署名ファイルの拡張子は`.json`です。
次の例のように、オブジェクト階層を移動することになりますが、エクスポート先のバケット名、アカウント ID、日付、およびクエリ ID は異なります。
```
All Buckets
Export_Destination_Bucket_Name
AWSLogs
Account_ID;
CloudTrail-Lake
Query
YYYY
MM
DD
Query_ID
```
## その他のリソース
+ [証拠ファインダーの問題のトラブルシューティング](evidence-finder-issues.md)
+ [証拠ファインダーのデフォルトのエクスポート先の設定](settings-export-destination.md)
# 証拠ファインダーのフィルタリングとグループ化のオプション
このページでは、証拠ファインダーで使用できるフィルターとグループ化オプションのリストを示します。
## フィルターリファレンス
次のフィルターを使用して、評価、コントロール、または などの特定の基準に一致する証拠を見つけることができます AWS のサービス。
**トピック**
+ [必須フィルター](#required-filters)
+ [追加フィルター (オプション)](#additional-filters)
+ [フィルターの組み合わせ](#combining-filters)
### 必須フィルター
これらのフィルターを使用して、評価における高レベルでの証拠の概要を開始します。
| フィルター名 | 説明 | 注意事項 |
| --- | --- | --- |
| **[評価]** | 特定の評価の証拠を返します。 | 1 つの評価のみでフィルタリングできます。 |
| **日付範囲** | 特定の期間の証拠を返します。 | また、相対範囲を使用して今日の日付を基準とした相対範囲を定義することもできます (例: **Last 30 days**)。 または、絶対範囲を使用して特定の日付範囲を指定することもできます (例: **June 27th – July 4th**)。 |
| リソースコンプライアンス | 特定のコンプライアンスチェック評価を含むリソースを返します。 | Audit Manager は、 AWS Config と Security Hub CSPM をデータソースタイプとして使用するコントロールの[コンプライアンスチェックの証拠](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#evidence)を収集します。証拠収集中に複数のリソースが評価される場合があります。その結果、1 つのコンプライアンスチェック証拠に 1 つ以上のリソースが含まれる可能性があります。このフィルターを使用して、リソースレベルでコンプライアンスステータスを調べることができます。 次のオプションのいずれかを選択します (複数可)。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/evidence-finder-filters-and-groups.html) |
### 追加フィルター (オプション)
これらのフィルターを使用して、検索クエリの範囲を絞り込みます。例えば、Amazon S3 に関連するすべての証拠を表示するには、**サービス**を使用します。**リソースタイプ**を使うと S3 バケットだけに集中できます。または、**リソース ARN** を使用して特定の S3 バケットをターゲットにします。
次の 1 つ以上の基準を使用して追加のフィルターを作成できます。
| 基準名 | 説明 | この基準はいつ使用するか |
| --- | --- | --- |
| アカウント ID | でドリルダウンします AWS アカウント。 | この基準を使用して、特定の AWS アカウントに関連する証拠を検索してください。 |
| コントロール | コントロール名別にドリルダウンします。 | この基準を使用して、特定のコントロールに関連する証拠を検索してください。 |
| コントロールドメイン | コントロールドメイン別にドリルダウンします。 | この基準を使用して、監査に向けて準備する際に、特定の対象領域に集中します。標準フレームワークから作成された評価を問い合わせる場合は、コントロールドメインでフィルタリングできます。 コントロールドメインの例としては、ネットワークセキュリティ、アイデンティティとアクセスの管理、データ保護などがあります。 一部のコントロールドメインは、Audit Manager が AWS Control Catalog が提供する新しいコントロールドメインのセットに移行した後、**期限切れ**としてマークされる場合があります。詳細については、「[コントロールドメインが「古い」とマークされています。これは何を意味するのでしょうか?](evidence-finder-issues.md#outdated-control-domains)」を参照してください。 |
| データソースタイプ | データソースのタイプ別にドリルダウンします。 | この基準を使用して、特定のデータソースに集中します。 値を`Manual`に設定すると、手動でアップロードした証拠を検索できます。それ以外の場合は、自動証拠をその出所 (`AWS Config`、`CloudTrail`、`Security Hub CSPM`、`AWS API calls`など) に基づいてフィルタリングできます。 |
| イベント名 | イベント名でドリルダウンします。 | この基準を使用して、証拠に関連する特定のイベントに焦点を当てます。イベントは、 AWS アカウントでのアクティビティのレコードです。 例えば、アクセス権限の設定に使用される IAM `AttachRolePolicy` オペレーションなどの API コールの名前を検索できます。または、ユーザーがアカウントにサインインしたときに CloudTrail によってログされる`ConsoleLogin`イベントなどの CloudTrail キーワードを検索します。 |
| リソースARN | Amazon リソースネーム (ARN)でドリルダウンします。 | この基準を使用して、特定の AWS リソースに関連する証拠を検索してください。 |
| リソースタイプ | リソースタイプ別にドリルダウンします。 | この基準を使用して、Amazon EC2 インスタンスや S3 バケットなど、評価対象のリソースのタイプに集中します。 |
| サービス | AWS のサービス 名前でドリルダウンします。 | この基準を使用して、Amazon EC2 AWS のサービス、Amazon S3、 などの特定の に関連する証拠を検索します AWS Config。 |
| サービスのカテゴリ | AWS のサービス カテゴリ別にドリルダウンします。 | この基準を使用して、 の特定のカテゴリに焦点を当てます AWS のサービス。例としては、セキュリティ、ID とコンプライアンス、データベース、ストレージなどがあります。 |
### フィルターの組み合わせ
#### 基準の動作
複数の基準を指定すると、Audit Manager は選択した基準に`AND`演算子を適用します。つまり、すべての基準が 1 つのクエリにグループ化され、結果は組み合わされたすべての条件と一致する必要があります。
**例**
次のフィルター設定では、証拠ファインダーは、**MySOC2Assessment**という評価に対して過去 7 日間の非準拠リソースを返します。さらに、結果は IAM ポリシーと指定されたコントロールの両方に関係します。
![\[AND 演算子が強調表示された、適用されるフィルターの選択肢。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/evidence-finder-filter_description-console.png)
#### 基準値の動作
1 以上の基準値を指定すると、値は`OR`演算子とリンクされます。証拠ファインダーは、これらの基準値のいずれかに一致する結果を返します。
**例**
次のフィルター設定では、証拠ファインダーは AWS CloudTrail、、 AWS Config、または のいずれかから取得した検索結果を返します AWS Security Hub CSPM。
![\[1 つの基準に対して定義された複数の値を表示するフィルター設定の例。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/evidence-finder-filter_description-multiple_values-console.png)
## グループ化のリファレンス
検索結果をグループ化して、すばやくナビゲートできます。グループ化すると、検索結果の範囲と、検索結果が特定のディメンションにどのように分布しているかがわかります。
以下のいずれかの値によるグループを使用できます。
| [グループ化の条件] | 説明 |
| --- | --- |
| アカウント ID | 結果をグループ化します AWS アカウント。 |
| コントロール | 結果をコントロール名でグループ化します。 |
| データソースタイプ | 証拠の出所であるデータソースのタイプ別に結果をグループ化します。 |
| イベント名 | 結果をイベント名でグループ化します。 |
| リソースARN | 結果をAmazon リソースネーム (ARN)でグループ化します。 |
| リソースタイプ | 結果をリソースタイプ別でグループ化します。 |
| サービス | 結果を AWS のサービス 名前でグループ化します。 |
| サービスのカテゴリ | 結果を AWS のサービス カテゴリ別にグループ化します。 |
# 証拠ファインダーのユースケースの例
証拠ファインダーはいくつかのユースケースで役立ちます。このページでは、いくつかの例を示し、各シナリオで使用できる検索フィルターを提案します。
**Topics**
+ [ユースケース 1:非準拠の証拠を検索して委任を組織する](#use-case-find-non-compliant-evidence)
+ [ユースケース 2:準拠している証拠の特定](#use-case-find-compliant-evidence)
+ [ユースケース 3:証拠リソースのクイックプレビューの実行](#use-case-evidence-preview)
## ユースケース 1:非準拠の証拠を検索して委任を組織する
このユースケースは、コンプライアンス責任者、データ保護責任者、または監査準備を監督する GRC の専門家に最適です。
組織のコンプライアンス体制を監視する場合、問題の解決を支援してくれるパートナーチームに依頼する場合があります。証拠ファインダーを使用すると、パートナーチームの業務を整理するのに役立ちます。
フィルターを適用することで、一度に 1 つの領域の証拠に集中できます。さらに、協力する各パートナーチームの責任と範囲を把握しておくこともできます。このようにターゲットを絞った検索を行うことで、検索結果を使用して、各分野において改善が必要な点を正確に特定できます。その後、対象の非準拠の証拠を対応するパートナーチームに委任して是正してもらうことができます。
このワークフローでは、[証拠を検索する](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html)手順に従ってください。以下のフィルターを使用して、非準拠の証拠を検索します。
```
Assessment |
Date range |
Resource compliance | Non-compliant
```
次に、注目している分野に追加のフィルターを適用します。例えば、**サービスカテゴリー**フィルターを使用して、IAM に関連する非準拠リソースを検索します。そして、その結果を組織の IAM リソースを所有するチームと共有します。または、標準フレームワークから作成された評価をクエリする場合は、**コントロールドメイン**フィルターを使用して、ID およびアクセス管理ドメインに関連する非準拠の証拠を検索できます。
```
Control domain |
or
Service category |
```
必要な証拠が見つかったら、検索結果から評価レポートを生成する手順に従います。手順については、「[検索結果からの評価レポートの生成](exporting-search-results-from-evidence-finder.md#generate-one-time-report-from-search-results)」を参照してください。このレポートをパートナーチームと共有して、改善チェックリストとして使用できます。
## ユースケース 2:準拠している証拠の特定
このユースケースは、SecOps、IT/DevOps、またはクラウド資産を所有および修復する別の役割で作業している場合に最適です。
監査の一環として、所有しているリソースの問題の修正を求められる場合があります。この作業を終えたら、証拠ファインダーを使用してリソースがコンプライアンスに準拠していることを検証できます。
このワークフローでは、[証拠を検索する](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html)手順に従ってください。以下のフィルターを使用して、準拠している証拠を検索してください。
```
Assessment |
Date range |
Resource compliance | Compliant
```
次に、追加のフィルターを適用して、自分が担当する証拠のみを表示します。所有範囲に応じて、必要に応じて対象を絞って検索を実行します。以下のフィルター例は、最も広範なものから最も正確なものの順に並べられています。適切なオプションを選択し、*<プレースホルダーテキスト>*を独自の値に置き換えてください。
```
Control domain |
Service category |
Service |
Resource type |
Resource ARN |
```
同じ条件の複数のインスタンス (複数のインスタンスを所有しているなど AWS のサービス) を担当している場合は、その値で[結果をグループ化](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder-filters-and-groups.html#groups)できます。これにより、各 AWS のサービスに一致する証拠の合計が得られます。その後、所有しているサービスの結果を取得できます。
## ユースケース 3:証拠リソースのクイックプレビューの実行
このユースケースは、Audit Manager のすべてのお客様に最適です。
以前は、個々の証拠の詳細を確認するのに時間がかかっていました。証拠をプレビューしたい場合は、その評価に直接アクセスし、深くネストされた証拠フォルダを閲覧する必要がありました。証拠ファインダーでは、この情報を簡単にプレビューできるようになりました。検索クエリに一致する証拠項目ごとに、その証拠の個々のリソースをプレビューできます。
はじめに、[証拠を検索する](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html)手順に従ってください。次に、結果の横にあるラジオボタンを選択すると、現在のページにリソースの概要が表示されます。証拠項目に関連する個々のリソースをプレビューできます。リソースの証拠詳細をすべて表示するには、証拠名を選択します。詳細については、「[リソースの概要のプレビュー](viewing-search-results-in-evidence-finder.md#preview-evidence)」を参照してください。
![\[検索結果の例と、その結果の画面上リソースの概要です。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/evidence-finder-preview-console.png)