기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 증거 찾기
증거 찾기는 Audit Manager에서 증거를 검색하는 강력한 방법을 제공합니다. 원하는 것을 찾기 위해 깊이 숨어있는 증거 폴더를 탐색하는 대신, 이제 증거 찾기를 이용하여 증거를 빠르게 쿼리할 수 있습니다. 증거 찾기를 위임 관리자로 사용하면 조직의 모든 멤버 계정에서 증거를 검색할 수 있습니다.
필터와 그룹화를 조합하여 이용하면 검색 쿼리의 범위를 점진적으로 좁힐 수 있습니다. 예를 들어 시스템 상태를 높은 수준으로 보려면 광범위한 검색을 수행하고 평가, 날짜 범위 및 리소스 규정 준수별로 필터링합니다. 특정 리소스를 개선하는 것이 목표인 경우 특정 컨트롤 또는 리소스 ID에 대한 증거를 찾기 위해 좁은 검색을 수행할 수 있습니다. 필터를 정의한 후에는 일치하는 검색 결과를 그룹화하여 미리 본 다음에 평가 보고서를 생성할 수 있습니다.
증거 찾기를 이용하려면 Audit Manager 설정에서 이 기능을 활성화해야 합니다.
## 중요 사항
### 증거 찾기가 CloudTrail Lake와 함께 작동하는 방식 설명
증거 찾기는 [AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) 쿼리 및 스토리지 기능을 사용합니다. 증거 찾기를 사용하기 전에 CloudTrail Lake의 작동 방식에 대해 좀 더 이해하면 도움이 됩니다.
CloudTrail Lake는 데이터를 강력한 SQL 쿼리를 지원하는, 검색 가능한 단일 이벤트 데이터 저장소에 집계합니다. 즉, 조직 전체에서, 그리고 사용자 지정 시간 범위 내에서 데이터를 검색할 수 있습니다. 증거 찾기를 이용하면 Audit Manager 콘솔에서 이 검색 기능을 직접 이용할 수 있습니다.
증거 찾기를 활성화하도록 요청하면 Audit Manager가 사용자 대신 이벤트 데이터 저장소를 생성합니다. 증거 찾기가 활성화되면, 향후 모든 Audit Manager 증거가 이벤트 데이터 저장소에 수집되며, 증거 찾기 검색 쿼리에 이것을 사용할 수 있게 됩니다. 증거 찾기를 활성화하면 새로 생성된 이벤트 데이터 저장소를 지난 2년 분량의 증거 데이터로 채웁니다. 증거 찾기를 위임된 관리자로 활성화하면 조직 내 모든 구성원의 계정에 데이터를 채웁니다.
채워 넣은 것이든 새로 생성한 것이든 관계없이 모든 증거 데이터는 이벤트 데이터 저장소에 2년간 보관됩니다. 기본으로 설정된 보존 기간은 언제든지 변경할 수 있습니다. 이에 대한 지침은 *AWS CloudTrail 사용 설명서*의 [이벤트 데이터 저장소 업데이트](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-lake-cli.html#lake-cli-update-eds.)를 참조하세요. 이벤트 데이터는 최대 7년 또는 2,555일 동안 이벤트 데이터 저장소에 보관할 수 있습니다.
**참고**
새로운 증거 데이터가 이벤트 데이터 스토어에 추가되면 데이터 저장 및 수집에 대해 CloudTrail Lake 요금이 부과됩니다.
CloudTrail Lake 쿼리의 경우, 사용한 만큼만 지불하면 됩니다. 즉, 증거 찾기에서 검색 쿼리를 실행할 때마다 스캔한 데이터에 대한 요금이 부과됩니다.
CloudTrail Lake 요금에 대한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/)을 참조하세요.
## 다음 단계
시작하려면 Audit Manager 설정에서 증거 찾기를 활성화합니다. 지침은 [증거 찾기 활성화](evidence-finder-settings-enable.md) 섹션을 참조하세요.
## 추가 리소스
+ [증거 찾기에서 증거 검색](search-for-evidence-in-evidence-finder.md)
+ [증거 찾기에서 결과 보기](viewing-search-results-in-evidence-finder.md)
+ [증거 찾기에 대한 필터 및 그룹화 옵션](evidence-finder-filters-and-groups.md)
+ [증거 찾기의 사용 사례 예](example-use-cases-for-evidence-finder.md)
+ [증거 찾기 문제 해결](evidence-finder-issues.md)
# 증거 찾기에서 증거 검색
증거 찾기를 사용하여 대상 검색을 수행하고 검토를 위해 관련 증거를 신속하게 표시할 수 있습니다.
이 페이지에서는 평가, 날짜 범위, 리소스 규정 준수 상태 및 추가 속성과 같은 기준별로 검색을 필터링하는 방법을 알아봅니다. 이러한 필터를 적용하면 검색 범위가 필요한 증거로 좁아집니다. 특정 필드별로 결과를 그룹화하여 패턴을 더 잘 분석할 수도 있습니다.
## 사전 조건
Audit Manager 설정에서 증거 찾기를 활성화하는 단계를 완료했는지 확인합니다. 지침은 [증거 찾기 활성화](evidence-finder-settings-enable.md) 섹션을 참조하세요.
또한 증거 찾기에서 검색 쿼리를 수행할 수 있는 권한이 있는지 확인합니다. 사용할 수 있는 권한 정책 예제는 [사용자가 증거 찾기에서 검색 쿼리를 실행하도록 허용](security_iam_id-based-policy-examples.md#evidence-finder-query-access) 섹션을 참조하세요.
## 절차
다음 단계에 따라 Audit Manager 콘솔에서 증거를 검색해보세요.
1. [검색 쿼리 수행](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#performing-a-search)
1. [진행 중인 검색 쿼리 중지(선택 사항)](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#stopping-a-search)
1. [검색 쿼리의 필터 편집(선택 사항)](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#editing-a-search)
**참고**
CloudTrail API를 이용하여 증거 데이터를 쿼리할 수도 있습니다. 자세한 내용은 *AWS CloudTrail API 참조*의 [StartQuery](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_StartQuery.html)를 참조하세요. 를 사용하려면 *AWS CloudTrail 사용 설명서*의 [쿼리 시작](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-lake-cli.html#lake-cli-start-query)을 AWS CLI참조하세요.
### 검색 쿼리 수행
다음 단계에 따라 증거 찾기에서 검색 쿼리를 수행합니다.
**증거를 검색하려면**
1. [https://console.aws.amazon.com/auditmanager/home](https://console.aws.amazon.com/auditmanager/home)에서 AWS Audit Manager 콘솔을 엽니다.
1. 탐색 창에서 **증거 찾기**를 선택합니다.
1. 다음으로, 필터를 적용하여 검색 범위를 좁힙니다.
1. **평가**에서 평가를 선택합니다.
1. **날짜 범위**에서 범위를 선택합니다.
1. **리소스 규정 준수**에서 평가 상태를 선택합니다.
![\[증거 찾기에서 필수인 평가, 날짜 범위 및 리소스 규정 준수 필터.\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/images/evidence-finder-required_filters-console.png)
1. (선택 사항) **추가 필터 - 옵션**을 선택하면 검색 범위를 더 좁힐 수 있습니다.
1. **기준 추가**를 선택하여 기준을 선택한 다음, 해당 기준에 맞는 값을 하나 이상 선택합니다.
1. 동일한 방식으로 더 많은 필터를 계속 빌드합니다.
1. 원하지 않는 필터를 제거하려면 **제거**를 선택합니다.
![\[증거 찾기의 특정 컨트롤에 대한 추가 필터.\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/images/evidence-finder-additional_filters-console.png)
1. **그룹화**에서 검색 결과를 그룹화할지 여부를 지정합니다.
1. 결과를 그룹화하려면 결과를 그룹화하는 데 기준으로 사용할 값을 선택합니다.
1. 결과를 그룹화하지 않으려면 6단계로 건너 뜁니다.
![\[선택한 값별 그룹으로 결과 그룹화 옵션을 선택하였습니다.\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/images/evidence-finder-grouping-console.png)
1. **검색**을 선택합니다.
![\[증거 찾기에서 검색 쿼리를 시작할 수 있는 검색 버튼.\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/images/evidence-finder-search-console.png)
보유하고 있는 증거 데이터의 양에 따라 검색에 몇 분 정도 걸릴 수 있습니다. 검색이 진행되는 동안에는 증거 찾기에서 나가셔도 됩니다. 검색 결과가 준비되면 플래시 바가 알려줍니다.
### 쿼리 검색 중지
어떤 이유로든 쿼리 검색을 중지하려면 다음 단계를 따르세요.
**참고**
쿼리 검색을 중지해도 여전히 요금이 부과될 수 있습니다. 쿼리 검색을 중지하기 전에 검색한 증거 데이터의 양에 대해 요금이 청구됩니다. 중지된 후에는 반환된 일부 결과를 볼 수 있습니다.
**진행 중인 커리 검색 중지**
1. 화면 상단의 파란색 진행 플래시바에서 **검색 중지**를 선택합니다.
![\[쿼리 검색이 진행 중임을 나타내는 파란색 플래시 바입니다.\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/images/in_progress_search-evidence-finder-console.png)
1. (선택 사항) 쿼리 검색을 중지하기 전에 반환된 일부 결과를 검토하세요.
1. 증거 찾기 페이지에 있는 경우, 화면에 일부 결과가 표시됩니다.
1. 증거 찾기에서 벗어났다면 녹색 확인 플래시 바에서 **부분 결과 보기**를 선택하세요.
![\[검색이 중단된 시점을 나타내는 녹색 플래시 바.\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/images/stopped_search-evidence-finder-console.png)
### 검색 필터 편집
다음 단계에 따라 최신 검색 쿼리로 돌아가서 필요에 따라 필터를 조정합니다.
**참고**
필터를 편집하고 **검색**을 선택하면 새 쿼리 검색이 시작됩니다.
**최근 검색 쿼리 편집**
1. **결과 보기** 페이지의 브레드크럼 탐색 메뉴에서 **증거 찾기**를 선택합니다.
![\[콘솔의 브레드크럼 탐색 메뉴에서 강조 표시되어 있는 증거 찾기.\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/images/breadcrumb_menu-evidence-finder-console.png)
1. **필터 및 그룹화**를 선택하여 필터 선택 범위를 확장합니다.
![\[증거 찾기의 확장 가능한 필터 및 그룹화 섹션.\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/images/expand_filters-evidence-finder-console.png)
1. 다음으로, 필터를 편집하거나 새 검색을 시작하세요.
1. 필터를 편집하려면 현재 필터 및 그룹화 선택을 조정하거나 제거합니다.
1. 다시 시작하려면 **필터 지우기**를 선택하고 선택한 필터 및 그룹화 선택을 적용합니다.
![\[새 검색 쿼리로 다시 시작하는 데 사용할 수 있는 필터 지우기 버튼.\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/images/evidence-finder-clear_filters-console.png)
1. 완료했으면 **다음**을 선택합니다.
![\[증거 찾기에서 새 쿼리 검색을 시작할 수 있는 검색 버튼.\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/images/evidence-finder-search-console.png)
## 다음 단계
검색이 끝나면 검색 기준과 일치하는 결과를 볼 수 있습니다. 지침은 [증거 찾기에서 결과 보기](viewing-search-results-in-evidence-finder.md) 섹션을 참조하세요.
## 추가 리소스
+ [증거 찾기에 대한 필터 및 그룹화 옵션](evidence-finder-filters-and-groups.md)
+ [증거 찾기의 사용 사례 예](example-use-cases-for-evidence-finder.md)
+ [증거 찾기 문제 해결](evidence-finder-issues.md)
# 증거 찾기에서 결과 보기
검색이 끝나면 검색 기준과 일치하는 결과를 볼 수 있습니다.
증거 수집 중에 여러 리소스가 평가될 수 있다는 점을 염두에 두세요. 따라서, 증거에는 하나 이상의 관련 리소스가 포함될 수 있습니다. 증거 찾기에서, 결과는 리소스 수준에서 표시되며 각 리소스마다 한 행씩 표시됩니다. 페이지를 떠나지 않고서 각 리소스의 요약을 미리 볼 수 있습니다.
검색 결과를 검토했으면, 해당 증거가 포함된 평가 보고서를 생성할 수 있습니다. 검색 결과를 CSV(쉼표로 구분된 값) 파일로 내보낼 수도 있습니다.
**중요**
검색 결과 탐색을 마칠 때까지는 증거 찾기를 열어 두는 것이 좋습니다. **결과 보기** 테이블에서 벗어나면 검색 결과가 삭제됩니다. 필요하다면, [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)에서 [최근 결과](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-results.html)를 볼 수 있습니다. 여기서는 쿼리 검색 결과가 7일 동안 보존됩니다. 하지만, CloudTrail 콘솔의 검색 결과로는 평가 보고서를 생성할 수 없다는 점에 유의하세요.
## 사전 조건
다음 절차에서는 증거 찾기에서 [검색을 수행](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html)하는 단계를 이미 따른 것으로 가정합니다.
## 절차
증거 찾기에서 다음 단계를 따라 검색 결과를 봅니다.
**작업**
+ [1단계. 그룹화된 결과 보기](#review-grouped-results)
+ [2단계. 검색 결과 보기](#review-search-results)
+ [보기의 기본 설정 관리](#manage-preferences)
+ [리소스 요약 미리 보기](#preview-evidence)
### 1단계. 그룹화된 결과 보기
결과를 그룹화한 경우, 증거를 더 자세히 살펴보기 전에 그룹화를 검토할 수 있습니다.
**참고**
결과를 그룹화하지 않았을 때는 증거 찾기에서 **결과별 그룹** 테이블이 표시되지 않습니다. 대신, **결과 보기** 테이블로 바로 이동됩니다.
**결과별 그룹** 테이블을 이용하여 일치 증거의 범위와 일치 증거가 특정 차원에 어떻게 분포되어 있는지 알아보세요. 결과는 선택한 값을 기준으로 그룹화됩니다. 예를 들어 **리소스 유형**별로 그룹화된 경우 테이블에 AWS 리소스 유형 목록이 표시됩니다. **전체 증거** 열에는 각 리소스 유형에 대한 매칭 결과 수가 표시됩니다.
![\[증거 찾기의 결과별 그룹을 나타낸 테이블.\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/images/evidence-finder-group_by_table-console.png)
**그룹에 대한 결과를 얻으려면**
1. **결과별 그룹화** 테이블에서 얻으려는 결과에 해당하는 행을 선택합니다.
1. **결과 가져오기**를 선택합니다. 그러면 새 쿼리 검색이 시작되고 해당 그룹에 대한 결과를 볼 수 있는 **결과 보기** 테이블로 전환됩니다.
### 2단계. 검색 결과 보기
**결과 보기** 테이블에는 검색 결과가 표시됩니다. 여기에서 보기 기본 설정을 관리하고 리소스 요약을 미리 볼 수 있습니다.
#### 보기의 기본 설정 관리
보기의 기본 설정에 따라 결과 페이지에 표시되는 내용이 달라집니다.
**보기의 기본 설정을 관리하려면**
1. **결과 보기** 테이블 상단의 설정 아이콘(⚙)을 선택합니다.
1. 다음 설정을 검토하고 필요에 따라 변경합니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/viewing-search-results-in-evidence-finder.html)
1. **확인**을 선택하여 기본 설정을 저장합니다.
#### 리소스 요약 미리 보기
관련 리소스에서 검색 쿼리와 일치하는 증거를 미리 볼 수 있습니다. 이를 통해 쿼리 검색으로 의도한 결과를 얻었는지 또는 필터를 조정하고 쿼리 검색을 다시 실행해야 하는지 확인할 수 있습니다.
증거에는 하나 이상의 관련 리소스가 있을 수 있다는 점을 염두에 두세요. 증거 찾기의 결과는 리소스 수준에서 표시되며 각 리소스마다 한 행씩 표시됩니다.
**참고**
증거 찾기는 자동 및 수동 증거의 결과를 보여줍니다. 하지만 자동 증거에 대한 리소스 요약만 미리 볼 수 있습니다. 이는 Audit Manager가 수동 증거에 대한 리소스 평가를 수행하지 않아 리소스 요약을 이용할 수 없기 때문입니다.
수동 증거에 대한 세부 정보를 보려면 증거 이름을 선택하여 증거 세부 정보 페이지를 열면 됩니다. 증거 찾기 결과에서 평가 보고서를 생성하는 경우, 수동 증거 세부 정보가 평가 보고서에 포함됩니다.
**리소스 요약 미리 보기**
1. 결과 옆의 라디오 버튼을 선택합니다. 그러면 현재 페이지에 리소스 요약 패널이 열립니다.
1. (선택 사항) 관련 증거의 세부 정보 전체를 확인하려면 증거 이름을 선택합니다.
1. (선택 사항) 수평선(**=**) 을 이용하여 리소스 요약 창을 끌어서 크기를 조정합니다.
1. (**x**)를 선택하여 리소스 요약 창을 닫습니다.
![\[증거 찾기의 결과 보기 페이지에 있는 리소스 요약의 예.\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/images/evidence-finder-preview-console.png)
## 다음 단계
검색 결과를 검토한 후에는 검색 결과에서 평가 보고서를 생성하거나 CSV 파일로 내보낼 수 있습니다. 지침은 [증거 찾기에서 검색 결과 내보내기](exporting-search-results-from-evidence-finder.md) 섹션을 참조하세요.
## 추가 리소스
+ [증거 찾기에 대한 필터 및 그룹화 옵션](evidence-finder-filters-and-groups.md)
+ [증거 찾기의 사용 사례 예](example-use-cases-for-evidence-finder.md)
+ [증거 찾기 문제 해결](evidence-finder-issues.md)
# 증거 찾기에서 검색 결과 내보내기
검색 결과를 검토한 후 해당 결과를 기반으로 평가 보고서를 생성할 수 있습니다. 또는 증거 찾기 검색 결과를 CSV 파일로 내보낼 수 있습니다.
## 사전 조건
다음 절차에서는 이미 단계에 따라 [검색을 수행](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html)하고 증거 찾기에서 [검색 결과를 검토](https://docs.aws.amazon.com/audit-manager/latest/userguide/viewing-search-results-in-evidence-finder.html)했다고 가정합니다.
## 절차
**Contents**
+ [검색 결과에서 평가 보고서 생성](#generate-one-time-report-from-search-results)
+ [검색 결과를 CSV 파일로 내보내기](#export-search-results)
+ [내보낸 결과 보기](#viewing-results-after-export)
### 검색 결과에서 평가 보고서 생성
검색 결과에 만족하면 평가 보고서를 생성할 수 있습니다.
**검색 결과에서 평가 보고서를 생성하려면**
1. **결과 보기** 테이블 상단에서 **평가 보고서 생성**을 선택합니다.
1. 평가 보고서의 이름과 설명을 입력하고 평가 보고서 세부 정보를 검토합니다.
1. **평가 보고서 생성**을 선택합니다.
평가 보고서가 생성되는 데에는 몇 분 정도 걸립니다. 이 작업 중에 증거 찾기에서 나가셔도도 됩니다. 보고서가 준비되면 녹색 성공 알림이 표시됩니다. 그러면 Audit Manager 다운로드 센터로 이동하여 [평가 보고서를 다운로드](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html#download-a-file)할 수 있습니다.
**참고**
Audit Manager는 검색 결과의 증거만을 이용하여 일회성 보고서를 생성합니다. 이 보고서에 [평가 페이지에서 보고서에 수동으로 추가](https://docs.aws.amazon.com/audit-manager/latest/userguide/generate-assessment-report-include-evidence.html)한 증거는 포함되지 않습니다.
평가 보고서에 포함할 수 있는 증거의 양에는 제한이 적용됩니다. 자세한 내용은 [증거 찾기 문제 해결](evidence-finder-issues.md) 섹션을 참조하세요.
### 검색 결과를 CSV 파일로 내보내기
증거 찾기 검색 결과의 휴대용 버전이 필요할 수 있습니다. 이 경우에는 검색 결과를 CSV 파일로 내보낼 수 있습니다.
검색 결과를 내보내고 나면 Audit Manager 다운로드 센터에서 7일 동안 CSV 파일을 이용할 수 있습니다. CSV 파일의 사본은 *내보내기 대상*이라고 하는, 선택한 S3 버킷으로도 전송됩니다. CSV 파일은 파일을 삭제할 때까지 이 버킷에서 계속 이용할 수 있습니다.
Audit Manager는 [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) 기능을 이용하여 증거 찾기에서 CSV 파일을 내보내고 전달합니다. CSV 내보내기 프로세스의 작동 방식을 정의하는 요소는 다음과 같습니다.
+ 모든 검색 결과가 CSV 파일에 포함됩니다. 특정 검색 결과만 포함하려면 [검색 필터를 편집](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#editing-a-search)하는 것이 좋습니다. 이렇게 하면, 내보내려는 증거만을 대상으로 검색 결과를 좁힐 수 있습니다.
+ CSV 파일은 압축된 GZIP 형식으로 내보냅니다. 기본 CSV 파일 이름은 `queryID/result.csv.gz`이며, 여기서 `queryID`는 검색 쿼리의 ID입니다.
+ CSV 내보낼 수 있는 최대 크기는 1TB입니다. 1TB가 넘는 데이터를 내보내는 경우, 결과는 두 개 이상의 파일로 분할됩니다. 각 CSV 파일의 이름은 `result_number.csv.gz`로 지정됩니다. 가져오는 CSV 파일 수는 검색 결과의 전체 크기에 따라 달라집니다. 예를 들어, 2TB의 데이터를 내보내는 경우 두 개의 쿼리 결과 파일(`result_1.csv.gz`및`result_2.csv.gz`)이 제공됩니다.
+ S3 버킷에는 CSV 파일 외에도 JSON 서명 파일이 전송됩니다. 이 파일은 CSV 파일 내의 정보가 정확한지 확인하는 체크섬 역할을 합니다. 자세한 내용은 *AWS CloudTrail 개발자 안내서*의 [CloudTrail 서명 파일 구조](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-results-file-validation-sign-file-structure.html)를 참조하세요. 쿼리 결과를 전달한 후, 쿼리 결과가 수정, 삭제 또는 변경되지 않았는지 여부를 확인하는 데에는 CloudTrail 쿼리 결과 무결성 검증을 이용할 수 있습니다. 이에 대한 지침은 *AWS CloudTrail 개발자 안내서*의 [저장된 쿼리 결과 검증](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-query-results-validation-intro.html)을 참조하세요.
**참고**
수동 증거 텍스트 응답은 현재 증거 찾기 미리 보기 또는 CSV 내보내기에 포함되지 않습니다. 텍스트 응답 데이터를 보려면 증거 찾기 결과에서 수동 증거의 이름을 선택하여 증거 세부 정보 페이지를 열면 됩니다. Audit Manager 콘솔 외부에서 텍스트 응답 데이터를 확인해야 하는 경우, 증거 찾기 결과를 바탕으로 평가 보고서를 생성하는 것이 좋습니다. 텍스트 응답을 포함한 모든 수동 증거 세부 정보가 평가 보고서에 포함됩니다.
#### 최초 결과 내보내기
다음 단계에 따라 최초 검색 결과를 내보낼 수 있습니다. 이 절차에 의하면 향후 모든 내보내기에 대한 내보내기 대상를 기본 설정으로 지정할 수 있습니다. 기본 설정에 의한 내보내기 대상을 지금 저장하지 않으려면, 나중에 [내보내기 대상 설정을 업데이트](https://docs.aws.amazon.com/audit-manager/latest/userguide/settings-export-destination.html)하여 저장할 수 있습니다.
**중요**
시작하기 전에 내보내기 대상으로 사용할 수 있는 S3 버킷이 있는지 확인하세요. 기존 S3 버킷 중 하나를 사용하거나 [Amazon S3에서 새 버킷을 생성](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)할 수 있습니다. 최적의 보안 및 성능을 위해 평가와 동일한 AWS 계정 및 리전에 있는 S3 버킷을 사용하는 것이 좋습니다. 이 때, S3 버킷에는 CloudTrail이 내보내기 파일을 쓸 수 있도록 허용하는 데 필요한 권한 정책이 있어야 합니다. 구체적으로 말하자면, 버킷 정책에는 `s3:PutObject` 작업과 버킷 ARN이 포함되어야 하고 CloudTrail이 서비스 보안 주체로 나열되어 있어야 합니다. 이 때 사용할 수 있는 [권한 정책 예시](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_resource-based-policy-examples.html)를 제공해드립니다. 이 정책을 S3 버킷에 연결하는 방법에 대한 지침은 [Amazon S3 콘솔을 이용한 버킷 정책 추가](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)를 참조하세요.
자세한 팁은 [내보내기 목적지에 대한 구성 팁](settings-export-destination.md#settings-export-destination-tips) 섹션을 참조하세요. CSV 파일을 내보낼 때 문제가 발생하면 [](evidence-finder-issues.md#csv-exports) 섹션을 참조하세요.
**검색 결과를 내보내려면(최초 실행 시)**
1. **결과 보기** 테이블 상단에서 **CSV 내보내기**를 선택합니다.
1. 파일을 내보낼 S3 버킷을 지정합니다.
+ **Browse S3**를 선택하여 버킷 목록에서 선택합니다.
+ 또는 **s3://bucketname/prefix** 형식으로 버킷 URI를 입력할 수 있습니다.
**작은 정보**
대상 버킷을 체계적으로 정리하려면 CSV 내보내기를 위한 선택적 폴더를 만들 수 있습니다. 그렇게 하려면, **리소스 URI** 상자의 값에 슬래시(**/**)와 접두사를 추가합니다(예: **/evidenceFinderExports**). 그러면 Audit Manager가 CSV 파일을 버킷에 추가할 때 이 접두사를 포함시키고, Amazon S3는 접두사로 지정된 경로를 생성합니다. Amazon S3의 접두사에 대한 자세한 내용은 *Amazon Simple Storage Service* 사용 설명에 있는 [Amazon S3 콘솔에서의 객체 구성](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html)을 참조하세요.
1. (선택 사항) 이 버킷을 기본 내보내기 대상으로 저장하지 않으려면 **증거 찾기 설정에서 이 버킷을 기본 내보내기 대상로 저장**이라는 확인란의 선택을 취소하면 됩니다.
1. **내보내기**를 선택합니다.
#### 내보내기 대상을 저장한 후 결과 내보내기
기본 S3 버킷을 기본 내보내기 대상으로 저장한 후, 다음 단계를 진행하면 됩니다.
**검색 결과를 내보내려면(기본 내보내기 대상을 저장한 후)**
1. **결과 보기** 테이블 상단에서 **CSV 내보내기**를 선택합니다.
1. 표시되는 프롬프트에서 내보낸 파일이 저장될 기본 S3 버킷을 검토합니다.
1. (선택 사항) 이 버킷을 계속 사용하고 앞으로는 이 메시지를 숨기려면 **다시 알림 사용 안 함** 확인란을 선택합니다.
1. (선택 사항) 이 버킷을 변경하려면 절차에 따라 [내보내기 대상 설정 업데이트](https://docs.aws.amazon.com/audit-manager/latest/userguide/settings-export-destination.html)를 수행합니다.
1. **확인**을 선택합니다.
내보내는 데이터의 양에 따라, 내보내기 프로세스를 완료하는 데 몇 분 정도 걸릴 수 있습니다. 내보내기가 진행되는 동안에는 증거 찾기에서 나가셔도 됩니다. 증거 찾기에서 벗어나면 검색이 중단되고 콘솔에서 검색 결과가 삭제됩니다. 하지만, CSV 내보내기 프로세스는 백그라운드에서 계속됩니다. CSV 파일에는 쿼리와 일치하는 전체 검색 결과 세트가 포함됩니다.
#### 내보낸 결과 보기
CSV 파일을 찾아 그 상태를 확인하려면 Audit Manager [Audit Manager 다운로드 센터](download-center.md)로 이동하세요. 내보낸 파일이 준비되면 다운로드 센터에서 [CSV 파일을 다운로드](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html#download-a-file)할 수 있습니다.
내보내기 대상 S3 버킷에서 CSV 파일을 찾아 다운로드할 수도 있습니다.
**Amazon S3 콘솔에서 CSV 파일 및 서명 파일 찾기**
1. [Amazon S3 콘솔](https://console.aws.amazon.com/s3/)을 엽니다.
1. CSV 파일을 내보낼 때 지정한 내보내기 대상 버킷을 선택합니다.
1. CSV 파일과 서명 파일을 찾을 때까지 객체 계층을 탐색합니다. CSV 파일의 확장자는 `.csv.gz`이고 서명 파일의 확장자는 `.json`입니다.
다음 예제와 유사하지만, 내보내기 대상 버킷 이름, 계정 ID, 날짜, 쿼리 ID가 다른 객체 계층을 통해 탐색하게 됩니다.
```
All Buckets
Export_Destination_Bucket_Name
AWSLogs
Account_ID;
CloudTrail-Lake
Query
YYYY
MM
DD
Query_ID
```
## 추가 리소스
+ [증거 찾기 문제 해결](evidence-finder-issues.md)
+ [증거 찾기에 대한 기본 내보내기 대상 구성](settings-export-destination.md)
# 증거 찾기에 대한 필터 및 그룹화 옵션
이 페이지에서 증거 찾기에서 사용할 수 있는 필터 및 그룹화 옵션 목록을 볼 수 있습니다.
## 참조 필터링
다음 필터를 사용하여 평가, 제어 또는와 같은 특정 기준과 일치하는 증거를 찾을 수 있습니다 AWS 서비스.
**주제**
+ [필수 필터](#required-filters)
+ [추가 필터(선택 사항)](#additional-filters)
+ [필터 결합](#combining-filters)
### 필수 필터
이 필터를 이용하여 평가 시의 증거에 대한 간략한 개요를 살펴볼 수 있습니다.
| 필터 이름 | 설명 | 주 |
| --- | --- | --- |
| **평가** | 특정 평가에 대한 증거를 보여줍니다. | 평가 하나로만 필터링할 수 있습니다. |
| **날짜 범위** | 특정 기간에 대한 증거를 보여줍니다. | *상대 범위*를 이용하여 오늘 날짜를 기준으로 범위를 정하거나(예: **Last 30 days**), 또는 *절대 범위*를 이용하여 특정 날짜 범위 를 지정할 수 있습니다(예: **June 27th – July 4th**). |
| 리소스 규정 준수 | 특정 규정 준수 검사 평가 결과를 가진 리소스를 보여줍니다. | Audit Manager는 AWS Config 및 Security Hub CSPM을 데이터 소스 유형으로 사용하는 제어에 대한 [규정 준수 검사 증거를](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#evidence) 수집합니다. 증거 수집 중에는 여러 리소스를 평가할 수 있습니다. 따라서 단일 규정 준수 검사 증거에는 하나 이상의 리소스가 포함될 수 있습니다. 이 필터를 이용하여 리소스 수준에서 규정 준수 상태를 탐색할 수 있습니다. 다음 중 하나 이상의 옵션을 선택할 수 있습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/evidence-finder-filters-and-groups.html) |
### 추가 필터(선택 사항)
이 필터를 이용하여 검색 쿼리의 범위를 좁힐 수 있습니다. 예를 들어, **서비스**를 이용하면 Amazon S3와 관련된 모든 증거를 볼 수 있습니다. **리소스 유형**을 이용하면 S3 버킷에만 초점을 맞출 수있습니다. 또는 **리소스 ARN**을 이용하여 특정 S3 버킷을 대상으로 정할 수 있습니다.
다음 기준 중 하나 이상을 이용하여 추가 필터를 생성할 수 있습니다.
| 기준 이름 | 설명 | 이 기준을 사용하는 경우 |
| --- | --- | --- |
| 계정 ID | 드릴다운 기준 AWS 계정. | 이 기준을 이용하면 특정 AWS 계정과 관련된 증거를 찾을 수 있습니다. |
| 컨트롤 | 컨트롤의 이름을 이용한 세부 검색 | 이 기준을 이용하면 특정 컨트롤과 관련된 증거를 찾을 수 있습니다. |
| 컨트롤 도메인 | 컨트롤 도메인을 이용한 세부 검색 | 이 기준을 이용하면 감사를 준비하면서 특정 주제 영역에 집중하게 됩니다. 표준 프레임워크에서 생성된 평가 결과를 쿼리하는 경우 컨트롤 도메인별로 필터링할 수 있습니다. 컨트롤 도메인의 예로는 네트워크 보안, 자격 증명 및 액세스 관리, 데이터 보호 등이 있습니다. 일부 제어 도메인은 Audit Manager가 AWS Control Catalog에서 제공하는 새 제어 도메인 세트로 전환**한 후 오래된** 것으로 표시될 수 있습니다. 자세한 내용은 [컨트롤 도메인이 '오래된' 것으로 표시되어 있습니다. 이것은 무엇을 의미하나요?](evidence-finder-issues.md#outdated-control-domains) 단원을 참조하십시오. |
| 데이터 원본 유형 | 데이터 소스의 유형을 기준을 이용한 세부 검색 | 이 기준을 이용하면 특정 데이터 소스에 초점을 맞출 수 있습니다. 수동으로 업로드한 증거를 찾으려면 값을 `Manual`로 설정합니다. 그렇지 않으면, 출처(예:, `AWS Config` `CloudTrail`, `Security Hub CSPM`, 또는`AWS API calls`)를 기준으로 자동 증거를 필터링할 수 있습니다. |
| Event name | 이벤트 이름을 기준을 이용한 세부 검색 | 이 기준을 이용하면 증거와 관련된 특정 사건에 초점을 맞출 수있습니다. 이벤트는 AWS 계정계정에서의 활동 기록을 말합니다. 예를 들면, 권한을 구성하는 데 사용되는 IAM `AttachRolePolicy` 작업과 같은 API 직접 호출의 이름을 검색할 수 있습니다. 또는, 사용자가 계정에 로그인할 때 CloudTrail에서 기록하는 `ConsoleLogin` 이벤트와 같은 CloudTrail 키워드를 검색할 수도 있습니다. |
| 리소스 ARN | Amazon 리소스 이름(ARN)을 이용한 세부 검색 | 이 기준을 이용하면 특정 AWS 리소스와 관련된 증거를 찾을 수 있습니다. |
| 리소스 유형 | 리소스 유형을 이용한 세부 검색 | 이 기준을 이용하여 Amazon EC2 인스턴스 또는 S3 버킷과 같이 평가 중인 리소스 유형에 초점을 맞출 수 있습니다. |
| 서비스: | AWS 서비스 이름으로 드릴다운합니다. | 이 기준을 사용하여 Amazon EC2 AWS 서비스, Amazon S3 또는 같은 특정와 관련된 증거를 찾을 수 있습니다 AWS Config. |
| 서비스 범주 | AWS 서비스 범주별로 드릴다운합니다. | 이 기준을 사용하여 특정 범주에 집중합니다 AWS 서비스.그 예로는 보안, ID, 규정 준수, 데이터베이스, 및 스토리지를 들 수 있습니다. |
### 필터 결합
#### 기준의 특성
둘 이상의 기준을 지정하면 Audit Manager는 선택한 이들 기준에 `AND` 연산자를 적용합니다. 즉, 모든 기준이 단일 쿼리로 그룹화되며, 그 결과는 결합된 모든 기준과 일치해야 합니다.
**예제**
다음 필터 설정에서, 증거 찾기는 **MySOC2Assessment**라고 하는 평가에 대해 지난 7일간의 규정 미준수 리소스를 보여줍니다. 또한, 그 결과는 IAM 정책 및 지정된 컨트롤 모두와 관련이 있습니다.
![\[적용 필터 선택(AND 연산자가 강조 표시된 상태)\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/images/evidence-finder-filter_description-console.png)
#### 기준 값의 특성
기준 값을 두 개 이상 지정하면 값이 이 값들은 `OR` 연산자로 연결됩니다. 증거 찾기는 이러한 기준 값 중 하나와 일치하는 결과를 보여줍니다.
**예제**
다음 필터 설정에서 증거 찾기는 AWS CloudTrail AWS Config또는에서 가져온 검색 결과를 반환합니다 AWS Security Hub CSPM.
![\[단일 기준에 대해 정의된 여러 값을 보여 주는 필터 설정의 예.\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/images/evidence-finder-filter_description-multiple_values-console.png)
## 그룹화 참조
검색 결과를 그룹화하여 더 빠르게 탐색할 수 있습니다. 그룹화하면 검색 결과의 범위와 검색 결과가 특정 차원에 어떻게 분포되어 있는지 확인할 수 있습니다.
다음 그룹화 기준 값 중 하나를 사용할 수 있습니다.
| 그룹화 기준 | 설명 |
| --- | --- |
| 계정 ID | 결과를 그룹화합니다 AWS 계정. |
| 컨트롤 | 컨트롤 이름을 기준으로 결과를 그룹화합니다. |
| 데이터 원본 유형 | 증거의 출처가 되는 데이터 소스 유형을 기준으로 결과를 그룹화합니다. |
| Event name | 이벤트 이름을 기준으로 결과를 그룹화합니다. |
| 리소스 ARN | Amazon 리소스 이름(ARN)을 기준으로 결과를 그룹화합니다. |
| 리소스 유형 | 리소스 유형을 기준으로 결과를 그룹화합니다. |
| 서비스: | AWS 서비스 이름을 기준으로 결과를 그룹화합니다. |
| 서비스 범주 | AWS 서비스 범주별로 결과를 그룹화합니다. |
# 증거 찾기의 사용 사례 예
증거 찾기는 여러 사용 사례에서 도움이 될 수 있습니다. 이 페이지에서는 몇 가지 예를 제공하고 각 시나리오에서 사용할 수 있는 검색 필터를 제안합니다.
**Topics**
+ [사용 사례 1: 규정 미준수는 증거을 찾아 위임단을 구성](#use-case-find-non-compliant-evidence)
+ [사용 사례 2: 규정 준수 증거 식별](#use-case-find-compliant-evidence)
+ [사용 사례 3: 증거 리소스의 빠른 미리 보기](#use-case-evidence-preview)
## 사용 사례 1: 규정 미준수는 증거을 찾아 위임단을 구성
이 사용 사례는 감사 준비를 감독하는 규정 준수 책임자, 데이터 보호 책임자, 또는 GRC 전문가에게 적합합니다.
조직의 규정 준수 상태를 모니터링할 때는 파트너 팀의 도움을 받아 문제를 해결해야 할 수도 있습니다. 증거 찾기를 이용하면 파트너 팀을 위해 업무를 체계적으로 정리할 수 있습니다.
필터를 적용하면 한 번에 한 영역에 대한 증거에 초점을 맞출 수있습니다. 또한, 함께 일하는 각 파트너 팀의 책임 및 범위에 지속적으로 일치 상태를 유지할 수 있습니다. 이러한 방식으로 대상을 정하여 검색을 수행하면 검색 결과를 이용하여 각 주제 영역에서 수정해야 할 사항을 정확히 식별할 수 있습니다. 그런 다음, 규정 미준수 증거를 해당 파트너 팀에 위임하여 수정하게 할 수 있습니다.
이 워크플로의 경우, [증거 검색](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html) 단계를 따르세요. 다음 필터를 이용하여 규정 미준수 증거를 찾습니다.
```
Assessment |
Date range |
Resource compliance | Non-compliant
```
그런 다음, 초점을 맞추고 있는 영역에 추가 필터를 적용합니다. 예를 들면, **서비스 범주** 필터를 이용하여 IAM과 관련된 규정 미준수 리소스를 찾을 수 있습니다. 그런 다음, 해당 결과를 조직의 IAM 리소스를 소유한 팀과 공유하세요. 또는, 표준 프레임워크에서 생성된 평가를 쿼리하는 경우라면 **컨트롤 도메인** 필터를 이용하여 ID 및 액세스 관리 도메인과 관련된 규정 미준수 증거를 찾을 수 있습니다.
```
Control domain |
or
Service category |
```
필요한 증거를 찾은 후, 단계에 따라 검색 결과에서 평가 보고서를 생성합니다. 지침은 [검색 결과에서 평가 보고서 생성](exporting-search-results-from-evidence-finder.md#generate-one-time-report-from-search-results) 섹션을 참조하세요. 이 보고서를 파트너 팀과 공유할 수 있으며, 파트너 팀은 이를 수정 체크리스트로 사용할 수 있습니다.
## 사용 사례 2: 규정 준수 증거 식별
이 사용 사례는 SecOps, IT/DevOps, 또는 클라우드 자산을 소유하고 관리하는 다른 역할에서 일하는 경우에 적합합니다.
감사의 일환으로, 소유한 리소스와 관련된 문제를 해결하라는 요청을 받을 수 있습니다. 이 작업을 수행한 후에는, 증거 찾기를 이용하여 리소스가 규정을 준수하는지 검증할 수 있습니다.
이 워크플로의 경우, [증거 검색](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html) 단계를 따르세요. 다음 필터를 이용하여 규정 준수 증거를 찾으세요.
```
Assessment |
Date range |
Resource compliance | Compliant
```
다음으로, 추가 필터를 적용하여 사용자의 책임에 해당하는 증거만 나타나게 하세요. 소유권의 범위에 따라, 필요에 따른 대상을 지정하여 검색하세요. 다음 필터 예는 가장 광범위한 것부터 가장 정확한 것의 순서로 나열되어 있습니다. 적합한 옵션을 선택하고, **를 자신의 값으로 바꾸세요.
```
Control domain |
Service category |
Service |
Resource type |
Resource ARN |
```
동일한 기준의 여러 인스턴스를 담당하는 경우(예: 여러 인스턴스를 소유하는 경우 AWS 서비스) 해당 값을 기준으로 [결과를 그룹](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder-filters-and-groups.html#groups)화할 수 있습니다. 이렇게 하면 각 AWS 서비스에 대한 일치하는 전체 증거를 확인할 수 있습니다. 그러면 담당하고 있는 서비스에 대한 결과를 얻을 수 있습니다.
## 사용 사례 3: 증거 리소스의 빠른 미리 보기
이 사용 사례는 모든 Audit Manager 고객에게 적합합니다.
이전에는 개별 증거의 세부 정보를 검토하는 데 시간이 많이 걸렸습니다. 증거를 미리 보려면 해당 평가로 바로 이동한 다음, 깊이 숨어 있는 증거 폴더를 탐색해야 했습니다. 이제 증거 찾기는 이 정보를 미리 볼 수 있는 편리한 방법을 제공합니다. 검색 쿼리와 일치하는 각 증거 항목에 대해 해당 증거에 대한 개별 리소스를 미리 볼 수 있습니다.
시작하려면 [증거 검색](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html) 단계를 따르세요. 그런 다음, 결과 옆의 라디오 버튼을 선택하여 현재 페이지의 리소스 요약을 확인합니다. 증거 항목과 관련된 개별 리소스를 미리 볼 수 있습니다. 모든 리소스에 대한 증거 세부 정보 전체를 보려면 증거 이름을 선택하세요. 자세한 내용은 [리소스 요약 미리 보기](viewing-search-results-in-evidence-finder.md#preview-evidence) 섹션을 참조하세요.
![\[검색 결과와 해당 결과에 대한 화면 리소스 요약의 예\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/images/evidence-finder-preview-console.png)