本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 证据查找器
证据查找器提供了一种在 Audit Manager 中搜索证据的强大功能。现在,您可以使用证据查找器快速查询证据,而不必通过浏览嵌套程度很高的证据文件夹来查找所需内容。如果您以委派管理员的身份使用证据查找器,则可以在组织中的所有成员账户中搜索证据。
使用筛选条件和分组的组合,可以逐步缩小搜索查询的范围。例如,如果您想从高层次查看系统运行状况,请进行广泛搜索并按评测、日期范围以及资源合规性进行筛选。如果您的目标是修复特定资源,则可以执行狭窄搜索,以瞄准特定控件或资源 ID 的证据。定义筛选条件后,您可分组并预览匹配的搜索结果,然后再创建评测报告。
若要使用证据查找器,必须从 Audit Manager 设置中启用此功能。
## 关键点
### 了解证据查找器如何与 Lak CloudTrail e 配合使用
证据查找器使用 [AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) 的查询和存储功能。在开始使用证据查找器之前,进一步了解 La CloudTrail ke 的工作原理会很有帮助。
CloudTrail Lake 将数据聚合到支持强大的 SQL 查询的单个可搜索事件数据存储中。这意味着您可在组织中搜索自定义时间范围内的数据。您可借助证据查找器,直接在 Audit Manager 控制台中使用此搜索功能。
当您请求启用证据查找器,Audit Manager 会代表您创建事件数据存储。启用证据查找器后,所有未来的 Audit Manager 证据都将导入事件数据存储中,供证据查找器搜索查询。启用证据查找器后,我们还会通过您过去两年的证据数据回填新创建的事件数据存储库。如果您以委派管理员的身份使用证据查找器,我们会回填您组织中所有成员账户的数据。
您的所有证据数据,无论是回填的还是新证据,都将在事件数据存储中保留 2 年。您可以随时更改默认留存期。有关说明信息,请参阅 *AWS CloudTrail 用户指南*中的[更新事件数据存储](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-lake-cli.html#lake-cli-update-eds.)。您可以在事件数据存储中保存事件数据长达七年,即2555天。
**注意**
向事件数据存储中添加新的证据数据时,会产生数据存储和摄取的 CloudTrail Lake 费用。
对于 CloudTrail Lake 查询,您需要按使用量付费。这意味着,对于您在证据查找器中运行的每项搜索查询,您都需要为扫描的数据付费。
有关 CloudTrail Lake 定价的更多信息,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
## 后续步骤
要开始使用,请从 Audit Manager 设置中启用证据查找器。有关说明,请参阅[启用证据查找器](evidence-finder-settings-enable.md)。
## 其他资源
+ [使用证据查找器搜索证据](search-for-evidence-in-evidence-finder.md)
+ [查看证据查找器中的结果](viewing-search-results-in-evidence-finder.md)
+ [证据查找器的筛选条件和分组选项](evidence-finder-filters-and-groups.md)
+ [证据查找器示例使用案例](example-use-cases-for-evidence-finder.md)
+ [证据查找器问题排查](evidence-finder-issues.md)
# 使用证据查找器搜索证据
您可以使用证据查找器执行特定搜索,并快速显示相关证据以供审核。
在此页面上,您将了解如何按评测、日期范围、资源合规性状态及其他属性等条件筛选搜索。应用这些筛选条件可以将搜索范围缩小到您需要的证据。您还可以按特定字段对结果进行分组,以便更好地分析其中的规律。
## 先决条件
确保您已完成在 Audit Manager 设置中启用证据查找器的步骤。有关说明,请参阅[启用证据查找器](evidence-finder-settings-enable.md)。
此外,确保您有权使用证据查找器执行搜索查询。有关您可以使用的权限策略示例,请参阅[允许用户在证据查找器中运行搜索查询](security_iam_id-based-policy-examples.md#evidence-finder-query-access)。
## 过程
按以下步骤在 Audit Manager 控制台中搜索证据。
1. [执行搜索查询](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#performing-a-search)
1. [停止正在进行的搜索查询(可选)](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#stopping-a-search)
1. [编辑搜索查询的筛选条件(可选)](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#editing-a-search)
**注意**
您也可以使用 CloudTrail API 来查询您的证据数据。有关更多信息,请参阅《AWS CloudTrail API Reference》**中的 [StartQuery](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_StartQuery.html)。如果您更喜欢使用 AWS CLI,请参阅《*AWS CloudTrail 用户指南》*中的[开始查询](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-lake-cli.html#lake-cli-start-query)。
### 执行搜索查询
按以下步骤在证据查找器中执行搜索查询。
**若要搜索证据**
1. 在[https://console.aws.amazon.com/auditmanager/家](https://console.aws.amazon.com/auditmanager/home)中打开 AWS Audit Manager 控制台。
1. 在导航窗格中,选择**证据查找器**。
1. 接下来,应用筛选条件以缩小搜索范围。
1. 对于**评测**,请选择一项评测。
1. 对于**日期范围**,选择一个范围。
1. 对于**资源合规性**,请选择评测状态。
![\[证据查找器中所需的评测、日期范围和资源合规性筛选条件。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/evidence-finder-required_filters-console.png)
1. (可选)选择**其他筛选条件(可选)**以进一步缩小搜索范围。
1. 选择**添加标准**,选择一项标准,然后为该标准选择一个或多个值。
1. 继续按同样的方式构建更多筛选条件。
1. 若要移除不需要的筛选条件,请选择**移除**。
![\[证据查找器中用于特定控件的附加筛选条件。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/evidence-finder-additional_filters-console.png)
1. 在**分组**下,指定是否要对搜索结果进行分组。
1. 如果要对结果分组,请选择一个值作为此结果分组依据。
1. 如果不想对结果分组,请继续执行第 6 步。
![\[选定分组结果选项,按值选择分组。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/evidence-finder-grouping-console.png)
1. 选择**搜索**。
![\[用于在证据查找器中启动搜索查询的搜索按钮。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/evidence-finder-search-console.png)
您的搜索可能需要几分钟,具体取决于您的证据数据量。在搜索过程中,您可随意离开证据查找器。搜索结果准备就绪时,您会获得闪光栏通知。
### 停止搜索查询
如果出于任何原因要停止搜索查询,请按下列步骤操作。
**注意**
停止搜索查询,仍会产生费用。对于停止搜索查询之前扫描的证据数据量,您需要支付费用。停止后,您可查看返回的部分结果。
**若要停止正在进行的搜索查询**
1. 在屏幕顶部的蓝色进度闪烁栏中,选择**停止搜索**。
![\[表示搜索查询何时进行的蓝色闪光条。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/in_progress_search-evidence-finder-console.png)
1. (可选)查看在停止搜索查询前返回的部分结果。
1. 如果您在证据查找器页面,则屏幕上会显示部分结果。
1. 如果您离开了证据查找器,请在绿色确认闪光栏中选择**查看部分结果**。
![\[表示搜索停止时间的绿色闪光条。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/stopped_search-evidence-finder-console.png)
### 编辑搜索筛选条件
按以下步骤返回至最近的搜索查询,并根据需要调整筛选条件。
**注意**
当您编辑筛选条件并选择 **搜索** 时,将启动一个新的搜索查询。
**若要编辑最近的搜索查询**
1. 在**查看结果** 页面,从页面导览痕迹导航菜单中选择**证据查找器**。
![\[控制台上突出显示了证据查找器的面包屑导航菜单。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/breadcrumb_menu-evidence-finder-console.png)
1. 选择 **筛选条件和分组** 以展开筛选条件选择。
![\[证据查找器的可扩展筛选条件和分组部分。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/expand_filters-evidence-finder-console.png)
1. 接下来,编辑您的筛选条件或开始新搜索。
1. 要编辑筛选条件,请调整或移除当前的筛选条件和分组选择。
1. 要重新开始,请选择 **清除筛选条件**,然后应用您选择的筛选条件和分组选项。
![\[“清除筛选条件” 按钮可用于重新开始新的搜索查询。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/evidence-finder-clear_filters-console.png)
1. 完成此操作后,选择**搜索**。
![\[用于在证据查找器中启动新搜索查询的搜索按钮。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/evidence-finder-search-console.png)
## 后续步骤
搜索完成后,您可查看符合搜索条件的结果。有关说明,请参阅[查看证据查找器中的结果](viewing-search-results-in-evidence-finder.md)。
## 其他资源
+ [证据查找器的筛选条件和分组选项](evidence-finder-filters-and-groups.md)
+ [证据查找器示例使用案例](example-use-cases-for-evidence-finder.md)
+ [证据查找器问题排查](evidence-finder-issues.md)
# 查看证据查找器中的结果
搜索完成后,您可查看符合搜索条件的结果。
请记住,在收集证据期间,可能需要评测多种资源。因此,证据中可能包含一个或多个相关资源。在证据查找器中,结果以资源级别显示,每种资源对应一行。您无需离开页面即可预览每种资源摘要。
查看搜索结果后,您可生成包含该证据的评测报告。您可以将资源搜索查询结果导出为逗号分隔值(.csv)文件。
**重要**
浏览完搜索结果之前,我们建议您保持证据查找器处于打开状态。当您离开**查看结果**表格时,您的搜索结果将被丢弃。如果需要,您可以在 CloudTrail 控制台中[查看最近的结果](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-results.html),网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。在此,您的搜索查询结果可保留七天。但是,请记住,您无法在 CloudTrail 控制台中根据搜索结果生成评估报告。
## 先决条件
以下程序假设您已经按照相应步骤在证据查找器中[执行搜索](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html)。
## 过程
按以下步骤在证据查找器中查看搜索结果。
**任务**
+ [步骤 1:查看分组结果](#review-grouped-results)
+ [步骤 2:查看搜索结果](#review-search-results)
+ [管理您的查看首选项](#manage-preferences)
+ [预览资源摘要](#preview-evidence)
### 步骤 1:查看分组结果
如果您对结果进行了分组,则可以在更深入地研究证据前查看分组。
**注意**
如果您没有对结果分组,则证据查找器不会显示 **按结果分组**表。相反,您看到直接进入**查看结果**表。
使用**按结果分组**表了解匹配证据的广度,及其在特定维度的分布情况。结果按您选定的值分组。例如,如果您按**资源类型**分组,则该表将显示 AWS 资源类型列表。**证据总数**列显示每种资源类型的匹配结果数。
![\[证据查找器中的“按结果分组”表。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/evidence-finder-group_by_table-console.png)
**若要获取分组结果**
1. 从 **按结果分组** 表中,选择要获得的结果所在的行。
1. 选择**获取结果**。启动一项新搜索查询,并将您重定向至**查看结果**表,您可以在其中查看该组的结果。
### 步骤 2:查看搜索结果
**查看结果** 表显示您的搜索结果。在这里,您可以管理查看首选项以及预览资源摘要。
#### 管理您的查看首选项
您的查看首选项控制您在结果页面看到的内容。
**若要管理您的观看首选项**
1. 在**查看结果**表顶部选择设置图标 (⚙)。
1. 按需要查看和更改以下设置:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/viewing-search-results-in-evidence-finder.html)
1. 选择**确认**以保存首选项。
#### 预览资源摘要
您可以预览与您的搜索查询匹配的证据的相关资源。这可以帮助您确定搜索查询是否返回了预期结果,或者您是否需要调整筛选条件和重新运行搜索查询。
切记,证据可能包含一个或多个相关资源。证据查找器在资源级别显示结果(每种资源对应一行)。
**注意**
证据查找器返回自动和手动证据结果。但是,您只能预览自动证据资源摘要。原因是 Audit Manager 不对手动证据进行资源评测,因此没有可用的资源摘要。
若要查看有关人工证据的详细信息,请选择证据名称以打开证据详细信息页面。如果您根据证据搜索结果生成评测报告,则评测报告中将纳入手动证据详细信息。
**若要预览资源摘要**
1. 选中结果旁的单选按钮。打开当前页面上的资源摘要面板。
1. (可选)若要查看相关证据的完整详细信息,请选择证据名称。
1. (可选)使用水平线 (**=**) 拖动资源摘要窗格,并调整其大小。
1. 选择 (**x**) 以关闭资源摘要窗格。
![\[证据查找器中查看结果页面的示例资源摘要。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/evidence-finder-preview-console.png)
## 后续步骤
查看搜索结果后,您可以根据结果生成评测报告,也可以将结果导出为 CSV 文件。有关说明,请参阅[从证据查找器导出搜索结果](exporting-search-results-from-evidence-finder.md)。
## 其他资源
+ [证据查找器的筛选条件和分组选项](evidence-finder-filters-and-groups.md)
+ [证据查找器示例使用案例](example-use-cases-for-evidence-finder.md)
+ [证据查找器问题排查](evidence-finder-issues.md)
# 从证据查找器导出搜索结果
查看搜索结果后,您可以根据这些结果生成评测报告。或者,您也可以将证据查找器搜索结果导出为 CSV 文件。
## 先决条件
以下程序假设您已经按照相应步骤在证据查找器中[执行搜索](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html)并[查看搜索结果](https://docs.aws.amazon.com/audit-manager/latest/userguide/viewing-search-results-in-evidence-finder.html)。
## 过程
**Contents**
+ [根据搜索结果生成评测报告](#generate-one-time-report-from-search-results)
+ [将搜索结果导出为 CSV 文件](#export-search-results)
+ [导出结果后查看](#viewing-results-after-export)
### 根据搜索结果生成评测报告
对搜索结果感到满意后,可生成评测报告。
**若要根据您的搜索结果生成评测报告**
1. 在**查看结果** 表顶部,选择**生成评测报告**。
1. 输入评测报告的名称与描述,然后查看评测报告的详细信息。
1. 选择**生成评测报告**。
评测报告的生成需要几分钟时间。发生这种情况时,您可以离开证据查找器,绿色成功通知将确认报告准备就绪的时间。然后,您可以前往 Audit Manager 下载中心[下载您的评测报告](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html#download-a-file)。
**注意**
Audit Manager 仅通过搜索结果中的证据生成一次性报告。该报告不包括[从评测页面手动添加至报告](https://docs.aws.amazon.com/audit-manager/latest/userguide/generate-assessment-report-include-evidence.html)的任何证据。
评测报告中包含的证据数量有一定限制。有关更多信息,请参阅 [证据查找器问题排查](evidence-finder-issues.md)。
### 将搜索结果导出为 CSV 文件
对于证据查找器搜索结果,您可能需要可移植版本。在这种情况下,您可以将搜索结果导出为 CSV 格式文件。
导出搜索结果后,CSV 文件可在 Audit Manager 下载中心保留七天,以供下载。CSV 文件的副本还会传送至您的首选 S3 存储桶,即所谓的*导出目标*。您的 CSV 文件在此存储桶中仍可用,直至您删除该文件。
Audit Manager 使用 [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) 功能从证据查找器中导出和交付 CSV 文件。以下因素定义了 CSV 导出过程的运行原理:
+ 您的所有搜索结果都包含在 CSV 格式文件中。如果您只想纳入特定搜索结果,我们建议您[编辑搜索筛选条件](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#editing-a-search)。这样,您可以缩小结果范围,即仅针对要导出的证据。
+ CSV 文件以压缩 GZIP 格式导出。默认 CSV 文件名为 `queryID/result.csv.gz`,其中 `queryID` 是您的搜索查询的 ID。
+ 导出的最大 CSV 格式文件为 1 TB。如果您要导出超过 1 TB 的数据,则该结果将拆分为多个文件。每个 CSV 文件都以`result_number.csv.gz`命名。您获得的 CSV 文件数量,取决于搜索结果的总大小。例如,导出 2 TB 的数据会为您提供两个查询结果文件:即 `result_1.csv.gz` 和 `result_2.csv.gz`。
+ 除了 CSV 文件外,您的 S3 存储桶还会收到 JSON 签名文件。该文件充当校验和,用于验证 CSV 文件中的信息是否准确。要了解更多信息,请参阅《*AWS CloudTrail 开发人员指南》*中的[CloudTrail 签名文件结构](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-results-file-validation-sign-file-structure.html)。要确定查询结果在传送后是被修改、删除还是未更改,您可以使用 CloudTrail 查询结果完整性验证。若要了解更多信息,请参阅*AWS CloudTrail 开发人员指南*中的[验证已保存的查询结果](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-query-results-validation-intro.html)。
**注意**
目前,证据查找器预览或 CSV 导出中不包含手动证据文字回复。要查看文本响应数据,请在证据查找器结果中选择手动证据名称以打开证据详细信息页面。如果您需要在 Audit Manager 控制台之外查看文字回复数据,我们建议您根据证据查找器的结果生成评测报告。所有手动证据细节(包括文字答复)都包含在评测报告中。
#### 首次导出结果
按以下步骤首次导出搜索结果。您可通过此程序选项,指定所有未来导出的默认导出目标。如果您现在不想保存默认导出目标,可以稍后通过[更新导出目标设置](https://docs.aws.amazon.com/audit-manager/latest/userguide/settings-export-destination.html)进行保存。
**重要**
在开始之前,请确保您有 S3 存储桶可用作导出目标。您可以使用现有的 S3 存储桶之一,也可以[在 Amazon S3 中创建新存储桶](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)。为了获得最佳安全性和性能,我们建议在与评估相同的 AWS 账户和区域中使用 S3 存储桶。此外,您的 S3 存储桶必须具有允许 CloudTrail 向其写入导出文件所需的权限策略。更具体地说,存储桶策略必须包括`s3:PutObject`操作和存储桶 ARN,并列 CloudTrail 为服务委托人。我们提供了一个[权限策略示例](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_resource-based-policy-examples.html)以供您使用。有关如何将此策略附加至 S3 存储桶的说明,请参阅[使用 Amazon S3 控制台添加存储桶策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)。
有关更多提示,请参阅[导出目标的配置提示](settings-export-destination.md#settings-export-destination-tips)。如果在导出 CSV 文件时遇到任何问题,请参阅 [](evidence-finder-issues.md#csv-exports)。
**导出搜索结果(首次运行体验)**
1. 在**查看结果**表顶部,选择**导出 CSV**。
1. 指定要将文件导出的目标 S3 存储桶。
+ 选择 **浏览 S3**,从您的存储桶列表中选择。
+ 或者,您可以输入以下格式的存储桶 URI:**s3://bucketname/prefix**
**提示**
要使目标存储桶井井有条,您可以为 CSV 导出创建一个可选文件夹。为此,请在**资源 URI** 框中的值前后附加一个斜杠 (**/**) 和一个前缀(例如 **/evidenceFinderExports**)。然后,Audit Manager 在将 CSV 文件添加至存储桶时会包含此前缀,而且 Amazon S3 会生成由该前缀指定的路径。有关 Amazon S3 中前缀的更多信息,请参阅* Amazon Simple Storage Service *用户指南中的[ Amazon S3 控制台中的组织对象](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html)。
1. (可选)如果您不想将此存储桶保存为默认导出目标,请清除复选框 **将此存储桶保存为证据查找器设置中的默认导出目标**。
1. 选择**导出**。
#### 保存导出目标后导出您的结果
将默认 S3 存储桶保存为默认导出目标后,您可继续执行以下步骤。
**若要导出搜索结果(在保存默认导出目标之后)**
1. 在**查看结果**表顶部,选择**导出 CSV**。
1. 在出现的提示中,查看保存导出文件的默认 S3 存储桶。
1. (可选)要继续使用此存储桶并继续隐藏此消息,请选中 **不再提醒** 复选框。
1. (可选)若要更改此存储桶,请按步骤[更新您的导出目标设置](https://docs.aws.amazon.com/audit-manager/latest/userguide/settings-export-destination.html)。
1. 选择**确认**。
根据您要导出的数据量,导出过程可能需要几分钟完成。在导出过程中,您可随意离开证据查找器。当您离开证据查找器后,搜索将停止,搜索结果将被丢弃在控制台。但是,CSV 导出进程将在后台继续进行。CSV 文件将包含与您的查询匹配的完整搜索结果集。
#### 导出结果后查看
要查找 CSV 文件并查看其状态,请前往 Audit Manager [Audit Manager 下载中心](download-center.md)。导出文件准备就绪后,您可以从下载中心[下载 CSV 文件](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html#download-a-file)。
您也可从导出目标 S3 存储桶中查找和下载 CSV 文件。
**若要在 Amazon S3 控制台中查找您的 CSV 文件和签名文件**
1. 打开 [Amazon S3 控制台](https://console.aws.amazon.com/s3/)。
1. 选择您在导出 CSV 文件时所指定的导出目标存储桶。
1. 在对象层次结构中导航,直至找到 CSV 文件和签名文件。CSV `.csv.gz`文件具有扩展名,符号`.json`文件具有扩展名。
您将看到一个与下面示例类似的对象层次结构,但具体存储桶名称、账户 ID、日期和查询 ID 有所不同。
```
All Buckets
Export_Destination_Bucket_Name
AWSLogs
Account_ID;
CloudTrail-Lake
Query
YYYY
MM
DD
Query_ID
```
## 其他资源
+ [证据查找器问题排查](evidence-finder-issues.md)
+ [为证据查找器配置默认导出目标](settings-export-destination.md)
# 证据查找器的筛选条件和分组选项
在此页面上,您可以查看证据查找器中可用的筛选条件和分组选项列表。
## 筛选条件参考
您可以使用以下过滤器来查找符合特定标准的证据,例如评估、对照或 AWS 服务。
**主题**
+ [必要筛选条件](#required-filters)
+ [其他筛选条件(可选)](#additional-filters)
+ [组合筛选条件](#combining-filters)
### 必要筛选条件
使用这些筛选条件,开始对评测中的证据进行简要概述。
| 筛选条件名称 | 说明 | 注意 |
| --- | --- | --- |
| **评测** | 返回特定评测证据。 | 您只能按一项评测筛选。 |
| **日期范围** | 返回特定时间段内的证据。 | 或者,您也可以使用*相对范围*定义相对于今天日期的范围(例如**Last 30 days**)。 或者,您可以使用*绝对范围* 指定特定的日期范围(例如**June 27th – July 4th**)。 |
| 资源合规性 | 返回经特定合规性检查评测的资源。 | Audit Manager 收集使用 AWS Config 和 S [ecurity Hub CSPM 作为数据源类型的控件的合规性检查证据](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#evidence)。在收集证据期间,可能需要评测多种资源。因此,一份合规性检查证据可包含一个或多个资源。您可以使用此筛选条件浏览资源级别的合规性状态。 您可以选择以下选项之一: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/evidence-finder-filters-and-groups.html) |
### 其他筛选条件(可选)
使用这些筛选条件缩小搜索查询范围。例如,使用**服务**查看与 Amazon S3 关联的所有证据。使用**资源类型**功能,可以仅关注 S3 存储桶。或者,使用**资源 ARN** 定位特定的 S3 存储桶。
您可使用以下条件创建其他筛选条件。
| 条件名称 | 说明 | 何时使用此条件 |
| --- | --- | --- |
| 账户 ID | 向下钻取 AWS 账户。 | 使用此条件查找与特定 AWS 账户相关的证据。 |
| 控件 | 按控件名称向下钻取。 | 使用此条件查找与特定控件相关的证据。 |
| 控件域 | 按控件域向下钻取。 | 为审计做准备时,使用此标准将重点放在特定的主题领域。如果您要查询按标准框架创建的评测,则可以按控制域进行筛选。 控件域的示例包括网络安全、身份和访问管理以及数据保护。 在审计管理器过渡到控制目录提供的一组新的控制域之后,某些控制域可能会被 AWS 标记为 “**已过**期”。有关更多信息,请参阅 [我看到控件域被标记为“已过时”。这意味着什么?](evidence-finder-issues.md#outdated-control-domains)。 |
| 数据来源类型 | 按数据来源类型向下钻取。 | 使用此条件将重点放在特定数据来源。 将该值设置为 `Manual`,以查找您手动上传的证据。否则,您可以根据自动证据的来源(例如`AWS Config`、`CloudTrail`、`Security Hub CSPM` 或 `AWS API calls`)筛选自动证据。 |
| 事件名称 | 按事件名称向下钻取。 | 使用此条件,将重点放在与证据相关的特定事件。事件指的是 AWS 账户中的某一活动的记录。 例如,您可以搜索 API 调用的名称,如用于配置权限的 IAM `AttachRolePolicy` 操作。或者,搜索 CloudTrail 关键字,例如用户登录您的账户 CloudTrail 时记录`ConsoleLogin`的事件。 |
| 资源 ARN | 按Amazon 资源名称(ARN)向下钻取。 | 使用此条件查找与特定 AWS 资源相关的证据。 |
| 资源类型 | 按资源类型向下钻取。 | 使用此条件,重点关注正在评测的资源类型,例如 Amazon EC2 实例或 S3 存储桶。 |
| 服务 | 按 AWS 服务 名称向下钻取。 | 使用此标准查找与特定 AWS 服务内容相关的证据,例如 Amazon EC2、Amazon S3 或 AWS Config。 |
| 服务类别 | 按 AWS 服务 类别向下钻取。 | 使用此标准将重点放在特定的类别上 AWS 服务。示例包括安全性、身份和合规性、数据库以及存储。 |
### 组合筛选条件
#### 条件行为
指定多个条件时,Audit Manager 会针对您的选择应用 `AND` 运算符。这意味着所有条件都被分组至同一查询中,并且结果必须与所有组合条件相匹配。
**示例**
在以下筛选条件设置中,证据查找器返回过去 7 天内调用的**MySOC2Assessment**不合规评测资源。此外,结果与 IAM policy 以及指定控件有关。
![\[选择已应用的筛选条件,并突出显示 AND 运算符。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/evidence-finder-filter_description-console.png)
#### 条件值行为
当您指定多个条件值时,这些值将与 `OR` 运算符相关联。证据查找器返回与这些条件值中的任何一个都匹配的结果。
**示例**
在以下筛选器设置中,证据查找器返回来自 AWS CloudTrail AWS Config、或的搜索结果 AWS Security Hub CSPM。
![\[显示为单个条件定义的、多个值的筛选条件设置示例。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/evidence-finder-filter_description-multiple_values-console.png)
## 分组引用
您可以对搜索结果进行分组,以更快导航。分组显示搜索结果的广度,及其在特定维度上的分布情况。
您可使用以下任意分组值。
| 分组依据 | 说明 |
| --- | --- |
| 账户 ID | 按以下方式对结果进行分组 AWS 账户。 |
| 控件 | 按控件名称对结果分组。 |
| 数据源类型 | 按证据来源的数据来源类型对结果分组。 |
| 事件名称 | 按事件名称对结果分组。 |
| 资源 ARN | 按Amazon 资源名称(ARN)对结果分组。 |
| 资源类型 | 按资源类型对结果分组。 |
| 服务 | 按 AWS 服务 名称对结果进行分组。 |
| 服务类别 | 按 AWS 服务 类别对结果进行分组。 |
# 证据查找器示例使用案例
证据查找器可以帮助您解决多个用例问题。本页提供了一些示例,并建议了您可以在每种情况下使用的搜索筛选条件。
**Topics**
+ [用例 1:查找不合规的证据并组织委派](#use-case-find-non-compliant-evidence)
+ [用例 2:识别合规证据](#use-case-find-compliant-evidence)
+ [用例 3:快速预览证据资源](#use-case-evidence-preview)
## 用例 1:查找不合规的证据并组织委派
如果您是监管审计准备工作的合规官、数据保护官员或 GRC 专业人员,则此用例非常理想。
在监控组织的合规状况时,您可依靠合作伙伴团队帮助您修复问题。您可以使用证据查找器,帮助您为合作伙伴团队组织工作。
通过应用筛选条件,您可以每次专注于一个区域的证据。此外,您还可以与您合作的每个伙伴团队的职责和范围保持一致。通过以这种方式执行有针对性搜索,您可以使用搜索结果确定每个学科领域中需要补救的内容。然后,您可以将不合规的证据委托至相应的合作伙伴团队,以进行补救。
对于此工作流程,请按此步骤 [搜索证据](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html)。使用以下筛选条件查找不合规证据。
```
Assessment |
Date range |
Resource compliance | Non-compliant
```
下一步,为您关注的区域应用其他筛选条件。例如,使用**服务类别**筛选条件,查找与 IAM 相关的不合规资源。然后,与为您的组织中拥有 IAM 资源的团队共享这些结果。或者,如果您要查询按标准框架创建的评测,则可以使用**控件域** 筛选条件查找与身份和访问管理域相关的不合规证据。
```
Control domain |
or
Service category |
```
找到所需的证据后,请按步骤根据搜索结果生成评测报告。有关说明,请参阅[根据搜索结果生成评测报告](exporting-search-results-from-evidence-finder.md#generate-one-time-report-from-search-results)。您可与合作伙伴团队共享此报告,他们可以将其用作补救清单。
## 用例 2:识别合规证据
如果您在 SecOps、IT/ 或其他拥有和修复云资产的职位上工作DevOps,则此用例非常理想。
在审计过程中,可能会要求您修复自己所拥有的资源的问题。完成此项工作后,您可以使用证据查找器验证资源是否合规。
对于此工作流程,请按此步骤 [搜索证据](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html)。使用以下筛选条件查找合规证据。
```
Assessment |
Date range |
Resource compliance | Compliant
```
接下来,应用其他筛选条件,以仅显示您应负责的证据。根据您的所有权范围,按需要进行有针对性的搜索。以下筛选条件示例按从最宽到最精确的顺序排列。为您选择合适的选项,然后用您自己的值替换。**
```
Control domain |
Service category |
Service |
Resource type |
Resource ARN |
```
如果您负责同一标准的多个实例(例如,您拥有多个实例 AWS 服务),则可以按该值对[结果进行分组](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder-filters-and-groups.html#groups)。这为您提供了每种 AWS 服务的全部匹配结果。然后,您可以获得自己的服务结果。
## 用例 3:快速预览证据资源
此用例非常适合所有 Audit Manager 客户。
以前,审查个人证据细节非常耗时。如果您想预览证据,您必须直接进入评测,然后浏览深度嵌套的证据文件夹。现在,证据查找器提供了一种便捷的方式预览这些信息。对于与您的搜索查询相匹配的每个证据项目,您可预览该证据的各个资源。
首先,请按步骤 [搜索证据](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html)。然后,选中结果旁边的单选按钮,查看当前页面的资源摘要。您可以预览与证据项目相关的每项单独资源。要查看任何资源的完整证据的详细信息,请选择证据名称。有关更多信息,请参阅 [预览资源摘要](viewing-search-results-in-evidence-finder.md#preview-evidence)。
![\[搜索结果及其结果的屏幕资源摘要示例。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/evidence-finder-preview-console.png)