本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Audit Manager 控件示例
您可以查看本页上的示例,详细了解 AWS Audit Manager中的控件工作原理。
在 Audit Manager 中,控件可以自动从四种数据来源类型收集证据:
1. **AWS CloudTrail**— 从 CloudTrail 日志中捕获用户活动并将其作为用户活动证据导入
1. **AWS Security Hub CSPM**— 从 Security Hub CSPM 收集调查结果并将其作为合规检查证据导入
1. **AWS Config** – 从 AWS Config 中收集规则评估结果并将其作为合规性检查证据导入
1. **AWS API 调用** — 从 API 调用中捕获资源快照并将其作为配置数据证据导入
请注意,某些控件使用这些预定义的数据来源群组来收集证据。这些数据来源群组被称为 [AWS 托管式来源](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#aws-managed-source)。每个 AWS 托管源代表一个普通控件或一个核心控件。这些托管式来源为您提供了一种有效的方法,将您的合规性要求与一组相关的底层数据来源对应起来,这些数据来源由 AWS的[行业认证评估员](https://aws.amazon.com/professional-services/security-assurance-services/)负责验证和维护。
本页的示例显示了控件如何从每种数据来源类型收集证据。这些示例描述了控件的外观、Audit Manager 从数据来源收集证据的方式,以及您为证明合规性可以采取的后续步骤。
**提示**
我们建议您启用 AWS Config 和 Security Hub CSPM,以便在 Audit Manager 中获得最佳体验。启用这些服务后,Audit Manager 可以使用 Security Hub CSPM 调查结果 AWS Config 规则 并生成自动证据。
[启用 AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)后,确保您还 [支持所有安全标准](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-enable-disable.html#securityhub-standard-enable-console) ,并 [打开整合控件调查发现设置](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#turn-on-consolidated-control-findings)。此步骤可确保 Audit Manager 可以导入所有支持合规标准的调查发现。
[启用](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html)后 AWS Config,请确保您还为与审计[相关的合规性标准启用](https://docs.aws.amazon.com/config/latest/developerguide/setting-up-aws-config-rules-with-console.html)[相关内容 AWS Config 规则或部署合规包](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-console.html)。此步骤可确保 Audit Manager 可以导入您启用的所有支持 AWS Config 规则 内容的调查结果。
包含以下每种类型的控件示例:
**Topics**
+ [AWS Security Hub CSPM 用作数据源类型的自动控件](#automated-security-hub)
+ [AWS Config 用作数据源类型的自动控件](#automated-config)
+ [使用 AWS API 调用作为数据源类型的自动控件](#automated-api)
+ [AWS CloudTrail 用作数据源类型的自动控件](#automated-cloudtrail)
+ [手动控件](#manual)
+ [具有混合数据来源类型(自动和手动)的控件](#mixed)
## AWS Security Hub CSPM 用作数据源类型的自动控件
此示例显示了 AWS Security Hub CSPM 用作数据源类型的控件。此标准控件取自 [AWS 基础安全最佳实践标准 (FSBP) ](https://docs.aws.amazon.com/audit-manager/latest/userguide/aws-foundational-security-best-practices.html)框架。Audit Manager 使用此控制来生成证据,以帮助您的 AWS 环境符合 FSBP 要求。
**控件细节示例**
+ **控件名称** - `FSBP1-012: AWS Config should be enabled`
+ **控件集** – `Config`。这是特定于框架的一组 FSBP 控件,与配置管理相关。
+ **证据来源** - 各项数据来源
+ **数据源类型** — AWS Security Hub CSPM
+ **证据类型** - 合规性检查
在以下示例中,此控件显示在基于 FSBP 框架创建的 Audit Manager 评测中。
![\[屏幕截图显示了评估中的 Security Hub CSPM 控件。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/control-example-automated_securityhub-console.png)
评测显示控件状态。还显示了迄今为止为此控件收集了多少证据。在这里,您可以委托控件审阅,也可以自己完成审阅。选择控件名称会打开详情页面,其中包含更多信息,包括该控件的证据。
**此控件的作用**
此控件要求在所有使用 AWS Config Security Hub CSPM AWS 区域 的地方都启用该控件。Audit Manager 可以使用此控件来检查您是否已启用 AWS Config。
**Audit Manager 如何为此控件收集证据**
Audit Manager 采取以下措施来为此控件收集证据:
1. 对于每项控件,Audit Manager 都会评测您的范围内资源。它使用控件设置中指定的数据来源来执行此操作。在此示例中,您的 AWS Config 设置是资源,Security Hub CSPM 是数据源类型。Audit Manager 会查找特定 Security Hub CSPM 检查([[Config.1](https://docs.aws.amazon.com/securityhub/latest/userguide/config-controls.html#config-1)])的结果。
1. 资源评测结果将被保存并转化为审计员友好证据。Audit Manager 为使用 S *ecurity Hub CSPM 作为数据源类型的控制生成合规性检查*证据。该证据包含直接从 Security Hub CSPM 报告的合规检查结果。
1. Audit Manager 将已保存证据附加至您命名为`FSBP1-012: AWS Config should be enabled`的评测。
**如何使用 Audit Manager 证明该控件的合规性**
将证据附至控件后,您(或您选择的委托人)可以审核证据,了解是否需要采取任何补救措施。
在此示例中,Audit Manager 可能会显示来自 Security Hub CSPM 的*失败*裁决。如果您尚未启用,则可能会发生这种情况 AWS Config。在这种情况下,您可以采取更正措施,即启用 AWS Config,这有助于使您的 AWS 环境符合 FSBP 要求。
当您的 AWS Config 设置与控件一致时,请将控件标记为*已审核*,并将证据添加到您的评估报告中。然后,您可以与审计员共享此报告,以证明控件按预期运行。
## AWS Config 用作数据源类型的自动控件
此示例显示了 AWS Config 用作数据源类型的控件。这是取自 [AWS Control Tower 防护机制](https://docs.aws.amazon.com/audit-manager/latest/userguide/controltower.html) 框架的标准控件。Audit Manager 使用此控制来生成证据,帮助您的 AWS 环境与 AWS Control Tower 护栏保持一致。
**控件细节示例**
+ **控件名称** - `CT-4.1.2: 4.1.2 - Disallow public write access to S3 buckets`
+ **控件集** - 此控件属于 `Disallow public access` 控件集。这是一组与访问管理相关的控件。
+ **证据来源** - 单个数据来源
+ **数据源类型** — AWS Config
+ **证据类型** - 合规性检查
在以下示例中,此控件出现在根据 AWS Control Tower Guardrails 框架创建的 Audit Manager 评估中。
![\[显示评估中对 AWS Config 照的屏幕截图。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/control-example-automated_config-console.png)
评测显示控件状态。还显示了迄今为止为此控件收集了多少证据。在这里,您可以委托控件审阅,也可以自己完成审阅。选择控件名称会打开详情页面,其中包含更多信息,包括该控件的证据。
**此控件的作用**
Audit Manager 可以使用此控制来检查您的 S3 存储桶策略的访问级别是否过于宽松,无法满足要求 AWS Control Tower 。更具体地说,它可以检查阻止公共访问设置、桶策略和桶访问控制列表 (ACL),以确认您的桶是否允许公共写入权限。
**Audit Manager 如何为此控件收集证据**
Audit Manager 采取以下措施来为此控件收集证据:
1. 对于每个控件,Audit Manager 都会使用控件设置中指定的数据来源评测您的范围内的资源。在这种情况下,您的 S3 桶是资源, AWS Config 是数据来源类型。Audit Manager 会查找特定 AWS Config 规则 ([s3-bucket-public-write-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html)) 的结果,以评估评估范围内的每个 S3 存储桶的设置、策略和 ACL。
1. 资源评测结果将被保存并转化为审计员友好证据。Audit Manager 会为 AWS Config 用作数据源类型的控件生成*合规性检查*证据。该证据包含直接从中报告的合规检查结果 AWS Config。
1. Audit Manager 将已保存证据附加至您命名为`CT-4.1.2: 4.1.2 - Disallow public write access to S3 buckets`的评测。
**如何使用 Audit Manager 证明该控件的合规性**
将证据附至控件后,您(或您选择的委托人)可以审核证据,了解是否需要采取任何补救措施。
在此示例中,Audit Manager 可能会显示一项 AWS Config 声明 S3 存储桶*不合规*的裁决。如果您的一个 S3 桶具有不限制公共策略的“阻止公共访问”设置,并且当前策略允许公共写入权限,则可能会发生这种情况。若要纠正此问题,您可以更新“阻止公共访问”设置,以限制公共策略。或者,您可使用不允许公共写入权限的其他桶策略。此纠正措施有助于使您的 AWS 环境符合 AWS Control Tower 要求。
如果您确信自己的 S3 桶访问权限级别与控件一致,则可以将控件标记为 *已审核*,并将证据添加至评测报告。然后,您可以与审计员共享此报告,以证明控件按预期运行。
## 使用 AWS API 调用作为数据源类型的自动控件
此示例显示了一个使用 AWS API 调用作为数据源类型的自定义控件。Audit Manager 使用此控制来生成证据,这些证据有助于使您的 AWS 环境符合您的特定要求。
**控件细节示例**
+ **控件名称** - `Password Use`
+ **控件集** - 此控件属于名为 `Access Control` 的控件集。这是一组与身份和访问管理相关的控件。
+ **证据来源** - 单个数据来源
+ **数据源类型** — AWS API 调用
+ **证据类型** - 配置数据
在以下示例中,此控件显示在通过自定义框架创建的 Audit Manager 评测中。
![\[显示评测中的 API 控件的屏幕截图。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/control-example-automated_api-console.png)
评测显示控件状态。还显示了迄今为止为此控件收集了多少证据。在这里,您可以委托控件审阅,也可以自己完成审阅。选择控件名称会打开详情页面,其中包含更多信息,包括该控件的证据。
**此控件的作用**
Audit Manager 可以使用此自定义控件来帮助您确保有足够的访问控制策略。此控件要求您在选择和使用密码时遵循良好安全规范。Audit Manager 可以通过检索评测范围内的 IAM 主体的所有密码策略列表,帮助您验证这一点。
**Audit Manager 如何为此控件收集证据**
Audit Manager 采取以下措施来为此自定义控件收集证据:
1. 对于每个控件,Audit Manager 都会使用控件设置中指定的数据来源评测您的范围内的资源。在这种情况下,您的 IAM 委托人是资源, AWS API 调用是数据源类型。Audit Manager 会查找特定 IAM API 调用的响应 ([GetAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html))。然后,它会为 AWS 账户 返回您的评测范围内的密码策略。
1. 资源评测结果将被保存并转化为审计员友好证据。Audit Manager 为使用 API 调用作为数据来源的控件生成 *配置* 数据证据。此证据包含从 API 响应中捕获的原始数据,以及表明具体的数据支持控件的其他元数据。
1. Audit Manager 将已保存证据附加至您命名为 `Password Use` 的评测中的自定义控件。
**如何使用 Audit Manager 证明该控件的合规性**
将证据附至控件后,您(或您选择的委托人)可以审核证据,了解是否充足或是否需要采取任何补救措施。
在此示例中,您可以通过查看证据来查看 API 调用响应。该[GetAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html)响应描述了您账户中用户密码的复杂性要求和强制轮换周期。您可以使用此 API 响应作为证据,证明您已经为评估范围内的内容制定了 AWS 账户 足够的密码访问控制策略。如果需要,您还可以通过向控件添加评论,来提供有关这些政策的其他注释。
如果您确信自己的 IAM 主体的密码策略与自定义控件一致,则可以将控件标记为*已审核*,并将证据添加至评测报告。然后,您可以与审计员共享此报告,以证明控件按预期运行。
## AWS CloudTrail 用作数据源类型的自动控件
此示例显示了 AWS CloudTrail 用作数据源类型的控件。这是取自 [2003 HIPAA 安全规则框架](https://docs.aws.amazon.com/audit-manager/latest/userguide/HIPAA.html)的标准控件。Audit Manager 使用此控件生成证据,以帮助使您的 AWS 环境符合 HIPAA 要求。
**控件细节示例**
+ **控件名称** - `164.308(a)(5)(ii)(C): Administrative Safeguards - 164.308(a)(5)(ii)(C)`
+ **控件集** - 此控件属于名为 `Section 308` 的控件集。这是特定于框架的一组 HIPAA 控件,与行政保障措施相关。
+ **证据来源**- AWS 托管来源(核心控制)
+ **底层数据来源类型** - AWS CloudTrail
+ **证据类型** - 用户活动
以下是基于 HIPAA 框架创建的 Audit Manager 评测中的控件:
![\[显示评估中对 CloudTrail 照的屏幕截图。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/control-example-automated_cloudtrail-console.png)
评测显示控件状态。还显示了迄今为止为此控件收集了多少证据。在这里,您可以委托控件审阅,也可以自己完成审阅。选择控件名称会打开详情页面,其中包含更多信息,包括该控件的证据。
**此控件的作用**
此控件要求您制定监控程序来检测未经授权的访问。未经授权的访问的一个例子就是,某些人在未启用多重身份验证(MFA)的情况下登录控制台。Audit Manager 可提供证据,证明您已将 Amazon CloudWatch 配置为在未启用 MFA 的情况下监控管理控制台登录请求,从而帮助您验证此控制权。
**Audit Manager 如何为此控件收集证据**
Audit Manager 采取以下措施来为此控件收集证据:
1. 对于每个控件,Audit Manager 都会使用控件设置中指定的证据来源评测您范围内的资源。在本例中,控件使用多个核心控件作为证据来源。
每个核心控件都是一组由单个数据来源组成的托管式来源。在我们的示例中,其中一个核心控件 (`Configure Amazon CloudWatch alarms to detect management console sign-in requests without MFA enabled`) 使用 CloudTrail 事件 (`monitoring_EnableAlarmActions`) 作为基础数据源。
Audit Manager 会查看您的 CloudTrail 日志,使用`monitoring_EnableAlarmActions`关键字来查找记录的 CloudWatch 警报启用操作 CloudTrail。然后,它会返回评测范围内的相关事件的日志。
1. 资源评测结果将被保存并转化为审计员友好证据。Audit Manager 为 CloudTrail 用作数据源类型的控件生成*用户活动*证据。该证据包含从 Amazon 捕获的原始数据 CloudWatch,以及表明数据支持哪种控制的其他元数据。
1. Audit Manager 将已保存证据附加至您命名为`164.308(a)(5)(ii)(C): Administrative Safeguards - 164.308(a)(5)(ii)(C)`的评测。
**如何使用 Audit Manager 证明该控件的合规性**
将证据附至控件后,您(或您选择的委托人)可以审核证据,了解是否需要采取任何补救措施。
在此示例中,您可以查看证据,以查看记录的警报启用事件。 CloudTrail您可以使用此日志作为证据,证明您已经制定了足够的监控程序,可以检测未启用 MFA 就尝试登录控制台的行为。如果需要,您还可以通过向控件添加评论来提供其他注释。例如,如果日志显示存在多次未启用 MFA 的登录尝试,则您可以添加一条评论,描述您是如何修复该问题的。定期监控控制台登录,可以帮助您防止因差异和不当登录尝试而导致的安全问题。反过来,这种最佳实践有助于使您的 AWS 环境符合 HIPAA 的要求。
如果您确信自己的监控程序与控件一致,则可以将控件标记为*已审核*,并将证据添加至评测报告。然后,您可以与审计员共享此报告,以证明控件按预期运行。
## 手动控件
部分控件不支持自动证据收集。这包括依赖于提供实物记录和签名的控件,以及观察、访谈和其他非在云中生成的事件。在这些情况下,您可手动上传证据,以证明您满足了控件要求。
此示例显示了取自 [NIST 800-53(Rev. 5)框架](https://docs.aws.amazon.com/audit-manager/latest/userguide/NIST800-53r5.html)的手动控件。您可以使用 Audit Manager 上传和存储证明该控件合规的证据。
**控件细节示例**
+ **控件名称** - `AT-4: Training Records`
+ **控件集** – `(AT) Awareness and training`。这是特定于框架的一组 NIST 控件,与培训相关。
+ **证据来源** - 单个数据来源
+ **数据来源类型** - 手动
+ **证据类型** - 手动
以下是根据 NIST 800-53(Rev. 5)框架创建的 Audit Manager 评估中显示的控件: Low-Moderate-High
![\[显示评测中的控件的屏幕截图。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/control-example-manual-console.png)
评测显示控件状态。还显示了迄今为止为此控件收集了多少证据。在这里,您可以委托控件审阅,也可以自己完成审阅。选择控件名称会打开详情页面,其中包含更多信息,包括该控件的证据。
**此控件的作用**
您可以使用此控件来协助您确保员工接受适当的安全和隐私培训。具体而言,您可以证明您已根据所有员工的角色为其安排了有据可查的安全和隐私培训活动。您还可以出示证据,证明针对每个人都保留了培训记录。
**如何手动上传此控件的证据**
要上传补充自动证据的手动证据,请参阅[中的上传手动证据 AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/upload-evidence.html)。Audit Manager 将已上传的证据附加至命名为 `AT-4: Training Records` 的评测中的控件。
**如何使用 Audit Manager 证明该控件的合规性**
如果您有支持此控件的文档,则可将其作为手动证据上传。例如,您可以上传人力资源部门向员工发放的、基于角色的强制性培训材料的最新副本。
就像自动控件一样,您可以将手动控件委托给利益相关者,他们可以帮助您审核证据(或者在本例中提供证据)。例如,当您查看此控件时,您可能会意识到自己只能部分满足其要求。如果您没有员工本人参加培训的跟踪记录副本,则可能出现这种情况。您可以将控件委派给人力资源利益相关者,然后该利益相关者可以上传参加培训的员工列表。
如果您确信自己与控件一致,则可以将其标记为*已审核*,并将证据添加至评测报告。然后,您可以与审计员共享此报告,以证明控件按预期运行。
## 具有混合数据来源类型(自动和手动)的控件
在许多情况下,需要将自动和手动证据相结合以满足控制措施。尽管 Audit Manager 可以提供与控件相关的自动证据,但您可能需要通过自己识别和上传的手动证据补充这些数据。
此示例显示的控件结合了手动证据和自动证据。这是取自 [NIST 800-53 (Rev. 5) 框架](https://docs.aws.amazon.com/audit-manager/latest/userguide/NIST800-53r5.html)的标准控件。Audit Manager 使用此控件生成证据,以帮助使您的 AWS 环境符合 NIST 要求。
**控件细节示例**
+ **控件名称** - `Personnel Termination`
+ **控件集** – `(PS) Personnel Security (10)`。这组特定于框架的 NIST 控件与针对组织系统执行硬件或软件维护的人员有关。
+ **证据来源**- AWS 托管(核心控制)和单个数据源(手动)
+ **基础数据源类型** — AWS API 调用、 AWS CloudTrail、 AWS Config、手动
+ **证据类型** - 配置数据、用户活动、合规性检查、手动证据
以下是根据 NIST 800-53 (Rev. 5) 框架创建的 Audit Manager 评测中显示的控件:
![\[显示评测中的控件的屏幕截图。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/control-example-mixed-console.png)
评测显示控件状态。还显示了迄今为止为此控件收集了多少证据。在这里,您可以委托控件审阅,也可以自己完成审阅。选择控件名称会打开详情页面,其中包含更多信息,包括该控件的证据。
**此控件的作用**
如果员工被解雇,您可以使用此控件确认您在保护组织信息。具体而言,您可以证明自己禁用了系统访问权限并撤销了员工的凭证。此外,您可以证明所有被解雇的员工都参加了离职面谈,其中包括对组织相关安全协议的讨论。
**Audit Manager 如何为此控件收集证据**
Audit Manager 采取以下措施来为此控件收集证据:
1. 对于每个控件,Audit Manager 都会使用控件设置中指定的证据来源评测您范围内的资源。
在本例中,控件使用多个核心控件作为证据来源。反过来,这些核心控制措施中的每一个都从各个数据源(AWS API 调用 AWS CloudTrail、和 AWS Config)收集相关证据。Audit Manager 使用这些数据源类型根据相关的 API 调用、 CloudTrail 事件和 AWS Config 规则评估您的 IAM 资源(例如群组、密钥和策略)。
1. 资源评测结果将被保存并转化为审计员友好证据。此证据包含从每个数据来源捕获的原始数据,以及指明数据支持哪种控件的其他元数据。
1. Audit Manager 将已保存证据附加至您命名为`Personnel Termination`的评测。
**如何手动上传此控件的证据**
要上传补充自动证据的手动证据,请参阅[中的上传手动证据 AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/upload-evidence.html)。Audit Manager 将已上传的证据附加至命名为 `Personnel Termination` 的评测中的控件。
**如何使用 Audit Manager 证明该控件的合规性**
将证据附至控件后,您(或您选择的委托人)可以审核证据,了解是否充足或是否需要采取任何补救措施。例如,当您查看此控件时,您可能会意识到自己只能部分满足其要求。如果您有证据证明访问权限已被撤销,但没有任何离职面谈证明文件的副本,便会是这种情况。您可以将控件委派给人力资源利益相关者,然后该利益相关者可以上传离职面谈证明文件的副本。或者,如果在审计期间没有员工被解雇,您可以留下评论,说明控件中没有附上签名文件的原因。
如果您确信自己与控件一致,则可以将控件标记为*已审核*,并将证据添加至评测报告。然后,您可以与审计员共享此报告,以证明控件按预期运行。