AWS Audit Manager 不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Audit Manager 可用性变更](https://docs.aws.amazon.com/audit-manager/latest/userguide/audit-manager-availability-change.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 了解如何 AWS Audit Manager 收集证据
中的每项主动评估 AWS Audit Manager 都会自动从一系列数据源收集证据。在每次评估中,您可以定义哪些 AWS 账户 审计经理将收集范围内的证据,并由审计经理管理 AWS 服务 哪些评估的证据。这些服务和账户中的每一个都包含您拥有和使用的多种资源。Audit Manager 中的证据收集涉及对每个范围内资源评测。这被称为*资源评测*。
以下步骤描述了 Audit Manager 收集每次资源评测方法的证据:
**1. 评测来自数据来源的资源**
为了开始收集证据,Audit Manager 会评测来自数据来源范围内的资源。它通过捕获配置快照、相关的合规性检查结果或用户活动实现此目的。然后,它会运行分析以确定该数据支持的控件类型。然后,资源评测结果将被保存并转化为证据。有关不同证据类型的更多信息,请参阅本指南 *AWS Audit Manager 的概念和术语*部分中的[](concepts.md#evidence)。
**2. 将评测结果转化为证据**
资源评测的结果既包含从该资源中捕获的原始数据,也包含说明数据支持哪种控件的元数据。Audit Manager 会将原始数据转换为便于审计师使用的格式。然后,转换后的数据和元数据将保存为 Audit Manager 证据,然后再附加至控件。
**3. 将证据随附至关联控件**
Audit Manager 读取证据元数据。然后,它将已保存的证据附加至评测中的相关对照中。随附证据将在 Audit Manager 中可见。资源评测周期完成。
**注意**
根据控件配置,在某些情况下,可以将相同的证据附加制来自多个 Audit Manager 评测的多个控件中。当多个控件附带相同证据时,Audit Manager 会精确计量一次资源评测。原因是同样的证据仅收集一次。但是,Audit Manager 评测中的控件可以包含来自多个数据来源的多个证据。
## 证据收集频率
证据收集是一个持续的过程,从您创建评测时开始。Audit Manager 以不同的频率从多个数据来源收集证据。因此,关于收集证据的频率尚无 one-size-fits-all答案。证据收集频率取决于证据类型及其数据来源,如下所述。
+ **合规性检查** — Audit Manager 从 AWS Security Hub CSPM 和收集此类证据 AWS Config。
+ 对于 Security Hub CSPM,证据收集遵循您的 Security Hub CSPM 检查的时间表。有关 Security Hub CSPM 检查时间表的更多信息,请参阅《*AWS Security Hub CSPM 用户*指南》中的[安全检查运行时间表](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-schedule.html)。有关 Audit Manager 支持的 Security Hub CSPM 检查的更多信息,请参阅。[AWS Security Hub CSPM 支持的控件 AWS Audit Manager](control-data-sources-ash.md)
+ 对于 AWS Config,证据收集遵循 AWS Config 规则中定义的触发器。有关 AWS Config 规则触发器的更多信息,请参阅*AWS Config 用户指南*中的 [触发器类型](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html#aws-config-rules-trigger-types)。有关 Audit AWS Config 规则 Manager 支持的内容的更多信息,请参阅[AWS Config 规则 由 AWS Audit Manager](control-data-sources-config.md)。
+ AWS Audit Manager 当无法进行自动合规性评估时,将证据标记为无定论。当您尚未启用 AWS Config 或(它们是关键数据源)时 AWS Security Hub CSPM,就会发生这种情况。当通过 API 调用、 AWS CloudTrail 日志或手动上传直接从 AWS 服务中收集证据时,也会发生这种情况。当没有自动评估这些证据的机制时, AWS Audit Manager 无法提供评估细节。因此,这标志着证据尚无定论。尚无定论的证据并不表明失败。相反,它表明您需要手动评估合规证据。
+ **用户活动** — Audit Manager 会持续收集此类证据。 AWS CloudTrail 这种频率是持续的,原因是用户活动可以在一天中的任何时间发生。有关更多信息,请参阅 [AWS CloudTrail 支持的事件名称 AWS Audit Manager](control-data-sources-cloudtrail.md)。
+ **配置数据** — Audit Manager 使用对其他证据(例如 Amazon EC2、Amazon S3 或 IAM)的描述 API 调用来收集 AWS 服务 此类证据。您可以要调用哪些 API 操作。您还可以在 Audit Manager 中将频率设置为每天、每周或者每月。在控件库中创建或编辑控件时,可以指定此频率。有关如何编辑或创建控件的说明,请参阅[使用控件库管理中的控件 AWS Audit Manager](control-library.md)。有关 Audit Manager 支持的 API 调用的更多信息,请参阅[AWS 支持的 API 调用 AWS Audit Manager](control-data-sources-api.md)。
无论数据来源的证据收集频率如何,只要控件和评测处于活动状态,就会自动收集新的证据。