# 审计查找结果隐藏
<a name="audit-finding-suppressions"></a>

当您运行审计时，它会报告所有不合规资源的查找结果。这意味着您的审计报告包含您正在努力缓解问题的资源的查找结果以及已知不合规资源（如测试设备或损坏设备）的查找结果。审计将继续报告在连续审计运行中仍然不合规的资源的查找结果，这可能会向您的报告中添加不需要的信息。使用审计查找结果，您可以在定义的时间段内隐藏或筛选出查找结果，直到资源的问题被解决，若是针对与测试或损坏设备关联的资源，则可无限期地隐藏结果。

**注意**  
缓解操作不适用于被隐藏的审计结果。有关缓解操作的更多信息，请参阅 [缓解操作](dd-mitigation-actions.md)。

有关审计检查结果隐藏配额的信息，请参阅 [AWS IoT Device Defender 端点与配额](https://docs.aws.amazon.com/general/latest/gr/iot_device_defender.html)。

## 审计查找结果隐藏的工作原理
<a name="how-suppressions-work"></a>

当您为不合规的资源创建审计查找结果隐藏时，您的审计报告和通知的行为会有所不同。

您的审计报告将包含一个新部分，其中列出与报告关联的所有隐藏的查找结果。当我们评估审计检查是否合规时，不会考虑隐藏查找结果。当您在命令行界面 (CLI) 中使用 [describe-audit-task](https://docs.aws.amazon.com/cli/latest/reference/iot/describe-audit-task.html) 命令时，每个审计检查也会返回隐藏的资源计数。

对于审计通知，当我们评估审计检查是否合规时，不会考虑隐藏的查找结果。AWS IoT Device Defender 发布到 Amazon CloudWatch 和 Amazon Simple Notification Service (Amazon SNS) 的每个审计检查通知中也包含隐藏资源计数。

## 如何在控制台中使用审计查找结果隐藏
<a name="audit-finding-suppressions-console"></a>

**要隐藏审计报告中的查找结果**

以下流程介绍了如何在 AWS IoT 控制台中创建审计查找结果隐藏。

1. 在 [AWS IoT 控制台](https://console.aws.amazon.com/iot)的导航窗格中，展开 **Defend**（防护），然后选择 **Audit**（审计）、**Results**（结果）。

1. 选择您要查看的审计报告。  
![\[AWS IoT Device Defender 审计结果表显示了最近日期内多项审计的合规性状态，其中大多数审计标记为不合规。\]](http://docs.aws.amazon.com/zh_cn/iot-device-defender/latest/devguide/images/audit-results.png)

1. 在 **Non-compliant checks**（不合规检查）部分，在 **Check name**（检查名称）项下，选择您感兴趣的审计检查。  
![\[审计报告显示了一项针对“日志记录已禁用”的不合规检查，以及 13 项针对某项 AWS 服务的严重、高和中等严重性级别的合规检查。\]](http://docs.aws.amazon.com/zh_cn/iot-device-defender/latest/devguide/images/audit-results-details.png)

1. 在审计检查详细信息屏幕上，如果存在您不想看到的查找结果，请选择查找结果旁边的选项按钮。然后，选择 **Actions**（操作），接着选择您希望审计查找结果隐藏持续的时长。
**注意**  
您可以在控制台中选择 *1 week*（1 周）、*1 month*（1 个月）、*3 months*（3 个月）、*6 months*（6 个月）或 *Indefinitely*（无限期），作为审计查找结果隐藏的到期日期。如果要设置特定的到期日期，则只能在 CLI 或 API 中执行此操作。无论到期日期为何，您都可以随时取消审计查找结果隐藏。  
![\[AWS IoT Device Defender 审计调查发现显示了“日志记录已禁用”和 1 个不合规账户（含详细信息和缓解措施）。\]](http://docs.aws.amazon.com/zh_cn/iot-device-defender/latest/devguide/images/non-compliant-check.png)

1. 确认隐藏详细信息，然后选择 **Enable suppresion**（启用隐藏）。  
![\[“确认隐藏”对话框，其中检查名称为“日志记录已禁用”、具有账户设置编号、有效期为 3 个月以及到期日期为 2020-10-28。\]](http://docs.aws.amazon.com/zh_cn/iot-device-defender/latest/devguide/images/confirm-suppression.png)

1. 创建审计查找结果隐藏后，将显示一个提示，确认审计查找结果隐藏已创建。  
![\[AWS IoT Device Defender 审计调查发现页面显示了一个不合规账户及“日志记录已禁用”，以及启用 CloudWatch Logs 的缓解步骤。\]](http://docs.aws.amazon.com/zh_cn/iot-device-defender/latest/devguide/images/suppression-created-successfully.png)

**在审计报告中查看隐藏的结果**

1. 在 [AWS IoT 控制台](https://console.aws.amazon.com/iot)的导航窗格中，展开 **Defend**（防护），然后选择 **Audit**（审计）、**Results**（结果）。

1. 选择您要查看的审计报告。

1. 在 **Suppressed findings**（隐藏查找结果）部分，查看已针对您选择的审计报告隐藏了哪些审计结果。  
![\[AWS IoT Device Defender 审计报告显示了合规性检查及严重性级别和调查发现摘要。\]](http://docs.aws.amazon.com/zh_cn/iot-device-defender/latest/devguide/images/audit-report-findings.png)

**列出审计查找结果隐藏**
+ 在 [AWS IoT 控制台](https://console.aws.amazon.com/iot)的导航窗格中，展开 **Defend**（防护），然后选择 **Audit**（审计）、**Finding suppressions**（查找结果隐藏）。  
![\[AWS IoT Device Defender 审计调查发现隐藏表，其中单个隐藏对应于 2020 年 10 月 28 日到期的检查“日志记录已禁用”。\]](http://docs.aws.amazon.com/zh_cn/iot-device-defender/latest/devguide/images/list-suppressions.png)

**要编辑审计查找结果隐藏**

1. 在 [AWS IoT 控制台](https://console.aws.amazon.com/iot)的导航窗格中，展开 **Defend**（防护），然后选择 **Audit**（审计）、**Finding suppressions**（查找结果隐藏）。

1. 选择要编辑的审计查找结果隐藏旁边的选项按钮。下一步，选择 **Actions**（操作）、**Edit**（编辑）。

1. 在 **Edit audit finding suppression**（编辑查找结果隐藏）窗口中，您可以更改 **Suppression duration**（隐藏时长）或者 **Description (optional)**（描述（可选））。  
![\[“编辑审计调查发现隐藏”对话框，其中包含对指定资源隐藏“日志记录已禁用”检查达 6 个月的选项以及描述字段。\]](http://docs.aws.amazon.com/zh_cn/iot-device-defender/latest/devguide/images/edit-suppression.png)

1. 执行您的更改后，选择 **Save**（保存）。**Finding suppressions**（查找结果隐藏）窗口将打开。

**要删除审计查找结果隐藏**

1. 在 [AWS IoT 控制台](https://console.aws.amazon.com/iot)的导航窗格中，展开 **Defend**（防护），然后选择 **Audit**（审计）、**Finding suppressions**（查找结果隐藏）。

1. 选择要删除的审计查找结果隐藏旁边的选项按钮，然后选择 **Actions**（操作）、**Delete**（删除）。

1. 在 **Delete audit finding suppression**（删除审计查找结果隐藏）窗口中，在文本框中输入 `delete` 以确认删除，然后选择 **Delete**（删除）。**Finding suppressions**（查找结果隐藏）窗口将打开。  
![\[用于删除审计调查发现隐藏的对话框，具有可输入“delete”的输入字段和“删除”按钮。\]](http://docs.aws.amazon.com/zh_cn/iot-device-defender/latest/devguide/images/delete-suppression.png)

## 如何在 CLI 中使用审计查找结果隐藏
<a name="audit-finding-suppressions-cli"></a>

您可以使用以下 CLI 命令来创建和管理审计查找结果隐藏。
+ [create-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/create-audit-suppression.html)
+ [describe-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/describe-audit-suppression.html)
+ [update-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/update-audit-suppression.html)
+ [delete-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/delete-audit-suppression.html)
+ [list-audit-suppressions](https://docs.aws.amazon.com/cli/latest/reference/iot/list-audit-suppressions.html)

您输入的 `resource-identifier` 取决于您需要隐藏查找结果的 `check-name`。下表详细说明了哪些检查需要哪个 `resource-identifier` 来用于创建和编辑隐藏。

**注意**  
隐藏命令不意味着关闭审计。审计仍会在您的 AWS IoT 设备上运行。隐藏仅适用于审计结果。


| `check-name` | `resource-identifier` | 
| --- | --- | 
| AUTHENTICATE\$1COGNITO\$1ROLE\$1OVERLY\$1PERMISSIVE\$1CHECK | cognitoIdentityPoolId | 
| CA\$1CERT\$1APPROACHING\$1EXPIRATION\$1CHECK | caCertificateId | 
| CA\$1CERTIFICATE\$1KEY\$1QUALITY\$1CHECK | caCertificateId | 
| CONFLICTING\$1CLIENT\$1IDS\$1CHECK | clientId | 
| DEVICE\$1CERT\$1APPROACHING\$1EXPIRATION\$1CHECK | deviceCertificateId | 
| DEVICE\$1CERTIFICATE\$1KEY\$1QUALITY\$1CHECK | deviceCertificateId | 
| DEVICE\$1CERTIFICATE\$1SHARED\$1CHECK | deviceCertificateId | 
| IOT\$1POLICY\$1OVERLY\$1PERMISSIVE\$1CHECK | policyVersionIdentifier | 
| IOT\$1ROLE\$1ALIAS\$1ALLOWS\$1ACCESS\$1TO\$1UNUSED\$1SERVICES\$1CHECK | roleAliasArn | 
| IOT\$1ROLE\$1ALIAS\$1OVERLY\$1PERMISSIVE\$1CHECK | roleAliasArn | 
| LOGGING\$1DISABLED\$1CHECK | account | 
| REVOKED\$1CA\$1CERT\$1CHECK | caCertificateId | 
| REVOKED\$1DEVICE\$1CERT\$1CHECK | deviceCertificateId | 
| UNAUTHENTICATED\$1COGNITO\$1ROLE\$1OVERLY\$1PERMISSIVE\$1CHECK | cognitoIdentityPoolId | 

**要创建和应用审计查找结果隐藏**

以下流程介绍如何在 AWS CLI 中创建审计查找结果隐藏。
+ 使用 `create-audit-suppression` 命令创建审计查找结果隐藏。以下示例为根据 **Logging disabled**（禁用的日志记录）这项检查为 AWS 账户 *123456789012* 创建了审计查找结果隐藏。

  ```
  aws iot create-audit-suppression \
      --check-name LOGGING_DISABLED_CHECK \
      --resource-identifier account=123456789012 \
      --client-request-token 28ac32c3-384c-487a-a368-c7bbd481f554 \
      --suppress-indefinitely \
      --description "Suppresses logging disabled check because I don't want to enable logging for now."
  ```

  此命令无任何输出。

## 审计查找结果隐藏 API
<a name="audit-finding-suppressions-apis"></a>

以下 API 可用于创建和管理审计查找结果隐藏。
+ [CreateAuditSuppression](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateAuditSuppression.html)
+ [DescribeAuditSuppression](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeAuditSuppression.html)
+ [UpdateAuditSuppression](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateAuditSuppression.html)
+ [DeleteAuditSuppression](https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteAuditSuppression.html)
+ [ListAuditSuppressions](https://docs.aws.amazon.com/iot/latest/apireference/API_ListAuditSuppressions.html)

要*对*特定审计查找结果进行筛选，您可以使用 [ListAuditFindings](https://docs.aws.amazon.com/iot/latest/apireference/API_ListAuditFindings.html) API。