本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 變更控制項收集證據的頻率
<a name="change-evidence-collection-frequency"></a>



 AWS Audit Manager 可以從各種資料來源收集證據。證據收集的頻率取決於控制項使用的資料來源類型。

下列各章節提供關於每個控制項資料來源類型的證據收集頻率相關資訊，及其變更方式 (如果適用)。

**Topics**
+ [重點](#change-evidence-collection-frequency-key-points)
+ [來自 API 呼叫的組態快照](#change-evidence-collection-frequency-api-calls)
+ [來自 的合規檢查 AWS Config](#change-evidence-collection-frequency-config)
+ [來自 Security Hub CSPM 的合規檢查](#change-evidence-collection-frequency-security-hub)
+ [來自 的使用者活動日誌 AWS CloudTrail](#change-evidence-collection-frequency-cloudtrail)

## 重點
<a name="change-evidence-collection-frequency-key-points"></a>
+ 針對 **AWS API 呼叫**，Audit Manager 會使用對其他人 AWS 服務的描述 API 呼叫來收集證據。您可以直接在 Audit Manager 中指定證據收集頻率（僅適用於自訂控制項）。
+ 針對 **AWS Config**，Audit Manager 會直接從 報告合規檢查的結果 AWS Config。頻率遵循 AWS Config 規則中定義的觸發條件。
+ 針對 **AWS Security Hub CSPM**，Audit Manager 會直接從 Security Hub CSPM 報告合規檢查的結果。頻率遵循 Security Hub CSPM 檢查的排程。
+ 針對 **AWS CloudTrail**，Audit Manager 會持續從 CloudTrail 收集證據。您無法變更此證據類型的頻率。

## 來自 AWS API 呼叫的組態快照
<a name="change-evidence-collection-frequency-api-calls"></a>

**注意**  
以下內容僅適用於自訂控制項。您無法變更標準控制項的證據收集頻率。

如果自訂控制項使用 AWS API 呼叫做為資料來源類型，您可以依照下列步驟變更 Audit Manager 中的證據收集頻率。

**使用 API 呼叫資料來源變更自訂控制項的證據收集頻率**

1. 開啟 AWS Audit Manager 主控台，[網址為 https://console.aws.amazon.com/auditmanager/home](https://console.aws.amazon.com/auditmanager/home)。

1. 在導覽窗格中，選擇**控制程式庫**，然後選擇**自訂**標籤。

1. 選擇您要編輯的自訂控制項，並選擇**編輯**。

1. 在**編輯控制項詳細資訊**頁面上，選擇**下一步**。

1. 在**客戶受管來源**下，尋找您要更新的 API 呼叫資料來源。

1. 從資料表中選取資料來源，然後選擇**移除**。

1. 選擇**新增**。

1. 選擇 **AWS API 呼叫**。

1. 選擇您在步驟 5 移除的相同 API 呼叫，然後選擇您偏好的證據收集頻率。

1. 在**資料來源名稱**下，提供描述性名稱。

1. （選擇性）在**其他詳細資訊**下，輸入資料來源說明和疑難排解說明。

1. 選擇**下一步**。

1. 在**編輯行動計劃**頁面上，選擇**下一步**。

1. 在**檢閱和更新**頁面上，檢閱自訂控制項的資訊。如需變更步驟的資訊，請選擇**編輯**。

1. 完成時，請選擇**儲存變更**。

編輯控制項之後，變更會在包含控制項的所有作用中評估中，於次日 00：00 UTC 生效。

## 來自 的合規檢查 AWS Config
<a name="change-evidence-collection-frequency-config"></a>

**注意**  
以下內容適用於使用 AWS Config 規則 做為資料來源使用的標準控制項和自訂控制項。

如果控制項使用 AWS Config 做為資料來源類型，您無法直接在 Audit Manager 中變更證據收集頻率。這是因為頻率遵循 AWS Config 規則中定義的觸發條件。

有兩種類型的觸發 AWS Config 規則：

1. **組態變更** - 在建立、變更或刪除特定類型的資源時 AWS Config ，執行規則的評估。

1. **定期** - 依您選擇的頻率 AWS Config 執行規則的評估 （例如，每 24 小時）。

若要進一步了解 的觸發條件 AWS Config 規則，請參閱《 *AWS Config 開發人員指南*》中的[觸發條件類型](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html#aws-config-rules-trigger-types)。

如需如何管理的指示 AWS Config 規則，請參閱[管理您的 AWS Config 規則](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_manage-rules.html)。

## 來自 Security Hub CSPM 的合規檢查
<a name="change-evidence-collection-frequency-security-hub"></a>

**注意**  
以下適用於使用 Security Hub CSPM 檢查作為資料來源的標準控制項和自訂控制項。

如果控制項使用 Security Hub CSPM 做為資料來源類型，您無法直接在 Audit Manager 中變更證據收集頻率。這是因為頻率遵循 Security Hub CSPM 檢查的排程。
+ **定期檢查**會在最近一次執行後的 12 小時內自動執行。您無法變更其週期性。
+ **變更觸發檢查**會在關聯資源變更狀態時執行。即使資源未變更狀態，變更觸發檢查的時間也會每 18 小時重新整理一次更新。這有助於指出控制是否仍已啟用。一般而言，Security Hub CSPM 會盡可能使用變更觸發的規則。

若要深入瞭解，請參閱*AWS Security Hub CSPM 使用指南*中的[執行安全檢查的排程](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-schedule.html)。

## 來自 的使用者活動日誌 AWS CloudTrail
<a name="change-evidence-collection-frequency-cloudtrail"></a>

**注意**  
以下內容適用於使用 AWS CloudTrail 使用者活動日誌做為資料來源的標準控制項和自訂控制項。

您無法變更使用 CloudTrail 活動日誌做為資料來源類型的控制項的證據收集頻率。Audit Manager 會以連續方式從 CloudTrail 收集此證據類型。頻率是連續的，因為使用者活動可能在一天中的任何時間發生。