本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 證據搜尋工具
證據搜尋工具為 Audit Manager 中的證據提供了強而有力的搜尋方式。您現在可以使用證據搜尋工具快速查詢證據,而無須一頭栽進證據資料夾,想方設法找到您要尋找的內容。如果您以委派管理員的身分使用證據搜尋工具,您可以在組織中的所有成員帳戶中搜尋證據。
使用篩選條件和分組的組合,您可以逐步縮小搜尋查詢的範圍。例如,如果您想要系統健全狀況的高階檢視,請擴大搜尋範圍,並依據評估、日期範圍和資源合規性進行篩選。如果您的目標是修復特定資源,則可以縮小搜尋範圍,以針對特定控制項或資源 ID 的證據作為目標。定義篩選條件後,您可以先分組並預覽相符的搜尋結果,然後再建立評估報告。
若要使用證據搜尋工具,您必須從 Audit Manager 設定中啟用此功能。
## 重點
### 了解證據搜尋工具如何與 CloudTrail Lake 搭配使用
證據搜尋工具使用 [AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) 的查詢和儲存功能。開始使用證據搜尋工具之前,多了解 CloudTrail Lake 的運作方式是有益的。
CloudTrail Lake 會將資料彙總到單一可搜尋的事件資料存放區,該資料存放區可支援強大的 SQL 查詢。這表示您可以在整個組織和自訂時間範圍內搜尋資料。使用證據搜尋工具,您可以直接在 Audit Manager 主控台中使用此搜尋功能。
當您要求啟用證據搜尋工具時,Audit Manager 會代表您建立事件資料存放區。啟用證據搜尋工具之後,您日後的所有 Audit Manager 證據都會擷取至事件資料存放區,以供證據搜尋工具搜尋查詢使用。啟用證據搜尋工具後,我們還會使用過去兩年的有用證據資料回填新建立的事件資料存放區。如果您以委派系統管理員的身分使用證據搜尋工具,我們將回填您的組織中的所有成員帳戶的資料。
您的所有證據資料(無論是回填資料還是新資料)都會在事件資料存放區中保留 2 年。您可以隨時變更預設的保留期間。如需指示,請參閱《AWS CloudTrail 使用指南》**中的[更新事件資料存放區](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-lake-cli.html#lake-cli-update-eds.)。您可以在事件資料存放區中保留事件資料最長 7 年,即 2555 天。
**注意**
將新證據資料新增至事件資料存放區時,資料儲存和擷取會產生 CloudTrail Lake 費用。
對於 CloudTrail Lake 查詢,您將按使用量付費。這表示您在證據搜尋工具中進行的每次搜尋查詢,都需要支付掃描資料的費用。
如需 CloudTrail Lake 定價的更多資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
## 後續步驟
若要開始使用,請從 Audit Manager 設定啟用證據搜尋工具。如需說明,請參閱[啟用證據搜尋工具](evidence-finder-settings-enable.md)。
## 其他資源
+ [在證據搜尋工具中搜尋證據](search-for-evidence-in-evidence-finder.md)
+ [在證據搜尋工具中檢視結果](viewing-search-results-in-evidence-finder.md)
+ [證據搜尋工具的篩選和分組選項](evidence-finder-filters-and-groups.md)
+ [證據搜尋工具的範例使用案例](example-use-cases-for-evidence-finder.md)
+ [證據搜尋工具問題疑難排解](evidence-finder-issues.md)
# 在證據搜尋工具中搜尋證據
您可以使用證據搜尋工具來執行目標搜尋,並快速呈現相關證據以供檢閱。
在此頁面上,您將了解如何依評估、日期範圍、資源合規狀態和其他屬性等條件篩選搜尋。套用這些篩選條件會將您的搜尋範圍縮小到您所需的證據。您也可以依特定欄位將結果分組,以更好地分析模式。
## 先決條件
請確定您已完成在 Audit Manager 設定中啟用證據搜尋工具的步驟。如需說明,請參閱[啟用證據搜尋工具](evidence-finder-settings-enable.md)。
此外,請確定您具有在證據搜尋工具中執行搜尋查詢的許可。如需您可以使用的範例許可政策,請參閱 [允許使用者在證據搜尋工具中執行搜索查詢](security_iam_id-based-policy-examples.md#evidence-finder-query-access)。
## 程序
請依照下列步驟在 Audit Manager 主控台中搜尋證據。
1. [執行搜尋查詢](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#performing-a-search)
1. [停止進行中搜尋查詢 (選用)](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#stopping-a-search)
1. [編輯搜尋查詢的篩選條件 (選用)](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#editing-a-search)
**注意**
您也可以使用 CloudTrail API 來查詢您的證據資料。如需更多資訊,請參閱 *AWS CloudTrail API 參考*中的 [StartQuery](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_StartQuery.html)。如果您偏好使用 AWS CLI,請參閱*AWS CloudTrail 《 使用者指南*》中的[啟動查詢](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-lake-cli.html#lake-cli-start-query)。
### 執行搜尋查詢
請按照以下步驟,在證據搜尋工具中執行搜尋查詢。
**要搜尋證據**
1. 開啟 AWS Audit Manager 主控台,[網址為 https://console.aws.amazon.com/auditmanager/home](https://console.aws.amazon.com/auditmanager/home)。
1. 在導覽窗格中,選擇**證據搜尋工具**。
1. 接下來,套用篩選條件以縮小搜尋範圍。
1. 針對**評估**,選擇評估。
1. 在**日期範圍**選取範圍。
1. 針對**資源合規性**,選取評估狀態。
![\[證據搜尋工具中所需的評估、日期範圍和資源合規性篩選條件。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/evidence-finder-required_filters-console.png)
1. (選用) 選擇**其他篩選條件 - 選用**以進一步縮小搜尋範圍。
1. 選擇**新增條件**,選取條件,然後為該條件選取一或多個值。
1. 繼續以相同的方式提出更多篩選條件。
1. 若要移除不想要的篩選條件,請選擇**移除**
![\[證據搜尋工具中特定控制項的其他篩選條件。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/evidence-finder-additional_filters-console.png)
1. 在**分組**底下,指定是否要將搜尋結果分組。
1. 如果想對結果進行分組,請選取一個值作為分組結果依據。
1. 如果您不想對結果進行分組,請繼續執行步驟 6。
![\[已選取分組結果選項,並按照數值選取群組。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/evidence-finder-grouping-console.png)
1. 選擇 **Search** (搜尋)。
![\[用於在證據搜尋工具中啟動搜尋查詢的搜尋按鈕。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/evidence-finder-search-console.png)
您的搜尋可能需要幾分鐘的時間,視您擁有的證據資料量而定。在搜尋過程中,您可以隨時離開證據搜尋工具。備妥搜尋結果時,即會出現閃光列通知您。
### 停止搜尋查詢
如果您因為任何理由而想要停止搜尋查詢,請依照下列步驟執行。
**注意**
停止搜尋查詢仍可能會產生費用。停止搜尋查詢之前,即會依掃描的證據資料量向您收取費用。停止後,您可以檢視傳回的部分結果。
**若要停止進行中的搜尋查詢**
1. 在螢幕上方的藍色進度閃光列中,選擇**停止搜尋**。
![\[藍色閃光列即表示搜尋查詢進行中。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/in_progress_search-evidence-finder-console.png)
1. (選用) 檢閱停止搜尋查詢之前傳回的部分結果。
1. 如果您在證據搜尋工具頁面上,螢幕上會顯示部分結果。
1. 如果您離開證據搜尋工具,請在綠色確認閃光列中選擇**檢視部分結果**。
![\[綠色閃光列即表示已停止搜尋。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/stopped_search-evidence-finder-console.png)
### 編輯搜尋篩選條件
請依照下列步驟返回您最近的搜尋查詢,並視需要調整篩選條件。
**注意**
您編輯篩選條件並選擇**搜尋**時,這即會啟動新的搜尋查詢。
**若要編輯最近的搜尋查詢**
1. 在**檢視結果**頁面中,從頁面導覽路徑導覽選單中選取**證據搜尋工具**。
![\[主控台上標示證據搜尋工具的導覽功能表。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/breadcrumb_menu-evidence-finder-console.png)
1. 選擇**篩選條件和分組**以展開篩選條件選項。
![\[證據搜尋工具的可擴充篩選器和分組部分。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/expand_filters-evidence-finder-console.png)
1. 接下來,編輯篩選條件或開始新的搜尋。
1. 若要編輯篩選條件,請調整或移除目前的篩選條件和分組選項。
1. 若要重新開始,請選擇**清除篩選條件**,然後套用您選擇的篩選條件和分組選項。
![\[清除篩選條件按鈕,您可以用來重新開始新的搜尋查詢。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/evidence-finder-clear_filters-console.png)
1. 完成後,請選擇**搜尋**。
![\[用於在證據搜尋工具中啟動新的搜尋查詢的搜尋按鈕。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/evidence-finder-search-console.png)
## 後續步驟
搜尋完成後,您可以檢視符合搜尋條件的結果。如需說明,請參閱[在證據搜尋工具中檢視結果](viewing-search-results-in-evidence-finder.md)。
## 其他資源
+ [證據搜尋工具的篩選和分組選項](evidence-finder-filters-and-groups.md)
+ [證據搜尋工具的範例使用案例](example-use-cases-for-evidence-finder.md)
+ [證據搜尋工具問題疑難排解](evidence-finder-issues.md)
# 在證據搜尋工具中檢視結果
搜尋完成後,您可以檢視符合搜尋條件的結果。
請記住,在收集證據時可能會評估多個資源。因此,證據可能包含一個或多個相關資源。在證據搜尋工具中,結果會顯示在資源層級,每個資源有一個資料列。您可以預覽每個資源的摘要,而無需離開頁面。
檢閱搜尋結果後,您可以產生包含該證據的評估報告。您也可以將搜尋結果匯出為逗號分隔值 (CSV) 檔案。
**重要**
我們建議您將證據搜尋工具保持開啟狀態,直到您完成搜尋結果的探索為止。當您瀏覽離開**檢視結果**表格時,系統會捨棄您的搜尋結果。如有需要,您可以在 CloudTrail 主控台中[檢視您最近的結果](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-results.html),網址為 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。在這裡,您的搜尋查詢結果將保留七天。但請記住,您無法從 CloudTrail 主控台中的搜尋結果產生評估報告。
## 先決條件
下列程序假設您已遵循步驟,在證據搜尋工具中[執行搜尋](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html)。
## 程序
請依照下列步驟,在證據搜尋工具中檢視搜尋結果。
**任務**
+ [步驟 1. 檢視分組結果](#review-grouped-results)
+ [步驟 2. 檢視搜尋結果](#review-search-results)
+ [管理您的檢視偏好設定](#manage-preferences)
+ [預覽資源摘要](#preview-evidence)
### 步驟 1. 檢視分組結果
如果您將結果分組,則可以在深入研究證據之前查看分組。
**注意**
如果您沒有將結果分組,證據搜尋工具不會顯示**按結果分組**表格。相反地,您會直接前往**檢視結果**表格。
您可以使用**按結果分組**表格,瞭解相符證據的廣度,以及它在特定維度之間的分佈方式。結果會依您選取的值分組。例如,如果您依**資源類型**分組,資料表會顯示 AWS 資源類型的清單。**證據總計**欄會顯示每個資源類型的相符結果數目。
![\[在證據搜尋工具中按結果表進行分組。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/evidence-finder-group_by_table-console.png)
**若要取得群組的結果**
1. 從**按結果分組**表格中,選取您要取得之結果的列。
1. 選擇**取得結果**。這會啟動新的搜尋查詢,並將您重新導向至**檢視結果**表格,您可以在其中查看該群組的結果。
### 步驟 2. 檢視搜尋結果
**檢視結果**表格會顯示您的搜尋結果。從這裡,您可以管理檢視偏好設定和預覽資源摘要。
#### 管理您的檢視偏好設定
您的檢視偏好設定會控制您在結果頁面上看到的內容。
**要管理您的檢視偏好設定**
1. 選擇**檢視結果**表頂端的設定圖示 (⚙)。
1. 視需要檢視和變更下列設定:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/viewing-search-results-in-evidence-finder.html)
1. 選擇**確認**以儲存偏好設定。
#### 預覽資源摘要
您可以預覽與搜尋查詢相符的證據的相關資源。這可協助您判斷搜尋查詢是否傳回預期的結果,或者您是否需要調整篩選條件並重新執行搜尋查詢。
請記住,證據可以有一個或多個相關資源。證據搜尋工具將在資源層級顯示結果(每個資源佔一行)。
**注意**
證據搜尋工具會傳回自動和手動證據的結果。但是,您只能預覽自動證據的資源摘要。這是因為 Audit Manager 不會針對手動證據執行資源評估,因此沒有可用的資源摘要。
若要查看有關手動證據的詳細資料,請選擇證據名稱以開啟證據詳細資料頁面。如果您從證據搜尋工具結果中生成評估報告,則評估報告中包含手動證據詳細資訊。
**要預覽資源摘要**
1. 選取結果旁的選項按鈕。這會在目前頁面上開啟資源摘要面板。
1. (選擇性)若要查看相關證據的完整詳細資料,請選擇證據名稱。
1. (選擇性)使用水平線 (**=**) 拖曳資源摘要窗格並調整大小。
1. 選擇 (**x**) 以關閉資源摘要窗格。
![\[證據搜尋工具中查看結果頁面上的範例資源摘要。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/evidence-finder-preview-console.png)
## 後續步驟
檢閱搜尋結果後,您可以從中產生評估報告,或將其匯出為 CSV 檔案。如需說明,請參閱[從證據搜尋工具匯出搜尋結果](exporting-search-results-from-evidence-finder.md)。
## 其他資源
+ [證據搜尋工具的篩選和分組選項](evidence-finder-filters-and-groups.md)
+ [證據搜尋工具的範例使用案例](example-use-cases-for-evidence-finder.md)
+ [證據搜尋工具問題疑難排解](evidence-finder-issues.md)
# 從證據搜尋工具匯出搜尋結果
檢閱搜尋結果之後,您可以根據這些結果產生評估報告。或者,您可以在 CSV 檔案中匯出證據搜尋工具搜尋結果。
## 先決條件
下列程序假設您已遵循執行[搜尋的步驟,](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html)並在證據搜尋工具中[檢閱搜尋結果](https://docs.aws.amazon.com/audit-manager/latest/userguide/viewing-search-results-in-evidence-finder.html)。
## 程序
**Contents**
+ [從搜尋結果產生評估報告](#generate-one-time-report-from-search-results)
+ [將搜尋結果匯出至 CSV 檔案](#export-search-results)
+ [匯出結果後檢視結果](#viewing-results-after-export)
### 從搜尋結果產生評估報告
滿意搜尋結果後,您可以產生評估報告。
**要從搜尋結果產生評估報告**
1. 在**檢視結果**表格頂端,選擇**產生評估報告**。
1. 輸入評估報告的名稱和說明,並檢閱評估報告詳細資訊。
1. 選擇**產生評估報告**。
您的評估報告需要幾分鐘的時間才會產生。發生這種情況時,您可以離開證據搜尋工具,等待綠色的成功通知提醒您報告已準備就緒。然後,您可以前往 Audit Manager 下載中心並[下載您的評估報告](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html#download-a-file)。
**注意**
Audit Manager 僅使用搜尋結果中的證據來產生一次性報告。此報告不包含[從評估頁面手動新增至報告](https://docs.aws.amazon.com/audit-manager/latest/userguide/generate-assessment-report-include-evidence.html)的任何證據。
限制適用於評估報告中包含多少項證據。如需詳細資訊,請參閱[證據搜尋工具問題疑難排解](evidence-finder-issues.md)。
### 將搜尋結果匯出至 CSV 檔案
您可能需要可攜式版本的證據搜尋工具搜尋結果。在這種情況下,您可以將搜尋結果匯出為 CSV 檔案。
匯出搜尋結果後,七天內 CSV 檔案仍可在 Audit Manager 下載中心取得。CSV 檔案的副本也會傳送到您偏好的 S3 儲存貯體中,這稱為*匯出目的地*。您的 CSV 檔案會保留在此儲存貯體中,直到您刪除該檔案為止。
Audit Manager 使用 [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html)功能,從證據搜尋工具匯出和發送 CSV 檔案。下列因素定義了 CSV 匯出程序的運作方式:
+ 您的所有搜尋結果都包含在 CSV 檔案中。如果您只想在評估報告中包含特定的搜尋結果,建議您[編輯您的搜尋篩選器](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#editing-a-search)。如此一來,您就可以縮小結果範圍,僅針對您要匯出的證據。
+ CSV 檔案會以壓縮的 GZIP 格式匯出。預設 CSV 檔案名稱為 `queryID/result.csv.gz`,其中 `queryID` 是搜尋查詢的 ID。
+ CSV 匯出的檔案大小上限為 1 TB。如果您要匯出超過 1 TB 的資料,您的結果會分割為多個檔案。每個 CSV 檔案都會命名為 `result_number.csv.gz`。您取得的 CSV 檔案數量取決於搜尋結果的總大小。例如,匯出 2 TB 的資料會提供兩個查詢結果檔案:`result_1.csv.gz` 和 `result_2.csv.gz`。
+ 除了 CSV 檔案之外,還會將 JSON 簽署檔案傳送到您的 S3 儲存貯體。此檔案可做為總和驗證碼,以驗證 CSV 檔案中的資訊是否正確。若要深入了解,請參閱 *AWS CloudTrail 開發人員指南*中的 [CloudTrail 簽署檔案結構](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-results-file-validation-sign-file-structure.html)。若要判斷在 CloudTrail 傳送查詢結果之後,查詢結果是否經過修改、遭到刪除或未發生變更,您可以使用 CloudTrail 查詢結果完整性驗證。如需指示,請參閱 *AWS CloudTrail 開發人員指南*中的[驗證已儲存的查詢結果](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-query-results-validation-intro.html)。
**注意**
證據搜尋工具預覽或 CSV 匯出中,目前不包含手動證據文字回覆。若要檢視文字回應數據,請在證據搜尋工具結果中選擇手動證據名稱以開啟證據詳細資訊頁面。如果您需要在 Audit Manager 主控台以外檢視文字回應資料,建議您根據證據搜尋工具結果產生評估報告。所有手動證據詳細資料,包括文字回應,都包含在評估報告中。
#### 首次匯出結果
首次匯出搜尋結果時,請依照下列步驟進行。此程序為您提供指定未來所有匯出的預設匯出目的地選項。如果您不想立即儲存預設的匯出目的地,您可以稍後透過[更新匯出目的地設定](https://docs.aws.amazon.com/audit-manager/latest/userguide/settings-export-destination.html)來進行操作。
**重要**
開始之前,請確定您有可用的 S3 儲存貯體作為匯出目的地。您可以使用其中一個現有的 S3 儲存貯體,也可以[在 Amazon S3 中建立新儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)。為了獲得最佳安全性和效能,我們建議您在與評估相同的 AWS 帳戶和區域中使用 S3 儲存貯體。此外,您的 S3 儲存貯體必須擁有必要的許可政策,以允許 CloudTrail 將匯出檔案寫入該儲存貯體。具體而言,儲存貯體政策必須包含 `s3:PutObject` 動作和儲存貯體 ARN,並將 CloudTrail 列為服務主體。我們提供您可以使用的[範例權限策略](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_resource-based-policy-examples.html)。關於如何將此政策附加到 S3 儲存貯體的指南,請參閱[使用 Amazon S3 主控台新增儲存貯體政策](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)。
如需更多秘訣,請參閱 [匯出目的地的組態提示。](settings-export-destination.md#settings-export-destination-tips)。如果您在匯出 CSV 檔案時遇到任何問題,請參閱 [](evidence-finder-issues.md#csv-exports)。
**匯出搜尋結果(首次執行體驗)**
1. 在**檢視結果**表格頂端,選擇**匯出 CSV**。
1. 指定您要匯出檔案的 S3 儲存貯體。
+ 選擇**瀏覽 S3** 以從儲存貯體清單中選取。
+ 或者,您也可以使用以下格式輸入儲存貯體 URI:**s3://bucketname/prefix**
**提示**
為確保目的地儲存貯體有序組織,您可以為 CSV 匯出建立選用資料夾。若要這麼做,請在**資源 URI** 方塊中的值加上斜線 (**/**) 和字首 (例如,**/evidenceFinderExports**)。然後,Audit Manager 會在將 CSV 檔案新增至儲存貯體時包含此字首,而 Amazon S3 會產生字首指定的路徑。如需在 Amazon S3 中首碼的詳細資訊,請參閱在*Amazon 簡易儲存服務*使用者指南中的[在 Amazon S3 主控台編組物件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html)。
1. (選擇性)如果您不想將此儲存貯體預設為匯出目的地,請取消選取**在我的證據搜尋工具設定中,將此儲存貯體預設為匯出目的地**的核取方塊。
1. 選擇 **Export** (匯出)。
#### 儲存匯出目的地後,匯出結果
將預設 S3 儲存貯體儲存為匯出目的地後,您可以繼續執行下列步驟。
**匯出搜尋結果(儲存預設匯出目的地後)**
1. 在**檢視結果**表格頂端,選擇**匯出 CSV**。
1. 在出現的提示中,檢閱將儲存匯出檔案的預設 S3 儲存貯體。
1. (選擇性)若要繼續使用此儲存貯體並隱藏此訊息,請勾選 **不要再提醒我** 方塊。
1. (選擇性)若要變更儲存貯體,請依照程序[更新匯出目的地設定](https://docs.aws.amazon.com/audit-manager/latest/userguide/settings-export-destination.html)。
1. 選擇**確認**。
視您要匯出的資料量而定,匯出程序可能需要幾分鐘的時間才能完成。您可以在匯出過程中離開證據搜尋工具。當您離開證據搜尋工具時,您的搜尋作業將停止,搜尋結果也會自主控台移除。不過,CSV 匯出程序會在背景中繼續執行。CSV 檔案將包含符合您查詢的完整搜尋結果集。
#### 匯出結果後檢視結果
若要尋找 CSV 檔案並檢查其狀態,請前往 Audit Manager[Audit Manager 下載中心](download-center.md)。匯出的檔案準備就緒後,[您可以從下載中心下載 CSV 檔案](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html#download-a-file)。
您也可以在匯出目的地 S3 儲存貯體中找到,並下載 CSV 檔案。
**在 Amazon S3 主控台中尋找 CSV 檔案和簽署檔案**
1. 開啟 [Amazon S3 主控台](https://console.aws.amazon.com/s3/)。
1. 選擇您在匯出 CSV 檔案時,指定的匯出目的地儲存貯體。
1. 瀏覽物件階層,直到找出 CSV 檔案和簽署檔案。CSV 檔案的副檔名為 `.csv.gz`,而簽署檔案的副檔名為 `.json`。
您將瀏覽與下列範例類似的物件階層,但使用不同的匯出目的地儲存貯體名稱、帳戶 ID、日期和查詢 ID。
```
All Buckets
Export_Destination_Bucket_Name
AWSLogs
Account_ID;
CloudTrail-Lake
Query
YYYY
MM
DD
Query_ID
```
## 其他資源
+ [證據搜尋工具問題疑難排解](evidence-finder-issues.md)
+ [設定證據搜尋工具的預設匯出目的地](settings-export-destination.md)
# 證據搜尋工具的篩選和分組選項
在此頁面上,您可以看到可用於證據搜尋工具的篩選條件和分組選項清單。
## 篩選器參考資料
您可以使用下列篩選條件來尋找符合特定條件的證據,例如評估、控制或 AWS 服務。
**主題**
+ [必要篩選器](#required-filters)
+ [其他篩選條件(選擇性)](#additional-filters)
+ [結合篩選器](#combining-filters)
### 必要篩選器
使用這些篩選條件,開始對評估中的證據進行高階概觀。
| 篩選器名稱 | Description | 備註 |
| --- | --- | --- |
| **評估** | 傳回特定評估的證據。 | 您只能依據一個評估進行篩選。 |
| **日期範圍** | 傳回特定時段的證據。 | 或者,您可以使用*相對範圍*來定義相對於今天日期的範圍(例如,**Last 30 days**)。 或者,您可以使用*絕對範圍*來指定特定的日期範圍 (例如,**June 27th – July 4th**)。 |
| 支援合規 | 傳回具有特定合規檢查評估的資源。 | Audit Manager 會收集使用 AWS Config 和 Security Hub CSPM 作為資料來源類型的控制項的[合規檢查證據](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#evidence)。請記住,在收集證據時可能會評估多種資源。因此,單一合規檢查證據可以包含一或多個資源。您可以使用此篩選器來探索資源層級的合規狀態。 您可以選擇以下其中一個選項: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/evidence-finder-filters-and-groups.html) |
### 其他篩選條件(選擇性)
使用這些篩選條件來縮小搜尋查詢的範圍。例如,使用**服務**查看與 Amazon S3 相關的所有證據。使用**資源類型**將範圍縮小至 S3 儲存貯體。或者,使用**資源 ARN** 以特定 S3 儲存貯體為目標。
您可以使用下列一或多個條件建立其他篩選器。
| 條件名稱 | Description | 何時使用此條件 |
| --- | --- | --- |
| 帳戶 ID | 向下切入 AWS 帳戶。 | 使用此條件來尋找與特定 AWS 帳戶相關的證據。 |
| 控制項 | 依控制項名稱進行深層探勘。 | 使用此條件來尋找與特定控制項相關的證據。 |
| 控制項域 | 依控制項網域進行深層探勘。 | 當您準備稽核時,請使用此條件,將重點放在特定主題領域。如果您要查詢從標準架構建立的評估,則可以依控制項網域進行篩選。 控制網域的範例包括網路安全、身分和存取管理,以及資料保護。 在 Audit Manager 轉換到 Control Catalog 提供的新控制網域集之後,某些 AWS 控制網域可能會標記為**過時**。如需詳細資訊,請參閱[我看到控制網域標記為「已過時」。這代表什麼意思?](evidence-finder-issues.md#outdated-control-domains)。 |
| Data source type (資料來源類型) | 依資料來源的類型進行深層探勘。 | 使用此條件可將結果限縮於特定資料來源。 將值設定為`Manual`,以尋找您手動上傳的證據。或者,您可以根據自動證據的來源(例如`AWS Config`、`CloudTrail`、`Security Hub CSPM` 或 `AWS API calls`)過濾自動證據。 |
| 事件名稱 | 依事件名稱進行深層探勘。 | 使用此條件可將重點放在與證據相關的特定事件上。事件是 AWS 帳戶中活動的記錄。 例如,您可以搜尋 API 呼叫的名稱,例如用於設定權限的 IAM `AttachRolePolicy` 作業。或者也搜尋 CloudTrail 關鍵字,例如 CloudTrail 在使用者登入您帳戶時記錄的 `ConsoleLogin` 事件。 |
| 資源 ARN | 按 Amazon Resource Name (ARN)進行深層探勘。 | 使用此條件來尋找與特定 AWS 資源相關的證據。 |
| Resource Type (資源類型) | 依資源類型進行深層探勘。 | 使用此條件專注於正在評估的資源類型,例如 Amazon EC2 執行個體或 S3 儲存貯體。 |
| 服務 | 依 AWS 服務 名稱向下切入。 | 使用此條件來尋找與特定 相關的證據 AWS 服務,例如 Amazon EC2、Amazon S3 或 AWS Config。 |
| 服務目錄 | 依 AWS 服務 類別向下切入。 | 使用此條件以專注於 的特定類別 AWS 服務。範例包括安全性、身分識別與合規性、資料庫和存放區。 |
### 結合篩選器
#### 條件行為
當您指定多個條件時,Audit Manager 會將 `AND` 運算子套用到您的選定內容。這表示所有條件都會分組為單一查詢,且結果必須符合所有組合的條件。
**範例**
在下列篩選器設定中,證據搜尋工具會針對呼叫 **MySOC2Assessment** 的評估,傳回過去 7 天內不合規的資源。此外,結果與 IAM 政策和指定控制項有關。
![\[選取套用的篩選器,AND 運算子會反白顯示。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/evidence-finder-filter_description-console.png)
#### 條件值行為
當您指定多個條件值時,這些值會與 `OR` 運算子連結。證據搜尋工具會傳回符合任何這些條件值的結果。
**範例**
在下列篩選條件設定中,證據搜尋工具會傳回來自 AWS CloudTrail AWS Config或 的搜尋結果 AWS Security Hub CSPM。
![\[顯示針對單一條件定義多個值的範例篩選器設定。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/evidence-finder-filter_description-multiple_values-console.png)
## 分組參考
您可以將搜尋結果分組,以加快瀏覽速度。分組顯示搜尋結果的廣度,以及它們在特定維度中的分佈方式。
您可以使用以下任一分組的數值。
| 分組依據 | Description |
| --- | --- |
| 帳戶 ID | 依 分組結果 AWS 帳戶。 |
| 控制項 | 依控制項名稱分組結果。 |
| Data source type (資料來源類型) | 依證據來源的資料來源類型分組結果。 |
| 事件名稱 | 依事件名稱分組結果。 |
| 資源 ARN | 依 Amazon Resource Name (ARN) 分組結果。 |
| Resource Type (資源類型) | 依資源類型分組結果。 |
| 服務 | 依 AWS 服務 名稱分組結果。 |
| 服務目錄 | 依 AWS 服務 類別分組結果。 |
# 證據搜尋工具的範例使用案例
證據搜尋工具可以幫助您處理多種使用範例。此頁面提供了一些範例,並建議您可以在每個案例中使用的搜尋篩選器。
**Topics**
+ [使用案例 1:尋找不合規的證據並進行委派](#use-case-find-non-compliant-evidence)
+ [使用案例 2:找出合規證據](#use-case-find-compliant-evidence)
+ [使用案例 3:執行證據資源的快速預覽](#use-case-evidence-preview)
## 使用案例 1:尋找不合規的證據並進行委派
如果您是合規官、資料保護官或監督稽核準備工作的 GRC 專業人員,則此使用案例非常理想。
當您監管組織的合規性狀況時,您可能會仰賴合作夥伴團隊來協助您修復問題。您可以使用證據搜尋工具來幫助您為合作夥伴團隊組織工作。
透過應用篩選器,您可以一次專注於一個區域的證據。此外,您還可以與您合作的每個合作夥伴團隊的責任和範圍保持一致。透過這種方式執行目標搜尋,您可以使用搜尋結果來分辨每個主題領域,瞭解實際需要補救的內容。然後,您可以將不合規的證據委託給對應的合作夥伴團隊進行補救。
對於此工作流程,請按照步驟[搜尋證據](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html)。使用下列篩選器尋找不合規的證據。
```
Assessment |
Date range |
Resource compliance | Non-compliant
```
接下來,為您要關注的區域應用其他篩選器。例如,使用**服務類別**篩選器尋找與 IAM 相關的不合規資源。然後,與擁有組織 IAM 資源的團隊共用這些結果。或者,如果您要查詢從標準架構建立的評估,您可以使用**控制項網域**篩選器來尋找與身分識別和存取管理網域相關的不合規證據。
```
Control domain |
or
Service category |
```
在您找到所需的證據之後,請依照步驟從搜尋結果產生評估報告。如需說明,請參閱[從搜尋結果產生評估報告](exporting-search-results-from-evidence-finder.md#generate-one-time-report-from-search-results)。您可以與合作夥伴團隊共享此報告,他們可以將其用作補救檢查清單。
## 使用案例 2:找出合規證據
如果您是擔任 SecOps、IT/DevOps 或其他擁有和修復雲端資產的職務,則此使用案例非常理想。
作為稽核的一部分,系統可能會要求您修正您擁有的資源的問題。完成這項工作之後,您可以使用證據搜尋工具來驗證您的資源是否合規。
對於此工作流程,請按照步驟[搜尋證據](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html)。使用下列篩選器尋找合規的證據。
```
Assessment |
Date range |
Resource compliance | Compliant
```
接下來,應用其他篩選器以縮小範圍至僅剩下您負責的證據。視您的擁有權範圍而定,視需要進行目標搜尋。下列篩選範例是從最廣到最精確的順序排列。選擇適合您的選項,並以您自己的值取代*<預留位置文字>*。
```
Control domain |
Service category |
Service |
Resource type |
Resource ARN |
```
如果您負責相同條件的多個執行個體 (例如,您擁有多個執行個體 AWS 服務),您可以依該值將[結果分組](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder-filters-and-groups.html#groups)。這項行動將為您提供與每個 AWS 服務證據相符的總證據。然後,您可以取得您擁有之服務的結果。
## 使用案例 3:執行證據資源的快速預覽
此使用案例適合所有 Audit Manager 客戶。
以前,檢閱個別證據詳細資料非常耗時。如果您想要預覽證據,您必須直接前往該評估,然後瀏覽深層巢狀的證據資料夾。現在,證據搜尋工具提供了一種預覽此資訊的便捷方法。對於符合搜尋查詢的每個證據項目,您可以預覽該證據的個別資源。
若要開始使用,請按照步驟[搜尋證據](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html)。接著,選取結果旁的選項按鈕以檢視目前頁面中的資源摘要。您可以預覽與證據項目相關的每個個別資源。若要查看任何資源的完整證據詳細資料,請選擇證據名稱。如需詳細資訊,請參閱[預覽資源摘要](viewing-search-results-in-evidence-finder.md#preview-evidence)。
![\[搜尋結果範例以及該結果的畫面資源摘要。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/evidence-finder-preview-console.png)