Visão geral do Audit Manager

O Audit Manager é uma solução de auditoria de compliance que ajuda a simplificar o processo de auditoria de compliance no Google Cloud. Com o Audit Manager, é possível executar auditorias em frameworks integrados e personalizados definidos usando o Compliance Manager ou os frameworks do Assured Workloads (prévia).

O Audit Manager tem os seguintes recursos:

  • Uma matriz de responsabilidades compartilhadas que mostra a separação de funções e recomendações para gerenciar suas responsabilidades.
  • Documentos de compliance para Google Cloud
  • Avaliações de compliance automatizadas para avaliar os controles de compliance em cargas de trabalho e entender o estado de compliance delas.
  • Coleta de evidências para auditorias de compliance.
  • Identificação de lacunas para ajudar a corrigir as violações geradas.

O Audit Manager pode fornecer avaliações para qualquer projeto ou pasta do Google Cloud .

Frameworks compatíveis

O Audit Manager pode avaliar seus recursos em relação aos controles de nuvem e aos controles dos seguintes frameworks integrados:

Se você comprar assinaturas do Security Command Center Premium ou Enterprise ou ativar o Assured Workloads, o seguinte vai acontecer:

Migrar de frameworks mais antigos

Se você fez uma auditoria antes de 30 de junho de 2026, usou frameworks diferentes. Esses frameworks não estão mais disponíveis para executar auditorias. A tabela a seguir mapeia os frameworks mais antigos para os que podem ser implantados usando o Compliance Manager ou os frameworks do Assured Workloads (prévia).

Framework mais antigo Framework equivalente do Audit Manager Framework equivalente do Compliance Manager (Prévia) Frameworks equivalentes do Assured Workloads
Revisão 4 da NIST 800-53 Revisão 5 da NIST 800-53 Revisão 5 da NIST 800-53
Controles de IA recomendados pelo Google [1] [1]
SOC2 2017 SOC2 2017 SOC2 2017 SOC2 2017
CIS Controls v8 CIS Critical Security Controls v8 CIS Critical Security Controls v8
PCI DSS 4.0 PCI DSS v4.0.1 PCI DSS v4.0.1
Matriz de controles de nuvem 4.0 CSA Cloud Controls Matrix v4.0.11 CSA Cloud Controls Matrix v4.0.11
NIST CSF v1 Framework de segurança cibernética do NIST 1.1 Framework de segurança cibernética do NIST 1.1
Comparativo de mercado CIS Google Cloud Foundation 2.0 Comparativo de mercado CIS GCP Foundations v3.0 Comparativo de mercado CIS GCP Foundations v3.0
ISO 27001 2022 ISO 27001:2022 ISO 27001:2022

Se você executou auditorias usando os frameworks mais antigos, ainda poderá conferir os relatórios de auditoria na página Ver avaliações e nos buckets do Cloud Storage em que os relatórios foram armazenados.

1 Os frameworks do Compliance Manager e do Assured Workloads (prévia) incluem o framework integrado Fundamentos da IA recomendados pelo Google: Gemini Enterprise Agent Platform. É possível usar esse framework em vez do framework mais antigo de controles de IA recomendados pelo Google, embora ele use controles diferentes para avaliar seu ambiente.

Frameworks personalizados

Antes de 30 de junho de 2026, o Audit Manager incluía um recurso de prévia que permitia criar estruturas personalizadas. Se você criou uma estrutura personalizada usando esse recurso de prévia, ainda poderá executar auditorias na estrutura personalizada e conferir os relatórios criados. No entanto, não é possível visualizar nem editar seu framework personalizado.

Se nenhum dos frameworks integrados no Audit Manager se aplicar ao seu ambiente, use as seguintes opções:

Controles e controles de nuvem

O Audit Manager inclui controles e controles de nuvem nos frameworks. Considere o seguinte:

  • Os controles são objetivos gerais que permitem avaliar a proteção de ativos, a mitigação de riscos e os objetivos regulatórios de negócios. Os controles podem ser compostos de controles técnicos e não técnicos da nuvem.

  • Os controles de nuvem são definidos por software e verificam configurações específicas no seu ambiente Google Cloud . A maioria dos controles de nuvem é técnica. Por exemplo, um controle é um requisito regulatório para auditar seu ambiente, e um controle de nuvem é o mecanismo específico para garantir que os registros de auditoria do Cloud estejam ativados para várias APIs.

  • Os frameworks são coleções de controles e controles de nuvem que ajudam você a atender a um padrão regulatório específico. Por exemplo, o Audit Manager inclui um framework para a ISO 27001 2022. Os controles de nuvem e técnicos incluem uma ou mais regras que o Audit Manager pode verificar durante uma auditoria e coletar evidências.

Como os controles e os controles de nuvem são auditados

A forma como o Audit Manager audita um controle ou controle de nuvem depende de se ele pode avaliar tecnicamente o controle ou o controle de nuvem. Considere o seguinte:

  • Alguns controles ou controles de nuvem exigem revisões manuais porque não há chamadas de API que o Audit Manager possa fazer para validá-los. Por exemplo, um controle pode exigir que você revise sistemas de acesso que não estão noGoogle Cloud. Se um controle ou controle na nuvem exigir uma revisão manual, o Audit Manager vai criar uma observação informando que você precisa concluir a revisão por conta própria. Evidências técnicas podem ser geradas. O estado do controle ou do controle na nuvem é Opcional: análise manual necessária.

  • Alguns controles ou controles de nuvem se aplicam diretamente a um valor específico em Google Cloud. Por exemplo, um controle de nuvem pode exigir que você ative a CMEK para buckets do Cloud Storage. Nesse cenário, o Audit Manager pode fazer uma chamada de API para verificar uma configuração específica. O valor retornado é a evidência. Em seguida, o Audit Manager pode avaliar se as evidências atendem ou não às regras esperadas. O Audit Manager cria uma observação que inclui as evidências e a avaliação. O estado de um controle ou controle na nuvem pode ser qualquer um dos seguintes:

    • Se o Audit Manager avaliar que a evidência atende à regra, o estado do controle ou do controle do Cloud será Em conformidade.

    • Se o Audit Manager avaliar a evidência como uma falha na regra, o estado do controle ou do controle de nuvem será falha. Para controles ou controles de nuvem que incluem várias regras, se alguma regra falhar, o estado será Violação.

    • Se o Audit Manager encontrar algum tipo de erro durante esse processo (por exemplo, um tempo limite de chamada de API), o estado do controle ou do controle na nuvem será Ignorado.

Fluxo de trabalho do Audit Manager

O fluxo de trabalho de alto nível do Audit Manager envolve configurar o acesso e gerenciar auditorias.

  1. Para configurar o acesso ao Audit Manager, você precisa ser um administrador do Audit Manager (roles/auditmanager.admin) e inscrever recursos para auditoria.
  2. Para gerenciar auditorias, você pode ser um administrador ou um auditor e fazer o seguinte:
    1. Executar auditorias.
    2. Receba o status da auditoria.
    3. Acessar relatórios detalhados do Gerenciador de auditoria.

A seguir