Führen Sie Audits durch, um die erforderlichen Nachweise zu sammeln, mit denen Sie IhreGoogle Cloud -Organisation anhand unterstützter Frameworks bewerten können.
Eine Prüfung ist ein Vorgang mit langer Ausführungszeit, der einige Stunden dauern kann. Die Dauer hängt von der Anzahl der Ressourcen im Prüfbereich ab. Das ist das Projekt oder der Ordner, das bzw. den Sie zuvor registriert haben.
Hinweis
Prüfen Sie, ob Sie eine der folgenden IAM-Rollen haben:
- Audit Manager-Administrator (
roles/auditmanager.admin) - Audit Manager Auditor (
roles/auditmanager.auditor) - Compliance Manager-Betrachter (
roles/cloudsecuritycompliance.viewer) (erforderlich, wenn Sie ein Framework prüfen, das Sie mit Compliance Manager erstellt haben)
- Audit Manager-Administrator (
Prüfen Sie, ob Ihr Projekt oder Ordner für die Prüfung registriert wurde.
Audit ausführen
Console
Rufen Sie in der Google Cloud Console in Audit Manager die Seite Run assessment auf.
Führen Sie im Abschnitt Ressource und Region auswählen die folgenden Schritte aus:
Wählen Sie das Projekt oder den Ordner aus, das bzw. der geprüft werden soll.
Wählen Sie den Standort aus, an dem die Audit-Bewertung verarbeitet werden muss. Eine Liste der unterstützten Standorte finden Sie unter Audit Manager-Standorte.
Klicken Sie auf Weiter.
Wählen Sie das Framework aus, anhand dessen Sie Ihre Ressource prüfen möchten, und klicken Sie auf Weiter. Informationen zu unterstützten Frameworks finden Sie unter Unterstützte Frameworks.
Optional: Im Abschnitt Bewertungsplan ansehen können Sie eine ODS-Datei herunterladen, die Informationen zum Prüfumfang basierend auf dem ausgewählten Framework enthält. Klicken Sie auf den Link, um die Datei herunterzuladen, und klicken Sie dann auf Weiter.
Wählen Sie im Abschnitt Speicher-Bucket auswählen einen Speicher-Bucket aus, in dem der Prüfbericht und die Nachweise gespeichert werden sollen, und klicken Sie auf Fertig. Wenn Ihr Bucket nicht aufgeführt ist, bitten Sie Ihren Administrator, Ihre Ressource mit Ihrem Speicher-Bucket zu registrieren.
Klicken Sie auf Prüfung ausführen, um die Prüfung zu starten.
Sie können den Prüfstatus auf der Seite Bewertungen ansehen einsehen.
gcloud
Optional: Audit-Bewertung erstellen
Bevor Sie eine tatsächliche Prüfung durchführen, können Sie eine Prüfungsbewertung (oder einen Umfang) erstellen, die eine detaillierte Aufschlüsselung der Aufgaben für die Prüfung basierend auf dem von Ihnen ausgewählten Compliance-Framework enthält.
Mit dem Befehl gcloud audit-manager audit-scopes generate wird ein Prüfbereich generiert.
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
- RESOURCE_TYPE: Der Ressourcentyp, entweder ein Projekt oder ein Ordner. Beispiel:
foldersoderprojects - RESOURCE_ID: die Ressourcen-ID des Projekts oder Ordners. Beispiel:
8767234 - LOCATION: Der Speicherort des Audit Manager API-Endpunkt. Eine Liste der verfügbaren Endpunkte finden Sie unter Audit Manager-Standorte. Beispiel:
us-central1. - FRAMEWORK: die ID des Frameworks, anhand dessen geprüft werden soll. Beispiel:
builtin-cis-v8Die ID eines Frameworks finden Sie in Audit Manager auf der Seite View assessments (Bewertungen ansehen). - AUDIT_REPORT_FORMAT: Das Format des ausgegebenen Auditberichts.
Es wird nur das ODF-Format unterstützt:
AUDIT_REPORT_FORMAT_ODF. - OUTPUT_DIRECTORY: Das Verzeichnis, in dem die Ausgabe gespeichert werden muss. Beispiel:
reports - OUTPUT_FILENAME: Der Name der Ausgabedatei. Geben Sie die Dateiendung nicht im Dateinamen an. Beispiel:
scopeReport.
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud audit-manager audit-scopes generate \ --RESOURCE_TYPE=RESOURCE_ID \ --location=LOCATION \ --compliance-framework=FRAMEWORK \ --report-format=AUDIT_REPORT_FORMAT \ --output-directory=OUTPUT_DIRECTORY \ --output-file-name=OUTPUT_FILENAME
Windows (PowerShell)
gcloud audit-manager audit-scopes generate ` --RESOURCE_TYPE=RESOURCE_ID ` --location=LOCATION ` --compliance-framework=FRAMEWORK ` --report-format=AUDIT_REPORT_FORMAT ` --output-directory=OUTPUT_DIRECTORY ` --output-file-name=OUTPUT_FILENAME
Windows (cmd.exe)
gcloud audit-manager audit-scopes generate ^ --RESOURCE_TYPE=RESOURCE_ID ^ --location=LOCATION ^ --compliance-framework=FRAMEWORK ^ --report-format=AUDIT_REPORT_FORMAT ^ --output-directory=OUTPUT_DIRECTORY ^ --output-file-name=OUTPUT_FILENAME
On-demand-Audit ausführen
Mit dem Befehl gcloud audit-manager audit-reports generate wird eine Prüfung ausgeführt.
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
- RESOURCE_TYPE: Der Ressourcentyp, entweder ein Projekt oder ein Ordner. Beispiel:
foldersoderprojects - RESOURCE_ID: die Ressourcen-ID des Projekts oder Ordners. Beispiel:
8767234 - LOCATION: Der Speicherort des Audit Manager API-Endpunkt. Eine Liste der verfügbaren Endpunkte finden Sie unter Audit Manager-Standorte. Beispiel:
us-central1. - FRAMEWORK: die ID des Frameworks, anhand dessen geprüft werden soll. Beispiel:
builtin-cis-v8Die ID eines Frameworks finden Sie in Audit Manager auf der Seite View assessments (Bewertungen ansehen). - BUCKET_URI: Der URI des Cloud Storage-Bucket. Beispiel:
gs://testbucketauditmanager. - AUDIT_REPORT_FORMAT: Das Format des ausgegebenen Auditberichts.
Es wird nur das ODF-Format unterstützt:
AUDIT_REPORT_FORMAT_ODF.
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud audit-manager audit-reports generate \ --RESOURCE_TYPE=RESOURCE_ID \ --location=LOCATION \ --compliance-framework=FRAMEWORK \ --report-format=AUDIT_REPORT_FORMAT \ --gcs-uri=BUCKET_URI
Windows (PowerShell)
gcloud audit-manager audit-reports generate ` --RESOURCE_TYPE=RESOURCE_ID ` --location=LOCATION ` --compliance-framework=FRAMEWORK ` --report-format=AUDIT_REPORT_FORMAT ` --gcs-uri=BUCKET_URI
Windows (cmd.exe)
gcloud audit-manager audit-reports generate ^ --RESOURCE_TYPE=RESOURCE_ID ^ --location=LOCATION ^ --compliance-framework=FRAMEWORK ^ --report-format=AUDIT_REPORT_FORMAT ^ --gcs-uri=BUCKET_URI
Sie sollten eine Antwort ähnlich der folgenden erhalten:
done: false name: projects/10398413/locations/987234/operations/operation-1726842525305-6228ddb4dca96-78a6db59-f9dd9a24
REST
Optional: Audit-Bewertung erstellen
Bevor Sie eine tatsächliche Prüfung durchführen, können Sie eine Prüfungsbewertung (oder einen Umfang) erstellen, die eine detaillierte Aufschlüsselung der Aufgaben für die Prüfung basierend auf dem von Ihnen ausgewählten Compliance-Framework enthält.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
- RESOURCE_TYPE: Der Ressourcentyp, entweder ein Projekt oder ein Ordner. Beispiel:
foldersoderprojects - RESOURCE_ID: die Ressourcen-ID des Projekts oder Ordners. Beispiel:
8767234 - LOCATION: Der Speicherort des Audit Manager API-Endpunkt. Eine Liste der verfügbaren Endpunkte finden Sie unter Audit Manager-Standorte. Beispiel:
us-central1. - FRAMEWORK: die ID des Frameworks, anhand dessen geprüft werden soll. Beispiel:
builtin-cis-v8Die ID eines Frameworks finden Sie in Audit Manager auf der Seite View assessments (Bewertungen ansehen). - AUDIT_REPORT_FORMAT: Das Format des ausgegebenen Auditberichts.
Es wird nur das ODF-Format unterstützt:
AUDIT_REPORT_FORMAT_ODF.
HTTP-Methode und URL:
POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate
JSON-Text der Anfrage:
{
"compliance_framework" : "FRAMEWORK"
"report_format" : "AUDIT_REPORT_FORMAT"
}
Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:
curl
Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate"
PowerShell
Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate" | Select-Object -Expand Content
Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:
{
"scope_report_contents" : "980u43nrf090834uhbkfehf......"
"name" : "folders/8767234/locations/us-west"
}
Die Antwort enthält die folgenden Informationen:
name: Eine eindeutige String-Kennung der entsprechenden Ressource.
Das Feld scope_reports_contents enthält das Byte-Format des Inhalts, das vor der Überprüfung in das ODF-Format konvertiert werden muss.
On-demand-Audit ausführen
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
- RESOURCE_TYPE: Der Ressourcentyp, entweder ein Projekt oder ein Ordner. Beispiel:
foldersoderprojects - RESOURCE_ID: die Ressourcen-ID des Projekts oder Ordners. Beispiel:
8767234 - LOCATION: Der Speicherort des Audit Manager API-Endpunkt. Eine Liste der verfügbaren Endpunkte finden Sie unter Audit Manager-Standorte. Beispiel:
us-central1. - FRAMEWORK: die ID des Frameworks, anhand dessen geprüft werden soll. Beispiel:
builtin-cis-v8Die ID eines Frameworks finden Sie in Audit Manager auf der Seite View assessments (Bewertungen ansehen). - BUCKET_URI: Der URI des Cloud Storage-Bucket. Beispiel:
gs://testbucketauditmanager. - AUDIT_REPORT_FORMAT: Das Format des ausgegebenen Auditberichts.
Es wird nur das ODF-Format unterstützt:
AUDIT_REPORT_FORMAT_ODF.
HTTP-Methode und URL:
POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate
JSON-Text der Anfrage:
{
"destination" : {
"gcs_uri" : "BUCKET_URI"
},
"compliance_framework" : "FRAMEWORK"
"report_format" : "AUDIT_REPORT_FORMAT"
}
Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:
curl
Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate"
PowerShell
Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate" | Select-Object -Expand Content
Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:
{
"name": "organizations/834/projects/10398413/locations/987234/operations/098234",
"done": false
}
Die Antwort enthält die folgenden Informationen:
name: Eine eindeutige String-Kennung der Anfrage für die Überprüfung. Diese Kennung wird verwendet, um den Fortschritt des Audit-Bewertungsprozesses zu verfolgen. Beispiel:operation/098234done: Ein boolesches Flag, das auffalsegesetzt ist und angibt, dass der Prozess ausgelöst wurde. Dieser Wert wird auftruegesetzt, wenn die Prüfung abgeschlossen ist.