עורכים ביקורות כדי לאסוף את הראיות שנדרשות להערכת הארגון בהשוואה למסגרות נתמכות.Google Cloud
ביקורת היא פעולה ארוכה שיכולה להימשך כמה שעות. המשך תלוי במספר המשאבים בהיקף הביקורת, שהוא הפרויקט או התיקייה שנרשמתם אליהם קודם.
לפני שמתחילים
מוודאים שיש לכם אחד מהתפקידים הבאים ב-IAM:
- אדמין של כלי לניהול ביקורות (
roles/auditmanager.admin) - מבקר של כלי לניהול ביקורות (
roles/auditmanager.auditor) - Compliance Manager
Viewer
(
roles/cloudsecuritycompliance.viewer) (נדרש אם מבצעים ביקורת על מסגרת שיצרתם באמצעות Compliance Manager)
- אדמין של כלי לניהול ביקורות (
מוודאים שהפרויקט או התיקייה שלכם רשומים לביקורת.
הרצת בדיקה
המסוף
במסוף Google Cloud , נכנסים לדף Run assessment ב-Audit Manager.
בקטע Choose resource and region (בחירת משאב ואזור), מבצעים את הפעולות הבאות:
בוחרים את הפרויקט או התיקייה שרוצים לבדוק.
בוחרים את המיקום שבו צריך לעבד את הערכת הביקורת. רשימת המיקומים הנתמכים מופיעה במאמר מיקומים של Audit Manager.
לוחצים על הבא.
בוחרים את המסגרת שרוצים לבדוק את התאימות של המשאב אליה ולוחצים על הבא. מידע על Frameworks נתמכים זמין במאמר Frameworks נתמכים.
אופציונלי: בקטע View Assessment Plan (הצגת תוכנית ההערכה), אפשר להוריד קובץ ODS שמכיל מידע על היקף הביקורת בהתאם למסגרת שבחרתם. כדי להוריד את הקובץ, לוחצים על הקישור ואז על הבא.
בקטע Choose storage bucket, בוחרים את קטגוריית האחסון שבה רוצים לשמור את דוח הביקורת והראיות, ולוחצים על Done. אם המאגר שלכם לא מופיע ברשימה, בקשו מהאדמין לרשום את המשאב במאגר שלכם.
כדי להתחיל את הביקורת, לוחצים על הפעלת ביקורת.
אפשר לראות את סטטוס הביקורת בדף הצגת הערכות.
gcloud
אופציונלי: יצירת הערכה של ביקורת
לפני שמריצים ביקורת בפועל, אפשר ליצור הערכה (או היקף) של הביקורת שכוללת פירוט של המשימות לביקורת על סמך מסגרת התאימות שבחרתם.
הפקודה gcloud audit-manager audit-scopes generate יוצרת היקף ביקורת.
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
- RESOURCE_TYPE: סוג המשאב, פרויקט או תיקייה. לדוגמה:
foldersאוprojects. - RESOURCE_ID: מזהה המשאב של הפרויקט או התיקייה. לדוגמה:
8767234. - LOCATION: המיקום של נקודת הקצה של Audit Manager API. רשימה של נקודות הקצה הזמינות מופיעה במאמר מיקומים של Audit Manager. לדוגמה:
us-central1. - FRAMEWORK: המזהה של המסגרת שרוצים לבצע לגביה ביקורת. לדוגמה:
builtin-cis-v8. כדי למצוא את המזהה של מסגרת, אפשר לעיין בדף הצגת הערכות ב-Audit Manager. - AUDIT_REPORT_FORMAT: הפורמט של דוח הביקורת שיוצא.
יש תמיכה רק בפורמט ODF:
AUDIT_REPORT_FORMAT_ODF. - OUTPUT_DIRECTORY: הספרייה שבה צריך לאחסן את הפלט. לדוגמה:
reports. - OUTPUT_FILENAME: השם של קובץ הפלט. אל תכללו את סיומת הקובץ בשם הקובץ. לדוגמה:
scopeReport.
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud audit-manager audit-scopes generate \ --RESOURCE_TYPE=RESOURCE_ID \ --location=LOCATION \ --compliance-framework=FRAMEWORK \ --report-format=AUDIT_REPORT_FORMAT \ --output-directory=OUTPUT_DIRECTORY \ --output-file-name=OUTPUT_FILENAME
Windows (PowerShell)
gcloud audit-manager audit-scopes generate ` --RESOURCE_TYPE=RESOURCE_ID ` --location=LOCATION ` --compliance-framework=FRAMEWORK ` --report-format=AUDIT_REPORT_FORMAT ` --output-directory=OUTPUT_DIRECTORY ` --output-file-name=OUTPUT_FILENAME
Windows (cmd.exe)
gcloud audit-manager audit-scopes generate ^ --RESOURCE_TYPE=RESOURCE_ID ^ --location=LOCATION ^ --compliance-framework=FRAMEWORK ^ --report-format=AUDIT_REPORT_FORMAT ^ --output-directory=OUTPUT_DIRECTORY ^ --output-file-name=OUTPUT_FILENAME
הרצת ביקורת על פי דרישה
הפקודה gcloud audit-manager audit-reports generate מריצה בדיקה.
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
- RESOURCE_TYPE: סוג המשאב, פרויקט או תיקייה. לדוגמה:
foldersאוprojects. - RESOURCE_ID: מזהה המשאב של הפרויקט או התיקייה. לדוגמה:
8767234. - LOCATION: המיקום של נקודת הקצה של Audit Manager API. רשימה של נקודות הקצה הזמינות מופיעה במאמר מיקומים של Audit Manager. לדוגמה:
us-central1. - FRAMEWORK: המזהה של המסגרת שרוצים לבצע לגביה ביקורת. לדוגמה:
builtin-cis-v8. כדי למצוא את המזהה של מסגרת, אפשר לעיין בדף הצגת הערכות ב-Audit Manager. - BUCKET_URI: ה-URI של הקטגוריה ב-Cloud Storage. לדוגמה:
gs://testbucketauditmanager. - AUDIT_REPORT_FORMAT: הפורמט של דוח הביקורת שיוצא.
יש תמיכה רק בפורמט ODF:
AUDIT_REPORT_FORMAT_ODF.
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud audit-manager audit-reports generate \ --RESOURCE_TYPE=RESOURCE_ID \ --location=LOCATION \ --compliance-framework=FRAMEWORK \ --report-format=AUDIT_REPORT_FORMAT \ --gcs-uri=BUCKET_URI
Windows (PowerShell)
gcloud audit-manager audit-reports generate ` --RESOURCE_TYPE=RESOURCE_ID ` --location=LOCATION ` --compliance-framework=FRAMEWORK ` --report-format=AUDIT_REPORT_FORMAT ` --gcs-uri=BUCKET_URI
Windows (cmd.exe)
gcloud audit-manager audit-reports generate ^ --RESOURCE_TYPE=RESOURCE_ID ^ --location=LOCATION ^ --compliance-framework=FRAMEWORK ^ --report-format=AUDIT_REPORT_FORMAT ^ --gcs-uri=BUCKET_URI
אמורים לקבל תגובה שדומה לזו:
done: false name: projects/10398413/locations/987234/operations/operation-1726842525305-6228ddb4dca96-78a6db59-f9dd9a24
REST
אופציונלי: יצירת הערכה של ביקורת
לפני שמריצים ביקורת בפועל, אפשר ליצור הערכה (או היקף) של הביקורת שכוללת פירוט של המשימות לביקורת על סמך מסגרת התאימות שבחרתם.
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
- RESOURCE_TYPE: סוג המשאב, פרויקט או תיקייה. לדוגמה:
foldersאוprojects. - RESOURCE_ID: מזהה המשאב של הפרויקט או התיקייה. לדוגמה:
8767234. - LOCATION: המיקום של נקודת הקצה של Audit Manager API. רשימה של נקודות הקצה הזמינות מופיעה במאמר מיקומים של Audit Manager. לדוגמה:
us-central1. - FRAMEWORK: המזהה של המסגרת שרוצים לבצע לגביה ביקורת. לדוגמה:
builtin-cis-v8. כדי למצוא את המזהה של מסגרת, אפשר לעיין בדף הצגת הערכות ב-Audit Manager. - AUDIT_REPORT_FORMAT: הפורמט של דוח הביקורת שיוצא.
יש תמיכה רק בפורמט ODF:
AUDIT_REPORT_FORMAT_ODF.
ה-method של ה-HTTP וכתובת ה-URL:
POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate
גוף בקשת JSON:
{
"compliance_framework" : "FRAMEWORK"
"report_format" : "AUDIT_REPORT_FORMAT"
}
כדי לשלוח את הבקשה עליכם לבחור אחת מהאפשרויות הבאות:
curl
שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate"
PowerShell
שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate" | Select-Object -Expand Content
אתם אמורים לקבל תגובת JSON שדומה לזו:
{
"scope_report_contents" : "980u43nrf090834uhbkfehf......"
"name" : "folders/8767234/locations/us-west"
}
התגובה כוללת את הפרטים הבאים:
-
name: מזהה מחרוזת ייחודי של המשאב הרלוונטי.
השדה scope_reports_contents הוא פורמט הבייטים של התוכן,
שצריך להמיר לפורמט ODF לפני הבדיקה.
הרצת ביקורת על פי דרישה
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
- RESOURCE_TYPE: סוג המשאב, פרויקט או תיקייה. לדוגמה:
foldersאוprojects. - RESOURCE_ID: מזהה המשאב של הפרויקט או התיקייה. לדוגמה:
8767234. - LOCATION: המיקום של נקודת הקצה של Audit Manager API. רשימה של נקודות הקצה הזמינות מופיעה במאמר מיקומים של Audit Manager. לדוגמה:
us-central1. - FRAMEWORK: המזהה של המסגרת שרוצים לבצע לגביה ביקורת. לדוגמה:
builtin-cis-v8. כדי למצוא את המזהה של מסגרת, אפשר לעיין בדף הצגת הערכות ב-Audit Manager. - BUCKET_URI: ה-URI של הקטגוריה ב-Cloud Storage. לדוגמה:
gs://testbucketauditmanager. - AUDIT_REPORT_FORMAT: הפורמט של דוח הביקורת שיוצא.
יש תמיכה רק בפורמט ODF:
AUDIT_REPORT_FORMAT_ODF.
ה-method של ה-HTTP וכתובת ה-URL:
POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate
גוף בקשת JSON:
{
"destination" : {
"gcs_uri" : "BUCKET_URI"
},
"compliance_framework" : "FRAMEWORK"
"report_format" : "AUDIT_REPORT_FORMAT"
}
כדי לשלוח את הבקשה עליכם לבחור אחת מהאפשרויות הבאות:
curl
שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate"
PowerShell
שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate" | Select-Object -Expand Content
אתם אמורים לקבל תגובת JSON שדומה לזו:
{
"name": "organizations/834/projects/10398413/locations/987234/operations/098234",
"done": false
}
התגובה כוללת את הפרטים הבאים:
-
name: מזהה מחרוזת ייחודי של בקשת פעולת הערכת הביקורת. המזהה הזה משמש למעקב אחרי ההתקדמות בתהליך של הערכת הביקורת. לדוגמה:operation/098234. -
done: דגל בוליאני שמוגדר לערךfalseומציין שהתהליך הופעל. הערך הזה מוגדר ל-trueכשהערכת הביקורת מסתיימת.