הפעלת ביקורת תאימות ב-Google Cloud

עורכים ביקורות כדי לאסוף את הראיות שנדרשות להערכת הארגון בהשוואה למסגרות נתמכות.Google Cloud

ביקורת היא פעולה ארוכה שיכולה להימשך כמה שעות. המשך תלוי במספר המשאבים בהיקף הביקורת, שהוא הפרויקט או התיקייה שנרשמתם אליהם קודם.

לפני שמתחילים

  • מוודאים שיש לכם אחד מהתפקידים הבאים ב-IAM:

    • אדמין של כלי לניהול ביקורות (roles/auditmanager.admin)
    • מבקר של כלי לניהול ביקורות (roles/auditmanager.auditor)
    • Compliance Manager Viewer (roles/cloudsecuritycompliance.viewer) (נדרש אם מבצעים ביקורת על מסגרת שיצרתם באמצעות Compliance Manager)
  • מוודאים שהפרויקט או התיקייה שלכם רשומים לביקורת.

הרצת בדיקה

המסוף

  1. במסוף Google Cloud , נכנסים לדף Run assessment ב-Audit Manager.

    מעבר אל הכלי לניהול ביקורות

  2. בקטע Choose resource and region (בחירת משאב ואזור), מבצעים את הפעולות הבאות:

    1. בוחרים את הפרויקט או התיקייה שרוצים לבדוק.

    2. בוחרים את המיקום שבו צריך לעבד את הערכת הביקורת. רשימת המיקומים הנתמכים מופיעה במאמר מיקומים של Audit Manager.

    3. לוחצים על הבא.

  3. בוחרים את המסגרת שרוצים לבדוק את התאימות של המשאב אליה ולוחצים על הבא. מידע על Frameworks נתמכים זמין במאמר Frameworks נתמכים.

  4. אופציונלי: בקטע View Assessment Plan (הצגת תוכנית ההערכה), אפשר להוריד קובץ ODS שמכיל מידע על היקף הביקורת בהתאם למסגרת שבחרתם. כדי להוריד את הקובץ, לוחצים על הקישור ואז על הבא.

  5. בקטע Choose storage bucket, בוחרים את קטגוריית האחסון שבה רוצים לשמור את דוח הביקורת והראיות, ולוחצים על Done. אם המאגר שלכם לא מופיע ברשימה, בקשו מהאדמין לרשום את המשאב במאגר שלכם.

  6. כדי להתחיל את הביקורת, לוחצים על הפעלת ביקורת.

    אפשר לראות את סטטוס הביקורת בדף הצגת הערכות.

gcloud

אופציונלי: יצירת הערכה של ביקורת

לפני שמריצים ביקורת בפועל, אפשר ליצור הערכה (או היקף) של הביקורת שכוללת פירוט של המשימות לביקורת על סמך מסגרת התאימות שבחרתם.

הפקודה gcloud audit-manager audit-scopes generate יוצרת היקף ביקורת.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

  • RESOURCE_TYPE: סוג המשאב, פרויקט או תיקייה. לדוגמה: folders או projects.
  • RESOURCE_ID: מזהה המשאב של הפרויקט או התיקייה. לדוגמה: 8767234.
  • LOCATION: המיקום של נקודת הקצה של Audit Manager API. רשימה של נקודות הקצה הזמינות מופיעה במאמר מיקומים של Audit Manager. לדוגמה: us-central1.
  • FRAMEWORK: המזהה של המסגרת שרוצים לבצע לגביה ביקורת. לדוגמה: builtin-cis-v8. כדי למצוא את המזהה של מסגרת, אפשר לעיין בדף הצגת הערכות ב-Audit Manager.
  • AUDIT_REPORT_FORMAT: הפורמט של דוח הביקורת שיוצא. יש תמיכה רק בפורמט ODF: ‏ AUDIT_REPORT_FORMAT_ODF.
  • OUTPUT_DIRECTORY: הספרייה שבה צריך לאחסן את הפלט. לדוגמה: reports.
  • OUTPUT_FILENAME: השם של קובץ הפלט. אל תכללו את סיומת הקובץ בשם הקובץ. לדוגמה:scopeReport.

מריצים את הפקודה הבאה:

‫Linux,‏ macOS או Cloud Shell

gcloud audit-manager audit-scopes generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=FRAMEWORK \
    --report-format=AUDIT_REPORT_FORMAT \
    --output-directory=OUTPUT_DIRECTORY \
    --output-file-name=OUTPUT_FILENAME

‏Windows (PowerShell)

gcloud audit-manager audit-scopes generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=FRAMEWORK `
    --report-format=AUDIT_REPORT_FORMAT `
    --output-directory=OUTPUT_DIRECTORY `
    --output-file-name=OUTPUT_FILENAME

Windows‏ (cmd.exe)

gcloud audit-manager audit-scopes generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=FRAMEWORK ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --output-directory=OUTPUT_DIRECTORY ^
    --output-file-name=OUTPUT_FILENAME

הרצת ביקורת על פי דרישה

הפקודה gcloud audit-manager audit-reports generate מריצה בדיקה.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

  • RESOURCE_TYPE: סוג המשאב, פרויקט או תיקייה. לדוגמה: folders או projects.
  • RESOURCE_ID: מזהה המשאב של הפרויקט או התיקייה. לדוגמה: 8767234.
  • LOCATION: המיקום של נקודת הקצה של Audit Manager API. רשימה של נקודות הקצה הזמינות מופיעה במאמר מיקומים של Audit Manager. לדוגמה: us-central1.
  • FRAMEWORK: המזהה של המסגרת שרוצים לבצע לגביה ביקורת. לדוגמה: builtin-cis-v8. כדי למצוא את המזהה של מסגרת, אפשר לעיין בדף הצגת הערכות ב-Audit Manager.
  • BUCKET_URI: ה-URI של הקטגוריה ב-Cloud Storage. לדוגמה: gs://testbucketauditmanager.
  • AUDIT_REPORT_FORMAT: הפורמט של דוח הביקורת שיוצא. יש תמיכה רק בפורמט ODF: ‏ AUDIT_REPORT_FORMAT_ODF.

מריצים את הפקודה הבאה:

‫Linux,‏ macOS או Cloud Shell

gcloud audit-manager audit-reports generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=FRAMEWORK \
    --report-format=AUDIT_REPORT_FORMAT \
    --gcs-uri=BUCKET_URI

‏Windows (PowerShell)

gcloud audit-manager audit-reports generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=FRAMEWORK `
    --report-format=AUDIT_REPORT_FORMAT `
    --gcs-uri=BUCKET_URI

Windows‏ (cmd.exe)

gcloud audit-manager audit-reports generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=FRAMEWORK ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --gcs-uri=BUCKET_URI

אמורים לקבל תגובה שדומה לזו:

done: false
name: projects/10398413/locations/987234/operations/operation-1726842525305-6228ddb4dca96-78a6db59-f9dd9a24

REST

אופציונלי: יצירת הערכה של ביקורת

לפני שמריצים ביקורת בפועל, אפשר ליצור הערכה (או היקף) של הביקורת שכוללת פירוט של המשימות לביקורת על סמך מסגרת התאימות שבחרתם.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • RESOURCE_TYPE: סוג המשאב, פרויקט או תיקייה. לדוגמה: folders או projects.
  • RESOURCE_ID: מזהה המשאב של הפרויקט או התיקייה. לדוגמה: 8767234.
  • LOCATION: המיקום של נקודת הקצה של Audit Manager API. רשימה של נקודות הקצה הזמינות מופיעה במאמר מיקומים של Audit Manager. לדוגמה: us-central1.
  • FRAMEWORK: המזהה של המסגרת שרוצים לבצע לגביה ביקורת. לדוגמה: builtin-cis-v8. כדי למצוא את המזהה של מסגרת, אפשר לעיין בדף הצגת הערכות ב-Audit Manager.
  • AUDIT_REPORT_FORMAT: הפורמט של דוח הביקורת שיוצא. יש תמיכה רק בפורמט ODF: ‏ AUDIT_REPORT_FORMAT_ODF.

ה-method של ה-HTTP וכתובת ה-URL:

POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate

גוף בקשת JSON:


{
  "compliance_framework" : "FRAMEWORK"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

כדי לשלוח את הבקשה עליכם לבחור אחת מהאפשרויות הבאות:

curl

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate"

PowerShell

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{

  "scope_report_contents" : "980u43nrf090834uhbkfehf......"
  "name" : "folders/8767234/locations/us-west"
}

התגובה כוללת את הפרטים הבאים:

    השדה scope_reports_contents הוא פורמט הבייטים של התוכן, שצריך להמיר לפורמט ODF לפני הבדיקה.

  • name: מזהה מחרוזת ייחודי של המשאב הרלוונטי.

הרצת ביקורת על פי דרישה

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • RESOURCE_TYPE: סוג המשאב, פרויקט או תיקייה. לדוגמה: folders או projects.
  • RESOURCE_ID: מזהה המשאב של הפרויקט או התיקייה. לדוגמה: 8767234.
  • LOCATION: המיקום של נקודת הקצה של Audit Manager API. רשימה של נקודות הקצה הזמינות מופיעה במאמר מיקומים של Audit Manager. לדוגמה: us-central1.
  • FRAMEWORK: המזהה של המסגרת שרוצים לבצע לגביה ביקורת. לדוגמה: builtin-cis-v8. כדי למצוא את המזהה של מסגרת, אפשר לעיין בדף הצגת הערכות ב-Audit Manager.
  • BUCKET_URI: ה-URI של הקטגוריה ב-Cloud Storage. לדוגמה: gs://testbucketauditmanager.
  • AUDIT_REPORT_FORMAT: הפורמט של דוח הביקורת שיוצא. יש תמיכה רק בפורמט ODF: ‏ AUDIT_REPORT_FORMAT_ODF.

ה-method של ה-HTTP וכתובת ה-URL:

POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate

גוף בקשת JSON:


{
  "destination" : {
    "gcs_uri" : "BUCKET_URI"
  },
  "compliance_framework" : "FRAMEWORK"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

כדי לשלוח את הבקשה עליכם לבחור אחת מהאפשרויות הבאות:

curl

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate"

PowerShell

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "name": "organizations/834/projects/10398413/locations/987234/operations/098234",
  "done": false
}

התגובה כוללת את הפרטים הבאים:

  • name: מזהה מחרוזת ייחודי של בקשת פעולת הערכת הביקורת. המזהה הזה משמש למעקב אחרי ההתקדמות בתהליך של הערכת הביקורת. לדוגמה: operation/098234.
  • done: דגל בוליאני שמוגדר לערך false ומציין שהתהליך הופעל. הערך הזה מוגדר ל-true כשהערכת הביקורת מסתיימת.

המאמרים הבאים