Pianifica ed esegui audit per raccogliere le prove necessarie per valutare la tua Google Cloud organizzazione in base ai framework supportati.
Un audit è un'operazione a lunga esecuzione che potrebbe richiedere alcune ore. La durata dipende dal numero di risorse nell'ambito di controllo, ovvero l'organizzazione (anteprima), il progetto o la cartella a cui ti sei registrato in precedenza.
Puoi pianificare l'esecuzione degli audit (anteprima) a intervalli regolari e specificare un periodo di tempo per un audit pianificato. Puoi creare una pianificazione per un framework e una risorsa specifici solo se non esiste già una pianificazione attiva o in pausa per la combinazione di framework e risorsa.
Prima di iniziare
Assicurati di disporre di uno dei seguenti ruoli IAM:
- Audit Manager Admin (
roles/auditmanager.admin) - Audit Manager Auditor (
roles/auditmanager.auditor) - Visualizzatore
di Compliance Manager
(
roles/cloudsecuritycompliance.viewer) (obbligatorio se stai eseguendo l'audit di un framework che hai creato utilizzando Compliance Manager)
- Audit Manager Admin (
Assicurati che la tua organizzazione, il tuo progetto o la tua cartella siano stati registrati per il controllo.
Esegui un controllo
Console
Nella console Google Cloud , vai alla pagina Esegui valutazione in Audit Manager.
Nella sezione Scegli risorsa e regione:
Seleziona l'organizzazione (anteprima), la cartella o il progetto da controllare.
Seleziona il framework rispetto al quale vuoi controllare la risorsa. Per informazioni sui framework supportati, vedi Framework supportati.
Seleziona la località in cui deve essere elaborata la valutazione dell'audit. Per l'elenco delle località supportate, consulta Località di Audit Manager.
Fai clic su Avanti.
Seleziona il framework in base al quale vuoi eseguire l'audit della risorsa e fai clic su Avanti. Per informazioni sui framework supportati, vedi Framework supportati.
(Facoltativo) Nella sezione Visualizza piano di valutazione, puoi scaricare un file ODS che contiene informazioni sull'ambito dell'audit in base al framework selezionato. Per scaricare il file, fai clic sul link e poi su Avanti.
Nella sezione Scegli bucket di archiviazione, seleziona un bucket di archiviazione in cui devono essere salvati il report di audit e le prove e fai clic su Fine. Se il tuo bucket non è elencato, chiedi all'amministratore di registrare la tua risorsa con il tuo bucket di archiviazione.
(Anteprima) (facoltativo) Nella sezione Pianificazione, imposta una delle seguenti opzioni:
La frequenza con cui ripetere il controllo (giornaliera, mensile, trimestrale o annuale).
Il periodo di tempo da includere nell'audit. Se scegli Senza fine, il controllo continua a essere eseguito dalla data di inizio specificata, finché non lo interrompi manualmente.
Per avviare il controllo, fai clic su Esegui controllo o Esegui controllo pianificato.
Puoi visualizzare lo stato dell'audit nella pagina Visualizza valutazioni.
gcloud
(Facoltativo) Genera una valutazione di controllo
Prima di eseguire un audit effettivo, puoi generare una valutazione dell'audit (o ambito) che includa una suddivisione dettagliata delle attività per l'audit in base al framework di conformità scelto.
Il comando gcloud audit-manager audit-scopes generate
genera un ambito di controllo.
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
- RESOURCE_TYPE: il tipo di risorsa, che può essere un'organizzazione (anteprima), una cartella o un progetto. Ad esempio:
foldersoprojects. - RESOURCE_ID: l'ID risorsa dell'organizzazione (anteprima), del progetto o della cartella. Ad esempio
8767234. - LOCATION: la posizione dell'endpoint API Audit Manager. Per un elenco degli
endpoint disponibili, consulta Località di Audit Manager. Ad esempio
us-central1. - FRAMEWORK: l'ID del framework da controllare. Ad esempio:
builtin-cis-v8. Per trovare l'ID di un framework, consulta la pagina Visualizza valutazioni in Audit Manager. - AUDIT_REPORT_FORMAT: il formato del report di controllo di output.
È supportato solo il formato ODF:
AUDIT_REPORT_FORMAT_ODF. - OUTPUT_DIRECTORY: la directory in cui deve essere archiviato l'output. Ad esempio:
reports. - OUTPUT_FILENAME: il nome del file di output. Non includere l'estensione del file nel nome file. Ad esempio:
scopeReport.
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud audit-manager audit-scopes generate \ --RESOURCE_TYPE=RESOURCE_ID \ --location=LOCATION \ --compliance-framework=FRAMEWORK \ --report-format=AUDIT_REPORT_FORMAT \ --output-directory=OUTPUT_DIRECTORY \ --output-file-name=OUTPUT_FILENAME
Windows (PowerShell)
gcloud audit-manager audit-scopes generate ` --RESOURCE_TYPE=RESOURCE_ID ` --location=LOCATION ` --compliance-framework=FRAMEWORK ` --report-format=AUDIT_REPORT_FORMAT ` --output-directory=OUTPUT_DIRECTORY ` --output-file-name=OUTPUT_FILENAME
Windows (cmd.exe)
gcloud audit-manager audit-scopes generate ^ --RESOURCE_TYPE=RESOURCE_ID ^ --location=LOCATION ^ --compliance-framework=FRAMEWORK ^ --report-format=AUDIT_REPORT_FORMAT ^ --output-directory=OUTPUT_DIRECTORY ^ --output-file-name=OUTPUT_FILENAME
Eseguire un controllo on demand
Non puoi pianificare un audit (anteprima) o generare report a livello di organizzazione (anteprima) utilizzando gcloud CLI.
Il comando
gcloud audit-manager audit-reports generate
esegue un controllo.
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
- RESOURCE_TYPE: il tipo di risorsa, che può essere un'organizzazione (anteprima), una cartella o un progetto. Ad esempio:
foldersoprojects. - RESOURCE_ID: l'ID risorsa dell'organizzazione (anteprima), del progetto o della cartella. Ad esempio
8767234. - LOCATION: la posizione dell'endpoint API Audit Manager. Per un elenco degli
endpoint disponibili, consulta Località di Audit Manager. Ad esempio
us-central1. - FRAMEWORK: l'ID del framework da controllare. Ad esempio:
builtin-cis-v8. Per trovare l'ID di un framework, consulta la pagina Visualizza valutazioni in Audit Manager. - BUCKET_URI: l'URI del bucket Cloud Storage. Ad esempio:
gs://testbucketauditmanager. - AUDIT_REPORT_FORMAT: il formato del report di controllo di output.
È supportato solo il formato ODF:
AUDIT_REPORT_FORMAT_ODF.
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud audit-manager audit-reports generate \ --RESOURCE_TYPE=RESOURCE_ID \ --location=LOCATION \ --compliance-framework=FRAMEWORK \ --report-format=AUDIT_REPORT_FORMAT \ --gcs-uri=BUCKET_URI
Windows (PowerShell)
gcloud audit-manager audit-reports generate ` --RESOURCE_TYPE=RESOURCE_ID ` --location=LOCATION ` --compliance-framework=FRAMEWORK ` --report-format=AUDIT_REPORT_FORMAT ` --gcs-uri=BUCKET_URI
Windows (cmd.exe)
gcloud audit-manager audit-reports generate ^ --RESOURCE_TYPE=RESOURCE_ID ^ --location=LOCATION ^ --compliance-framework=FRAMEWORK ^ --report-format=AUDIT_REPORT_FORMAT ^ --gcs-uri=BUCKET_URI
Dovresti ricevere una risposta simile alla seguente:
done: false name: projects/10398413/locations/987234/operations/operation-1726842525305-6228ddb4dca96-78a6db59-f9dd9a24
REST
(Facoltativo) Genera una valutazione di controllo
Prima di eseguire un audit effettivo, puoi generare una valutazione dell'audit (o ambito) che includa una suddivisione dettagliata delle attività per l'audit in base al framework di conformità che hai scelto.
Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:
- RESOURCE_TYPE: il tipo di risorsa, che può essere un'organizzazione (anteprima), una cartella o un progetto. Ad esempio:
foldersoprojects. - RESOURCE_ID: l'ID risorsa dell'organizzazione (anteprima), del progetto o della cartella. Ad esempio
8767234. - LOCATION: la posizione dell'endpoint API Audit Manager. Per un elenco degli
endpoint disponibili, consulta Località di Audit Manager. Ad esempio
us-central1. - FRAMEWORK: l'ID del framework da controllare. Ad esempio:
builtin-cis-v8. Per trovare l'ID di un framework, consulta la pagina Visualizza valutazioni in Audit Manager. - AUDIT_REPORT_FORMAT: il formato del report di controllo di output.
È supportato solo il formato ODF:
AUDIT_REPORT_FORMAT_ODF.
Metodo HTTP e URL:
POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate
Corpo JSON della richiesta:
{
"compliance_framework" : "FRAMEWORK"
"report_format" : "AUDIT_REPORT_FORMAT"
}
Per inviare la richiesta, scegli una di queste opzioni:
curl
Salva il corpo della richiesta in un file denominato request.json,
quindi esegui il comando seguente:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate"
PowerShell
Salva il corpo della richiesta in un file denominato request.json,
quindi esegui il comando seguente:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate" | Select-Object -Expand Content
Dovresti ricevere una risposta JSON simile alla seguente:
{
"scope_report_contents" : "980u43nrf090834uhbkfehf......"
"name" : "folders/8767234/locations/us-west"
}
La risposta contiene le seguenti informazioni:
name: una stringa identificatore univoca della risorsa applicabile.
Il campo scope_reports_contents è il formato byte dei contenuti,
che deve essere convertito in formato ODF prima della revisione.
Eseguire un controllo on demand
Non puoi pianificare l'esecuzione di un controllo (anteprima) utilizzando le API REST.
Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:
- RESOURCE_TYPE: il tipo di risorsa, che può essere un'organizzazione (anteprima), una cartella o un progetto. Ad esempio:
foldersoprojects. - RESOURCE_ID: l'ID risorsa dell'organizzazione (anteprima), del progetto o della cartella. Ad esempio
8767234. - LOCATION: la posizione dell'endpoint API Audit Manager. Per un elenco degli
endpoint disponibili, consulta Località di Audit Manager. Ad esempio
us-central1. - FRAMEWORK: l'ID del framework da controllare. Ad esempio:
builtin-cis-v8. Per trovare l'ID di un framework, consulta la pagina Visualizza valutazioni in Audit Manager. - BUCKET_URI: l'URI del bucket Cloud Storage. Ad esempio:
gs://testbucketauditmanager. - AUDIT_REPORT_FORMAT: il formato del report di controllo di output.
È supportato solo il formato ODF:
AUDIT_REPORT_FORMAT_ODF.
Metodo HTTP e URL:
POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate
Corpo JSON della richiesta:
{
"destination" : {
"gcs_uri" : "BUCKET_URI"
},
"compliance_framework" : "FRAMEWORK"
"report_format" : "AUDIT_REPORT_FORMAT"
}
Per inviare la richiesta, scegli una di queste opzioni:
curl
Salva il corpo della richiesta in un file denominato request.json,
quindi esegui il comando seguente:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate"
PowerShell
Salva il corpo della richiesta in un file denominato request.json,
quindi esegui il comando seguente:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate" | Select-Object -Expand Content
Dovresti ricevere una risposta JSON simile alla seguente:
{
"name": "organizations/834/projects/10398413/locations/987234/operations/098234",
"done": false
}
La risposta contiene le seguenti informazioni:
name: una stringa identificatore univoca della richiesta di operazione di valutazione dell'audit. Questo identificatore viene utilizzato per monitorare l'avanzamento della procedura di valutazione dell'audit. Ad esempio:operation/098234.done: un flag booleano impostato sufalseche indica che il processo è stato attivato. Questo valore è impostato sutrueal termine della valutazione dell'audit.
Aggiorna i controlli pianificati
Puoi mettere in pausa, riprendere e interrompere gli audit ricorrenti. Se vuoi modificare la pianificazione, devi eliminare l'audit pianificato esistente e poi crearne uno nuovo.
Console
Nella console Google Cloud , vai alla pagina Gestione audit in Audit Manager.
Nella scheda Pianificazioni, trova l'audit pianificato che vuoi aggiornare.
Esegui una delle seguenti operazioni:
Per mettere in pausa una pianificazione di controllo, fai clic su Metti in pausa pianificazione.
Per riavviare un controllo che hai messo in pausa, fai clic su Riprendi pianificazione.
Per eliminare un controllo pianificato, fai clic su Interrompi pianificazione.