Executar uma auditoria de compliance no Google Cloud

Agende e realize auditorias para coletar as evidências necessárias para avaliar sua Google Cloud organização em relação a estruturas compatíveis.

Uma auditoria é uma operação de longa duração que pode levar algumas horas. A duração depende do número de recursos no escopo da auditoria, que é a organização (Prévia), o projeto ou a pasta que você registrou anteriormente.

É possível programar auditorias (Prévia) para serem executadas em um intervalo regular e especificar um período para uma auditoria programada. Só é possível criar uma programação para um framework e um recurso específicos se não houver uma programação ativa ou pausada para a combinação deles.

Antes de começar

  • Verifique se você tem um dos seguintes papéis do IAM:

    • Administrador do Audit Manager (roles/auditmanager.admin)
    • Auditor do Audit Manager (roles/auditmanager.auditor)
    • Leitor do Compliance Manager (roles/cloudsecuritycompliance.viewer) (necessário se você estiver auditando uma estrutura criada usando o Compliance Manager)
  • Verifique se sua organização, projeto ou pasta foi inscrita para auditoria.

Executar uma auditoria

Console

  1. No console do Google Cloud , acesse a página Executar avaliação no Audit Manager.

    Acessar o Audit Manager

  2. Na seção Escolher recurso e região, faça o seguinte:

    1. Selecione a organização (Prévia), pasta ou projeto que precisa ser auditado.

    2. Selecione o framework que você quer usar para auditar seu recurso. Para informações sobre frameworks compatíveis, consulte Frameworks compatíveis.

    3. Selecione o local em que a avaliação de auditoria precisa ser processada. Para conferir a lista de locais compatíveis, consulte Locais do Audit Manager.

    4. Clique em Próxima.

  3. Selecione a estrutura em relação à qual você quer auditar seu recurso e clique em Próxima. Para informações sobre frameworks compatíveis, consulte Frameworks compatíveis.

  4. Opcional: na seção Ver plano de avaliação, você pode baixar um arquivo ODS que contém informações sobre o escopo da auditoria com base na estrutura selecionada. Para baixar o arquivo, clique no link e em Próxima.

  5. Na seção Escolher bucket de armazenamento, selecione um bucket em que o relatório de auditoria e as evidências serão salvos e clique em Concluído. Se o bucket não estiver listado, peça ao administrador para registrar o recurso com o bucket de armazenamento.

  6. (Visualização) Opcional: na seção Programação, defina uma das seguintes opções:

    • A frequência da repetição da auditoria (diária, mensal, trimestral ou anual).

    • O período a ser incluído na auditoria. Se você escolher Sem data de término, a auditoria vai continuar sendo executada a partir da data de início especificada até que você a interrompa manualmente.

  7. Para iniciar a auditoria, clique em Executar auditoria ou Executar auditoria programada.

    Você pode conferir o status da auditoria na página Ver avaliações.

gcloud

Opcional: gerar uma avaliação de auditoria

Antes de executar uma auditoria real, você pode gerar uma avaliação (ou escopo) que inclua um detalhamento detalhado das tarefas com base na estrutura de compliance escolhida.

O comando gcloud audit-manager audit-scopes generate gera um escopo de auditoria.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • RESOURCE_TYPE: o tipo de recurso, que pode ser uma organização (prévia), pasta ou projeto. Por exemplo, folders ou projects.
  • RESOURCE_ID: o ID do recurso da organização (prévia), do projeto ou da pasta. Por exemplo: 8767234.
  • LOCATION: o local do endpoint de API do Audit Manager. Para conferir uma lista de endpoints disponíveis, consulte Locais do Audit Manager. Por exemplo: us-central1.
  • FRAMEWORK: o ID da estrutura a ser auditada. Por exemplo, builtin-cis-v8. Para encontrar o ID de uma estrutura, consulte a página Visualizar avaliações no Audit Manager.
  • AUDIT_REPORT_FORMAT: o formato do relatório de auditoria de saída. Apenas o formato ODF é compatível: AUDIT_REPORT_FORMAT_ODF.
  • OUTPUT_DIRECTORY: o diretório onde a saída precisa ser armazenada. Por exemplo, reports.
  • OUTPUT_FILENAME: o nome do arquivo de saída. Não inclua a extensão no nome do arquivo. Por exemplo:scopeReport.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud audit-manager audit-scopes generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=FRAMEWORK \
    --report-format=AUDIT_REPORT_FORMAT \
    --output-directory=OUTPUT_DIRECTORY \
    --output-file-name=OUTPUT_FILENAME

Windows (PowerShell)

gcloud audit-manager audit-scopes generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=FRAMEWORK `
    --report-format=AUDIT_REPORT_FORMAT `
    --output-directory=OUTPUT_DIRECTORY `
    --output-file-name=OUTPUT_FILENAME

Windows (cmd.exe)

gcloud audit-manager audit-scopes generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=FRAMEWORK ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --output-directory=OUTPUT_DIRECTORY ^
    --output-file-name=OUTPUT_FILENAME

Executar uma auditoria sob demanda

Não é possível programar uma auditoria (prévia) nem executar relatórios no nível da organização (prévia) usando a CLI gcloud.

O comando gcloud audit-manager audit-reports generate executa uma auditoria.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • RESOURCE_TYPE: o tipo de recurso, que pode ser uma organização (prévia), pasta ou projeto. Por exemplo, folders ou projects.
  • RESOURCE_ID: o ID do recurso da organização (prévia), do projeto ou da pasta. Por exemplo: 8767234.
  • LOCATION: o local do endpoint de API do Audit Manager. Para conferir uma lista de endpoints disponíveis, consulte Locais do Audit Manager. Por exemplo: us-central1.
  • FRAMEWORK: o ID da estrutura a ser auditada. Por exemplo, builtin-cis-v8. Para encontrar o ID de uma estrutura, consulte a página Visualizar avaliações no Audit Manager.
  • BUCKET_URI: o URI do bucket do Cloud Storage. Por exemplo: gs://testbucketauditmanager.
  • AUDIT_REPORT_FORMAT: o formato do relatório de auditoria de saída. Apenas o formato ODF é compatível: AUDIT_REPORT_FORMAT_ODF.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud audit-manager audit-reports generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=FRAMEWORK \
    --report-format=AUDIT_REPORT_FORMAT \
    --gcs-uri=BUCKET_URI

Windows (PowerShell)

gcloud audit-manager audit-reports generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=FRAMEWORK `
    --report-format=AUDIT_REPORT_FORMAT `
    --gcs-uri=BUCKET_URI

Windows (cmd.exe)

gcloud audit-manager audit-reports generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=FRAMEWORK ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --gcs-uri=BUCKET_URI

Você receberá uma resposta semelhante a esta

done: false
name: projects/10398413/locations/987234/operations/operation-1726842525305-6228ddb4dca96-78a6db59-f9dd9a24

REST

Opcional: gerar uma avaliação de auditoria

Antes de executar uma auditoria real, você pode gerar uma avaliação (ou escopo) que inclua um detalhamento detalhado das tarefas com base na estrutura de compliance escolhida.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • RESOURCE_TYPE: o tipo de recurso, que pode ser uma organização (prévia), pasta ou projeto. Por exemplo, folders ou projects.
  • RESOURCE_ID: o ID do recurso da organização (prévia), do projeto ou da pasta. Por exemplo: 8767234.
  • LOCATION: o local do endpoint de API do Audit Manager. Para conferir uma lista de endpoints disponíveis, consulte Locais do Audit Manager. Por exemplo: us-central1.
  • FRAMEWORK: o ID da estrutura a ser auditada. Por exemplo, builtin-cis-v8. Para encontrar o ID de uma estrutura, consulte a página Visualizar avaliações no Audit Manager.
  • AUDIT_REPORT_FORMAT: o formato do relatório de auditoria de saída. Apenas o formato ODF é compatível: AUDIT_REPORT_FORMAT_ODF.

Método HTTP e URL:

POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate

Corpo JSON da solicitação:


{
  "compliance_framework" : "FRAMEWORK"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

Para enviar a solicitação, escolha uma destas opções:

curl

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando abaixo:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate"

PowerShell

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando abaixo:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate" | Select-Object -Expand Content

Você receberá uma resposta JSON semelhante a esta:

{

  "scope_report_contents" : "980u43nrf090834uhbkfehf......"
  "name" : "folders/8767234/locations/us-west"
}

A resposta tem as seguintes informações:

    O campo scope_reports_contents é o formato de byte do conteúdo, que precisa ser convertido para o formato ODF antes da revisão.

  • name: um identificador de string exclusivo do recurso aplicável.

Executar uma auditoria sob demanda

Não é possível programar uma execução de auditoria (prévia) usando APIs REST.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • RESOURCE_TYPE: o tipo de recurso, que pode ser uma organização (prévia), pasta ou projeto. Por exemplo, folders ou projects.
  • RESOURCE_ID: o ID do recurso da organização (prévia), do projeto ou da pasta. Por exemplo: 8767234.
  • LOCATION: o local do endpoint de API do Audit Manager. Para conferir uma lista de endpoints disponíveis, consulte Locais do Audit Manager. Por exemplo: us-central1.
  • FRAMEWORK: o ID da estrutura a ser auditada. Por exemplo, builtin-cis-v8. Para encontrar o ID de uma estrutura, consulte a página Visualizar avaliações no Audit Manager.
  • BUCKET_URI: o URI do bucket do Cloud Storage. Por exemplo: gs://testbucketauditmanager.
  • AUDIT_REPORT_FORMAT: o formato do relatório de auditoria de saída. Apenas o formato ODF é compatível: AUDIT_REPORT_FORMAT_ODF.

Método HTTP e URL:

POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate

Corpo JSON da solicitação:


{
  "destination" : {
    "gcs_uri" : "BUCKET_URI"
  },
  "compliance_framework" : "FRAMEWORK"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

Para enviar a solicitação, escolha uma destas opções:

curl

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando abaixo:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate"

PowerShell

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando abaixo:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate" | Select-Object -Expand Content

Você receberá uma resposta JSON semelhante a esta:

{
  "name": "organizations/834/projects/10398413/locations/987234/operations/098234",
  "done": false
}

A resposta tem as seguintes informações:

  • name: um identificador de string exclusivo da solicitação de operação de avaliação de auditoria. Esse identificador é usado para acompanhar o progresso do processo de avaliação de auditoria. Por exemplo, operation/098234.
  • done: uma flag booleana definida como false que indica que o processo foi acionado. Ele é definido como true quando a avaliação de auditoria é concluída.

Atualizar auditorias programadas

É possível pausar, retomar e interromper auditorias recorrentes. Se quiser mudar a programação, exclua a auditoria programada atual e crie uma nova.

Console

  1. No console do Google Cloud , acesse a página Gerenciamento de auditoria no Audit Manager.

    Acessar o Audit Manager

  2. Na guia Programações, encontre a auditoria programada que você quer atualizar.

  3. Escolha uma destas opções:

    • Para pausar um agendamento de auditoria, clique em Pausar agendamento.

    • Para reiniciar uma auditoria pausada, clique em Retomar programação.

    • Para excluir uma auditoria programada, clique em Parar programação.

A seguir