Realize auditorias para coletar as evidências necessárias para avaliar sua organizaçãoGoogle Cloud em relação a estruturas compatíveis.
Uma auditoria é uma operação de longa duração que pode levar algumas horas. A duração depende do número de recursos no escopo da auditoria, que é o projeto ou a pasta em que você se inscreveu anteriormente.
Antes de começar
Verifique se você tem um dos seguintes papéis do IAM:
- Administrador do Audit Manager (
roles/auditmanager.admin) - Auditor do Audit Manager (
roles/auditmanager.auditor) - Leitor do Compliance Manager
(
roles/cloudsecuritycompliance.viewer) (necessário se você estiver auditando uma estrutura criada usando o Compliance Manager)
- Administrador do Audit Manager (
Verifique se o projeto ou a pasta foi inscrita para auditoria.
Executar uma auditoria
Console
No console do Google Cloud , acesse a página Executar avaliação no Audit Manager.
Na seção Escolher recurso e região, faça o seguinte:
Selecione o projeto ou a pasta que precisa ser auditada.
Selecione o local em que a avaliação de auditoria precisa ser processada. Para conferir a lista de locais compatíveis, consulte Locais do Audit Manager.
Clique em Próxima.
Selecione a estrutura em relação à qual você quer auditar seu recurso e clique em Próxima. Para informações sobre frameworks compatíveis, consulte Frameworks compatíveis.
Opcional: na seção Ver plano de avaliação, você pode baixar um arquivo ODS com informações sobre o escopo da auditoria com base na estrutura selecionada. Para baixar o arquivo, clique no link e em Próxima.
Na seção Escolher bucket de armazenamento, selecione um bucket em que o relatório de auditoria e as evidências serão salvos e clique em Concluído. Se o bucket não estiver listado, peça ao administrador para registrar seu recurso com o bucket de armazenamento.
Para iniciar a auditoria, clique em Executar auditoria.
Você pode conferir o status da auditoria na página Ver avaliações.
gcloud
Opcional: gerar uma avaliação de auditoria
Antes de executar uma auditoria real, você pode gerar uma avaliação (ou escopo) que inclua uma análise detalhada das tarefas com base na estrutura de compliance escolhida.
O comando gcloud audit-manager audit-scopes generate
gera um escopo de auditoria.
Antes de usar os dados do comando abaixo, faça estas substituições:
- RESOURCE_TYPE: o tipo de recurso, um projeto ou uma pasta. Por exemplo,
foldersouprojects. - RESOURCE_ID: o ID do recurso do projeto ou da pasta. Por exemplo,
8767234. - LOCATION: o local do endpoint de API Audit Manager. Para conferir uma lista de endpoints disponíveis, consulte Locais do Audit Manager. Por exemplo:
us-central1. - FRAMEWORK: o ID da estrutura a ser auditada. Por exemplo,
builtin-cis-v8. Para encontrar o ID de uma estrutura, consulte a página Visualizar avaliações no Audit Manager. - AUDIT_REPORT_FORMAT: o formato do relatório de auditoria de saída.
Apenas o formato ODF é compatível:
AUDIT_REPORT_FORMAT_ODF. - OUTPUT_DIRECTORY: o diretório onde a saída precisa ser armazenada. Por exemplo,
reports. - OUTPUT_FILENAME: o nome do arquivo de saída. Não inclua a extensão no nome do arquivo. Por exemplo:
scopeReport.
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud audit-manager audit-scopes generate \ --RESOURCE_TYPE=RESOURCE_ID \ --location=LOCATION \ --compliance-framework=FRAMEWORK \ --report-format=AUDIT_REPORT_FORMAT \ --output-directory=OUTPUT_DIRECTORY \ --output-file-name=OUTPUT_FILENAME
Windows (PowerShell)
gcloud audit-manager audit-scopes generate ` --RESOURCE_TYPE=RESOURCE_ID ` --location=LOCATION ` --compliance-framework=FRAMEWORK ` --report-format=AUDIT_REPORT_FORMAT ` --output-directory=OUTPUT_DIRECTORY ` --output-file-name=OUTPUT_FILENAME
Windows (cmd.exe)
gcloud audit-manager audit-scopes generate ^ --RESOURCE_TYPE=RESOURCE_ID ^ --location=LOCATION ^ --compliance-framework=FRAMEWORK ^ --report-format=AUDIT_REPORT_FORMAT ^ --output-directory=OUTPUT_DIRECTORY ^ --output-file-name=OUTPUT_FILENAME
Executar uma auditoria sob demanda
O comando gcloud audit-manager audit-reports generate
executa uma auditoria.
Antes de usar os dados do comando abaixo, faça estas substituições:
- RESOURCE_TYPE: o tipo de recurso, um projeto ou uma pasta. Por exemplo,
foldersouprojects. - RESOURCE_ID: o ID do recurso do projeto ou da pasta. Por exemplo,
8767234. - LOCATION: o local do endpoint de API Audit Manager. Para conferir uma lista de endpoints disponíveis, consulte Locais do Audit Manager. Por exemplo:
us-central1. - FRAMEWORK: o ID da estrutura a ser auditada. Por exemplo,
builtin-cis-v8. Para encontrar o ID de uma estrutura, consulte a página Visualizar avaliações no Audit Manager. - BUCKET_URI: o URI do bucket do Cloud Storage. Por exemplo:
gs://testbucketauditmanager. - AUDIT_REPORT_FORMAT: o formato do relatório de auditoria de saída.
Apenas o formato ODF é compatível:
AUDIT_REPORT_FORMAT_ODF.
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud audit-manager audit-reports generate \ --RESOURCE_TYPE=RESOURCE_ID \ --location=LOCATION \ --compliance-framework=FRAMEWORK \ --report-format=AUDIT_REPORT_FORMAT \ --gcs-uri=BUCKET_URI
Windows (PowerShell)
gcloud audit-manager audit-reports generate ` --RESOURCE_TYPE=RESOURCE_ID ` --location=LOCATION ` --compliance-framework=FRAMEWORK ` --report-format=AUDIT_REPORT_FORMAT ` --gcs-uri=BUCKET_URI
Windows (cmd.exe)
gcloud audit-manager audit-reports generate ^ --RESOURCE_TYPE=RESOURCE_ID ^ --location=LOCATION ^ --compliance-framework=FRAMEWORK ^ --report-format=AUDIT_REPORT_FORMAT ^ --gcs-uri=BUCKET_URI
Você receberá uma resposta semelhante a esta
done: false name: projects/10398413/locations/987234/operations/operation-1726842525305-6228ddb4dca96-78a6db59-f9dd9a24
REST
Opcional: gerar uma avaliação de auditoria
Antes de executar uma auditoria real, você pode gerar uma avaliação (ou escopo) que inclua uma análise detalhada das tarefas com base na estrutura de compliance escolhida.
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
- RESOURCE_TYPE: o tipo de recurso, um projeto ou uma pasta. Por exemplo,
foldersouprojects. - RESOURCE_ID: o ID do recurso do projeto ou da pasta. Por exemplo,
8767234. - LOCATION: o local do endpoint de API Audit Manager. Para conferir uma lista de endpoints disponíveis, consulte Locais do Audit Manager. Por exemplo:
us-central1. - FRAMEWORK: o ID da estrutura a ser auditada. Por exemplo,
builtin-cis-v8. Para encontrar o ID de uma estrutura, consulte a página Visualizar avaliações no Audit Manager. - AUDIT_REPORT_FORMAT: o formato do relatório de auditoria de saída.
Apenas o formato ODF é compatível:
AUDIT_REPORT_FORMAT_ODF.
Método HTTP e URL:
POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate
Corpo JSON da solicitação:
{
"compliance_framework" : "FRAMEWORK"
"report_format" : "AUDIT_REPORT_FORMAT"
}
Para enviar a solicitação, escolha uma destas opções:
curl
Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando abaixo:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate"
PowerShell
Salve o corpo da solicitação em um arquivo com
o nome request.json e execute o comando abaixo:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate" | Select-Object -Expand Content
Você receberá uma resposta JSON semelhante a esta:
{
"scope_report_contents" : "980u43nrf090834uhbkfehf......"
"name" : "folders/8767234/locations/us-west"
}
A resposta tem as seguintes informações:
name: um identificador de string exclusivo do recurso aplicável.
O campo scope_reports_contents é o formato de byte do conteúdo, que precisa ser convertido para o formato ODF antes da revisão.
Executar uma auditoria sob demanda
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
- RESOURCE_TYPE: o tipo de recurso, um projeto ou uma pasta. Por exemplo,
foldersouprojects. - RESOURCE_ID: o ID do recurso do projeto ou da pasta. Por exemplo,
8767234. - LOCATION: o local do endpoint de API Audit Manager. Para conferir uma lista de endpoints disponíveis, consulte Locais do Audit Manager. Por exemplo:
us-central1. - FRAMEWORK: o ID da estrutura a ser auditada. Por exemplo,
builtin-cis-v8. Para encontrar o ID de uma estrutura, consulte a página Visualizar avaliações no Audit Manager. - BUCKET_URI: o URI do bucket do Cloud Storage. Por exemplo:
gs://testbucketauditmanager. - AUDIT_REPORT_FORMAT: o formato do relatório de auditoria de saída.
Apenas o formato ODF é compatível:
AUDIT_REPORT_FORMAT_ODF.
Método HTTP e URL:
POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate
Corpo JSON da solicitação:
{
"destination" : {
"gcs_uri" : "BUCKET_URI"
},
"compliance_framework" : "FRAMEWORK"
"report_format" : "AUDIT_REPORT_FORMAT"
}
Para enviar a solicitação, escolha uma destas opções:
curl
Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando abaixo:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate"
PowerShell
Salve o corpo da solicitação em um arquivo com
o nome request.json e execute o comando abaixo:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate" | Select-Object -Expand Content
Você receberá uma resposta JSON semelhante a esta:
{
"name": "organizations/834/projects/10398413/locations/987234/operations/098234",
"done": false
}
A resposta tem as seguintes informações:
name: um identificador de string exclusivo da solicitação de operação de avaliação de auditoria. Esse identificador é usado para acompanhar o progresso do processo de avaliação de auditoria. Por exemplo,operation/098234.done: uma flag booleana definida comofalseque indica que o processo foi acionado. Ele é definido comotruequando a avaliação de auditoria é concluída.