Ver uma auditoria

Quando uma auditoria é concluída, o Audit Manager cria e armazena artefatos de auditoria nos buckets de armazenamento de destino para você visualizar:

  • Relatório resumido de auditoria
  • Relatório de visão geral do controle
  • Evidência

A nova experiência do console (Visualização) inclui um formato diferente para os relatórios. Para mais informações, consulte Visualizar relatórios do Audit Manager (nova experiência).

Antes de começar

Verifique se você tem os seguintes papéis do IAM:

Acessar relatórios do Audit Manager (experiência clássica)

  1. No console do Google Cloud , acesse a página Gerenciador de auditoria.

    Acessar o Audit Manager

  2. Na seção Auditorias de compliance, clique em Ver auditorias.

  3. Na página Ver avaliações, é possível conferir o status de uma auditoria em andamento ou concluída do Audit Manager ou do Compliance Manager.

  4. Dependendo do tipo de informações de auditoria que você quer ver, siga as instruções na guia correspondente.

    Relatório resumido de auditoria

    1. Para conferir o resumo da auditoria, clique no link na coluna Status.

      A página Informações básicas mostra informações sobre os controles de compliance no escopo e o status do compliance automatizado:

      • Em conformidade:mostra as configurações que atendem a todos os requisitos.
      • Violações:mostra as configurações incorretas detectadas em relação a um determinado controle.
      • Revisão manual necessária:mostra as configurações que precisam de entradas do usuário para comprovar a conformidade e o controle de processos.
      • Ignorado:mostra as configurações que o Audit Manager ignorou para um determinado controle.
    2. Para conferir os detalhes de um status, clique em Ver.
    3. Para exportar o relatório de resumo da auditoria, clique em Exportar. O relatório de resumo da auditoria é exportado no formato ODS.

    Relatório de visão geral do controle

    Use a página Informações básicas para conferir o relatório de visão geral do controle com base em um controle ou status.

    • Para conferir o relatório de visão geral do controle com base em um controle, faça o seguinte:
      1. Abra o controle necessário.
      2. Para conferir a avaliação detalhada de conformidade com cada regra, clique no hiperlink correspondente. A página de controles mostra a responsabilidade, as descobertas e os requisitos.
    • Para conferir o relatório de controle com base em um status, faça o seguinte:
      1. Para o status necessário, clique em Visualizar.
      2. Na lista de controles, clique no hiperlink necessário. A página de controles mostra a responsabilidade, as descobertas e os requisitos.

    Para exportar o relatório de visão geral do controle, clique em Exportar.Na página Detalhes do bucket, clique no nome do controle e em Fazer download. O relatório de visão geral do controle é exportado no formato ODS.

    Evidência

    Para conferir as evidências de uma descoberta, clique no hiperlink correspondente na página de controles. A página Detalhes do objeto com os detalhes da evidência é aberta em uma guia separada.

    Para fazer o download da evidência, clique em Fazer o download. O indício é baixado no formato JSON.

Também é possível baixar o relatório e as evidências necessários diretamente do bucket de armazenamento de destino. Para instruções detalhadas, consulte Fazer o download de um objeto de um bucket.

Relatório resumido de auditoria

Um relatório de resumo da auditoria é um documento abrangente que oferece uma visão geral de alto nível de todos os controles de compliance e uma matriz de responsabilidades para ajudar você a entender o sistema.

No bucket de armazenamento de destino, o relatório de resumo de auditoria usa a seguinte convenção de nomenclatura:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods

Os valores do marcador são descritos da seguinte maneira:

  • FRAMEWORK_NAME: o nome da estrutura, como SOC2 2017.
  • TIMESTAMP: um carimbo de data/hora de quando o relatório foi gerado.
  • UNIQUE_ID: um ID exclusivo para o relatório.

Para cada tipo de controle aplicável, os seguintes campos são preenchidos no relatório de resumo da auditoria:

Tipo de controle Descrição
Informações de controle Uma descrição e um requisito para o controle.
Responsabilidade do Google Google Cloud responsabilidade e detalhes da implementação.
Responsabilidade do cliente Responsabilidade do cliente e detalhes da implementação.
Status da avaliação Status de conformidade do controle. O status pode ser um dos seguintes tipos:
  • Não conforme: desvio de compliance detectado
  • Em compliance: o sistema está em compliance
  • Revisão manual necessária: os artefatos são produzidos, mas a entrada do usuário é necessária para concluir o status de conformidade.
  • Ignorado: controle manual, sem automação
Link do relatório de controle Um link para o relatório de visão geral do controle.

Relatório de visão geral do controle

Um relatório de visão geral do controle contém uma descrição detalhada da avaliação de compliance para um único controle. Ele fornece detalhes da avaliação para cada verificação de compliance com observações e valores esperados.

No bucket de armazenamento de destino, o relatório de visão geral do controle usa a seguinte convenção de nomenclatura:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods

Os valores do marcador são descritos da seguinte maneira:

  • FRAMEWORK_NAME: o nome da estrutura, como CIS_CONTROLS_V8.
  • TIMESTAMP: um carimbo de data/hora de quando o relatório foi gerado.
  • UNIQUE_ID: um ID exclusivo para o relatório.
  • CONTROL_ID: o ID do controle.

Um relatório de visão geral do controle é semelhante ao exemplo a seguir:

Controle ID: COMPLIANT
Nome do serviço Número de recursos Status Detalhes da avaliação de recursos
ID do recurso Campo medido Valor atual Valor esperado Status URI do recurso de evidência Carimbo de data/hora da evidência Evidência para projeto/pasta Link de evidência
Total de serviços no escopo deste controle Total de recursos no escopo da auditoria Status de compliance Identificador de recursos Configuração a ser medida para auditoria Valores observados Valores em conformidade Status de compliance individual Carimbo de data/hora de quando a evidência foi coletada
product1.googleapis.com 2 COMPLIANT Recurso 1 abc 10 >=10 COMPLIANT Recurso 1 05/12/2023 12:55:16 Projeto 1 Link 1
def 15 =15 COMPLIANT Recurso 4 05/12/2023 13:55:16 Projeto 1 Link 4
Recurso 2 xyz 20 =20 COMPLIANT Recurso 2 05/12/2023 14:55:16 Projeto 1 Link 2
product2.googleapis.com 1 COMPLIANT Recurso 3 def 5 >=5 COMPLIANT Recurso 3 05/12/2023 15:55:16 Projeto 1 Link 3

Evidência

As evidências incluem todos os recursos avaliados para cada controle, incluindo um despejo bruto de dados de ativos e o comando executado para produzir a saída.

No bucket de armazenamento de destino, as evidências usam a seguinte convenção de nomenclatura:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json

Os valores do marcador são descritos da seguinte maneira:

  • FRAMEWORK_NAME: o nome da estrutura, como CIS_CONTROLS_V8.
  • TIMESTAMP: um carimbo de data/hora de quando o relatório foi gerado.
  • UNIQUE_ID: um ID exclusivo para o relatório.
  • EVIDENCE_ID: um ID exclusivo para a evidência.

Ver relatórios do Audit Manager (nova experiência)

Na nova experiência do console, é possível conferir sua pontuação de compliance para controles, controles de nuvem e recursos doGoogle Cloud nas páginas do relatório de auditoria no console do Google Cloud .

  1. No console do Google Cloud , acesse a página Gerenciador de auditoria.

    Acessar o Audit Manager

  2. Na seção Auditorias de compliance, clique em Ver auditorias.

  3. Clique em Mudar para a nova experiência.

    Na página Ver auditorias, é possível conferir o status de uma auditoria em andamento ou concluída do Audit Manager ou do Compliance Manager.

  4. Para mais informações sobre uma auditoria, clique no nome dela.

    O painel Relatório de auditoria inclui guias separadas para controles, controles de nuvem e recursos, cada uma com contagens e diagramas exclusivos. O painel Relatório de auditoria mostra sua pontuação de compliance. O painel de cada guia inclui o seguinte:

    • Resumo da conformidade:a porcentagem é determinada da seguinte forma:

      (Number of evaluated items that compliance / Total number of items) * 100
      

      Um item pode ser um controle, um controle da nuvem ou um recurso. O número total de itens inclui todos os itens em conformidade, em violação e que não foram avaliados (ignorados).

    • Total:o número total de controles ou controles de nuvem no framework ou o número total de recursos avaliados.

    • Em conformidade:o número de itens que atenderam aos requisitos de avaliação.

    • Violações:o número de itens que não atenderam aos requisitos de avaliação.

    • Inconclusivo:o número de itens que o Audit Manager não conseguiu determinar se estavam em conformidade. Por exemplo, a configuração ou os dados de registro recuperados não correspondiam claramente às regras de compliance.

    • Ignorados:o número de itens que o Audit Manager não pôde avaliar devido a um erro ou problema no sistema encontrado durante a avaliação. Por exemplo, não havia permissões suficientes para inspecionar um recurso específico.

    • Indisponível:é o número de itens que o Audit Manager não pôde inspecionar porque exigem a avaliação de recursos fora de Google Cloud.

    • Evidências coletadas:a quantidade de informações extraídas na avaliação técnica dos itens.

    • Avaliações com violações:o número de regras ou recursos que o Audit Manager avaliou como reprovados.

  5. Para fazer o download do relatório de auditoria do bucket do Cloud Storage como uma planilha OpenDocument (ODS), clique em Baixar relatório.

    Também é possível baixar o relatório e as evidências necessários diretamente do bucket de armazenamento de destino. Para instruções detalhadas, consulte Fazer o download de um objeto de um bucket.

  6. Para conferir mais informações sobre o status de um item, clique em Ver ao lado dele. A visualização filtrada mostra o controle, o controle de nuvem ou o recurso aplicável.

    • Na guia Controle, a visualização é agrupada por controles. Para conferir os controles e controles de nuvem agrupados em um controle, expanda o filtro.

    • Na guia Controle da nuvem, a visualização é agrupada por controles da nuvem.

    • Na guia Recursos, a visualização é agrupada por nome da API de serviço (por exemplo, cloudresourcemanager.googleapis.com). Para conferir os recursos aplicáveis em um serviço, expanda o filtro.

  7. Para ver um resumo detalhado sobre um item específico, clique nele na visualização filtrada. Dependendo da guia em que você está, as seguintes informações são exibidas:

    Relatório de controle

    A página do relatório Controle mostra o seguinte:

    • O ID do controle e da família.
    • O status de responsabilidade compartilhada.
    • O status da análise.
    • O status da avaliação.
    • A quantidade de evidências coletadas durante a auditoria.
    • Um resumo da avaliação gerado pelo Gemini.
    • Informações sobre os controles de nuvem que fazem parte do controle, incluindo o número de controles de nuvem aprovados e o resumo das evidências.
    • Uma visualização filtrada que fornece links para relatórios de controle da nuvem e informações de responsabilidade compartilhada.

    Relatório de controle de nuvem

    A página de relatório Controle na nuvem mostra o seguinte:

    • O nome e o ID do controle da nuvem.
    • O status da análise.
    • Os controles (chamados de controles regulamentares) a que o controle de nuvem pertence.
    • O status da avaliação.
    • Um resumo da avaliação gerado pelo Gemini.
    • A quantidade de evidências coletadas durante a auditoria.
    • Informações sobre os controles de nuvem que fazem parte do controle, incluindo o número de avaliações, violações e evidências.
    • Uma visualização filtrada que fornece links para resumos de observações e relatórios de recursos aplicáveis.

    Relatório de recursos

    A página do relatório Recurso mostra o seguinte:

    • O recurso e o serviço aplicáveis.
    • Os controles (chamados de controles regulatórios) e de nuvem usados para avaliar o recurso.
    • O status da avaliação.
    • Um resumo da avaliação gerado pelo Gemini.
    • Observações encontradas durante a auditoria, incluindo o número de avaliações, violações e evidências.
    • Uma visualização filtrada que fornece links para resumos de observações e relatórios de controle da nuvem.

Relatórios no Cloud Storage

Os relatórios de auditoria do Audit Manager estão disponíveis em pastas nos buckets de armazenamento do Cloud Storage que usam a seguinte convenção:

audit-reports/audit_RESOURCE_NAME_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID

Os valores do marcador são descritos da seguinte maneira:

  • RESOURCE_NAME: o ID da pasta ou do projeto, como folders_12345 ou projects_12345.
  • FRAMEWORK_NAME: o nome da estrutura, como builtin-nist800-53-revision5.
  • TIMESTAMP: um carimbo de data/hora de quando o relatório foi gerado.
  • UNIQUE_ID: um ID exclusivo para o relatório.

Cada pasta de auditoria inclui relatórios separados disponíveis para cada controle, controle de nuvem e evidência. Os relatórios de controle e controle de nuvem estão no formato ODS e contêm descrições detalhadas da avaliação de compliance para um único controle. Esses relatórios fornecem detalhes da avaliação para cada verificação de compliance com observações e valores esperados. Os relatórios de evidências estão em formato JSON e incluem todos os recursos avaliados para cada controle, incluindo um despejo bruto de dados de ativos e o comando executado para produzir a saída.