Une fois un audit terminé, Audit Manager crée et stocke les artefacts d'audit dans les buckets de stockage de destination pour que vous puissiez les consulter :
- Rapport récapitulatif sur l'audit
- Rapport "Vue d'ensemble du contrôle"
- Preuves
La nouvelle expérience de la console (aperçu) inclut un format différent pour les rapports. Pour en savoir plus, consultez Afficher les rapports Audit Manager (nouvelle expérience).
Avant de commencer
Assurez-vous de disposer des rôles IAM suivants :
L'un des rôles Audit Manager suivants pour la ressource :
- Administrateur Audit Manager (
roles/auditmanager.admin) - Auditeur Audit Manager (
roles/auditmanager.auditor) - Lecteur
Compliance Manager
(
roles/cloudsecuritycompliance.viewer) (obligatoire si vous auditez un framework que vous avez créé à l'aide de Compliance Manager)
- Administrateur Audit Manager (
L'un des rôles Cloud Storage suivants pour le bucket de stockage contenant les rapports Audit Manager :
- Administrateur de l'espace de stockage (
roles/storage.admin) - Propriétaire des anciens buckets Storage (
roles/storage.legacyBucketOwner) - Lecteur des anciens objets de l'espace de stockage (
roles/storage.legacyObjectReader)
- Administrateur de l'espace de stockage (
Afficher les rapports Audit Manager (expérience classique)
Dans la Google Cloud console, accédez à la page Audit Manager.
Dans la section Audits de conformité, cliquez sur Afficher les audits.
Sur la page Afficher les évaluations, vous pouvez afficher l'état d'un audit en cours ou terminé à partir d'Audit Manager ou de Compliance Manager.
Selon le type d'informations d'audit que vous souhaitez afficher, suivez les instructions de l'onglet correspondant.
Rapport récapitulatif sur l'audit
- Pour afficher le récapitulatif de l'audit, cliquez sur le lien dans la colonne État.
La page Informations générales affiche des informations sur les contrôles de conformité concernés et l'état de la conformité automatisée :
- Conforme : affiche les configurations qui répondent à toutes les exigences.
- Violations : affiche les erreurs de configuration détectées par rapport à un contrôle donné.
- Examen manuel requis : affiche les configurations qui nécessitent des entrées utilisateur pour prouver la conformité et le contrôle des processus.
- Ignoré : indique les configurations qu' Audit Manager a ignorées pour un contrôle donné.
- Pour afficher les détails d'un état, cliquez sur Afficher.
- Pour exporter le rapport récapitulatif de l'audit, cliquez sur Exporter. Le rapport récapitulatif d'audit est exporté au format ODS.
Rapport "Vue d'ensemble du contrôle"
Vous pouvez utiliser la page Informations générales pour afficher le rapport "Vue d'ensemble du contrôle" en fonction d'un contrôle ou d'un état.
- Pour afficher le rapport "Vue d'ensemble du contrôle" en fonction d'un contrôle :
- Développez le contrôle requis.
- Pour afficher l'évaluation détaillée de la conformité par rapport à chaque règle, cliquez sur l'hyperlien correspondant. La page des contrôles affiche les responsabilités, les conclusions et les exigences.
- Pour afficher le rapport de contrôle en fonction d'un état :
- Pour obtenir l'état requis, cliquez sur Afficher.
- Dans la liste des commandes, cliquez sur le lien hypertexte requis. La page des contrôles affiche les responsabilités, les conclusions et les exigences.
Pour exporter le rapport "Vue d'ensemble du contrôle", cliquez sur Exporter.Sur la page Informations sur le bucket , cliquez sur le nom du contrôle, puis sur Télécharger. Le rapport "Vue d'ensemble du contrôle" est exporté au format ODS.
Preuves
Pour afficher les preuves d'un résultat, cliquez sur le lien hypertexte correspondant sur la page des contrôles. La page Détails des objets contenant les détails de la preuve s'ouvre dans un onglet distinct.
Pour télécharger la preuve, cliquez sur Télécharger. Les preuves sont téléchargées au format JSON.
- Pour afficher le récapitulatif de l'audit, cliquez sur le lien dans la colonne État.
Vous pouvez également télécharger le rapport et les preuves requis directement depuis le bucket de stockage de destination. Pour obtenir des instructions détaillées, consultez Télécharger un objet à partir d'un bucket.
Rapport récapitulatif sur l'audit
Un rapport récapitulatif sur l'audit est un rapport complet qui fournit une vue d'ensemble de tous les contrôles de conformité et une matrice des responsabilités pour vous aider à comprendre le système.
Dans le bucket de stockage de destination, le rapport récapitulatif sur l'audit utilise la convention d'attribution de noms suivante :
audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods
Les valeurs d'espaces réservés sont décrites comme suit :
- FRAMEWORK_NAME : nom du framework, tel
que
SOC2 2017. - TIMESTAMP : code temporel de la génération du rapport.
- UNIQUE_ID : ID unique du rapport.
Pour chaque type de contrôle applicable, les champs suivants sont renseignés dans le rapport récapitulatif sur l'audit :
| Type de commande | Description |
|---|---|
| Informations sur le contrôle | Description et exigences du contrôle. |
| Responsabilité de Google | ResponsabilitéGoogle Cloud et détails de l'implémentation. |
| Responsabilité du client | Responsabilité du client et détails de l'implémentation. |
| État d'évaluation | État de conformité du contrôle. L'état peut être l'un des
types suivants :
|
| Lien vers le rapport de contrôle | Lien vers le rapport "Vue d'ensemble du contrôle". |
Rapport "Vue d'ensemble du contrôle"
Un rapport "Vue d'ensemble du contrôle" contient une description détaillée de l'évaluation de la conformité pour un seul contrôle. Le rapport fournit des informations sur l'évaluation pour chaque vérification de conformité, avec des observations et des valeurs attendues.
Dans le bucket de stockage de destination, le Rapport "Vue d'ensemble du contrôle" utilise la convention d'attribution de noms suivante :
audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods
Les valeurs d'espaces réservés sont décrites comme suit :
- FRAMEWORK_NAME : nom du framework, tel que
CIS_CONTROLS_V8. - TIMESTAMP : code temporel de la génération du rapport.
- UNIQUE_ID : ID unique du rapport.
- CONTROL_ID : ID du contrôle.
Un rapport "Vue d'ensemble du contrôle" ressemble à l'exemple suivant :
| ID du contrôle ID: CONFORME | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Nom du service | # de ressources | Status | Détails de l'évaluation des ressources | ||||||||
| ID de ressource | Champ mesuré | Valeur actuelle | Valeur attendue | Status | URI de la ressource de preuve | Code temporel de la preuve | Preuves pour le projet/dossier | Lien vers la preuve | |||
| Nombre total de services concernés par ce contrôle | Total des ressources dans le champ d'application de l'audit | État de conformité | Identifiant de ressource | Configuration à mesurer pour l'audit | Valeurs observées | Valeurs conformes | État de conformité individuel | Code temporel de la collecte des preuves | |||
| product1.googleapis.com | 2 | CONFORME | Ressource 1 | abc | 10 | >=10 | CONFORME | Ressource 1 | 05/12/2023 12:55:16 | Projet 1 | Lien 1 |
| def | 15 | =15 | CONFORME | Ressource 4 | 05/12/2023 13:55:16 | Projet 1 | Lien 4 | ||||
| Ressource 2 | xyz | 20 | =20 | CONFORME | Ressource 2 | 05/12/2023 14:55:16 | Projet 1 | Lien 2 | |||
| product2.googleapis.com | 1 | CONFORME | Ressource 3 | def | 5 | >=5 | CONFORME | Ressource 3 | 05/12/2023 15:55:16 | Projet 1 | Lien 3 |
Preuves
Les preuves incluent toutes les ressources évaluées pour chaque contrôle, y compris un dump brut des données des composants ainsi que la commande exécutée pour produire le résultat.
Dans le bucket de stockage de destination, les preuves utilisent la convention de dénomination suivante :
audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json
Les valeurs d'espaces réservés sont décrites comme suit :
- FRAMEWORK_NAME : nom du framework, tel que
CIS_CONTROLS_V8. - TIMESTAMP : code temporel de la génération du rapport.
- UNIQUE_ID : ID unique du rapport.
- EVIDENCE_ID : ID unique de la preuve.
Afficher les rapports Audit Manager (nouvelle expérience)
Dans la nouvelle expérience de la console, vous pouvez afficher votre score de conformité pour les contrôles, contrôles cloud et Google Cloud ressources sur les pages Rapport d'audit de la Google Cloud console.
Dans la Google Cloud console, accédez à la page Audit Manager.
Dans la section Audits de conformité, cliquez sur Afficher les audits.
Cliquez sur Passer à la nouvelle interface.
Sur la page Afficher les audits, vous pouvez afficher l'état d'un audit en cours ou terminé à partir d'Audit Manager ou de Compliance Manager.
Pour en savoir plus sur un audit, cliquez sur son nom.
Le tableau de bord Rapport d'audit comprend des onglets distincts pour les contrôles, les contrôles cloud et les ressources, chacun avec ses propres nombres et diagrammes uniques. Le tableau de bord Rapport d'audit affiche votre score de conformité. Le tableau de bord de chaque onglet comprend les éléments suivants :
Récapitulatif de la conformité : le pourcentage est déterminé comme suit :
(Number of evaluated items that compliance / Total number of items) * 100Un élément peut être un contrôle, un contrôle cloud ou une ressource. Le nombre total d'éléments inclut tous les éléments conformes, non conformes et non évalués (ignorés).
Total : nombre total de contrôles ou de contrôles cloud dans le framework, ou nombre total de ressources évaluées.
Conforme : nombre d'éléments qui répondent aux exigences d'évaluation.
Violations : nombre d'éléments qui ne répondent pas aux exigences d'évaluation.
Non concluant : nombre d'éléments pour lesquels Audit Manager n'a pas pu déterminer s'ils étaient conformes. Par exemple, la configuration ou les données de journal récupérées ne correspondaient pas clairement aux règles de conformité.
Ignoré : nombre d'éléments qu'Audit Manager n'a pas pu évaluer en raison d'une erreur ou d'un problème système rencontré lors de l'évaluation. Par exemple, les autorisations étaient insuffisantes pour inspecter une ressource spécifique.
Non compatible : nombre d'éléments qu'Audit Manager n'a pas pu inspecter, car ils nécessitent l'évaluation de ressources qui ne font pas partie de Google Cloud.
Preuves collectées : quantité d'informations extraites lors de l'évaluation technique des éléments.
Évaluations non conformes : nombre de règles ou de ressources qu'Audit Manager a évaluées comme étant en échec.
Pour télécharger le rapport d'audit à partir du bucket Cloud Storage au format OpenDocument Spreadsheet (ODS), cliquez sur Télécharger le rapport.
Vous pouvez également télécharger le rapport et les preuves requis directement depuis le bucket de stockage de destination. Pour obtenir des instructions détaillées, consultez Télécharger un objet à partir d'un bucket.
Pour en savoir plus sur l'état d'un élément, cliquez sur Afficher à côté de l'état. La vue filtrée affiche le contrôle, le contrôle cloud ou la ressource applicable.
Dans l'onglet Contrôle, la vue est regroupée par contrôles. Pour afficher les contrôles et les contrôles cloud regroupés dans un contrôle, développez le filtre.
Dans l'onglet Contrôle cloud, la vue est regroupée par contrôles cloud.
Dans l'onglet Ressources, la vue est regroupée par nom d'API de service (par exemple,
cloudresourcemanager.googleapis.com). Pour afficher les ressources applicables dans un service, développez le filtre.
Pour afficher un récapitulatif détaillé d'un élément particulier, cliquez sur l'élément dans la vue filtrée. Selon l'onglet dans lequel vous vous trouvez, les informations suivantes s'affichent :
Rapport de contrôle
La page du rapport Contrôle affiche les éléments suivants :
- L'ID et la famille du contrôle.
- L'état de responsabilité partagée.
- L'état de l'avis.
- L'état de l'évaluation.
- La quantité de preuves collectées lors de l'audit.
- Un récapitulatif de l'évaluation généré par Gemini.
- Des informations sur les contrôles cloud qui font partie du contrôle, y compris le nombre de contrôles cloud qui réussissent et le récapitulatif des preuves.
- Une vue filtrée qui fournit des liens vers les rapports de contrôle cloud et les informations sur la responsabilité partagée.
Rapport de contrôle cloud
La page du rapport Contrôle cloud affiche les éléments suivants :
- Le nom et l'ID du contrôle cloud.
- L'état de l'avis.
- Les contrôles (appelés contrôles réglementaires) auxquels appartient le contrôle cloud.
- L'état de l'évaluation.
- Un récapitulatif de l'évaluation généré par Gemini.
- La quantité de preuves collectées lors de l'audit.
- Des informations sur les contrôles cloud qui font partie du contrôle, y compris le nombre d'évaluations, de violations et de preuves.
- Une vue filtrée qui fournit des liens vers les récapitulatifs des observations et les rapports de ressources applicables.
Rapport de ressources
La page du rapport Ressource affiche les éléments suivants :
- La ressource et le service applicables.
- Les contrôles (appelés contrôles réglementaires) et les contrôles cloud qui ont été utilisés pour évaluer la ressource.
- L'état de l'évaluation.
- Un récapitulatif de l'évaluation généré par Gemini.
- Les observations effectuées lors de l'audit, y compris le nombre d'évaluations, de violations et de preuves.
- Une vue filtrée qui fournit des liens vers les récapitulatifs des observations et les rapports de contrôle cloud.
Rapports dans Cloud Storage
Les rapports d'audit Audit Manager sont disponibles dans des dossiers des buckets de stockage Cloud Storage qui utilisent la convention suivante :
audit-reports/audit_RESOURCE_NAME_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID
Les valeurs d'espaces réservés sont décrites comme suit :
- RESOURCE_NAME : ID du dossier ou du projet, tel que
folders_12345ouprojects_12345. - FRAMEWORK_NAME : nom du framework, tel que
builtin-nist800-53-revision5. - TIMESTAMP : code temporel de la génération du rapport.
- UNIQUE_ID : ID unique du rapport.
Chaque dossier d'audit inclut des rapports distincts disponibles pour chaque contrôle, contrôle cloud et preuve. Les rapports de contrôle et de contrôle cloud sont au format ODS et contiennent des descriptions détaillées de l'évaluation de la conformité pour un seul contrôle. Ces rapports fournissent des informations sur l'évaluation pour chaque vérification de conformité, avec des observations et des valeurs attendues. Les rapports de preuves sont au format JSON et incluent toutes les ressources évaluées pour chaque contrôle, y compris un dump brut des données des composants ainsi que la commande exécutée pour produire le résultat.