הצגת ביקורת

כשביקורת מסתיימת, Audit Manager יוצר ומאחסן את סוגי הארטיפקטים הבאים בקטגוריות האחסון של היעד, כדי שתוכלו לצפות בהם:

לפני שמתחילים

ודאו שיש לכם את תפקידי ה-IAM הבאים:

הצגת דוחות ב-Audit Manager

  1. נכנסים לדף Audit Manager במסוף Google Cloud .

    מעבר אל הכלי לניהול ביקורות

  2. בקטע בדיקות תאימות, לוחצים על הצגת הבדיקות.

  3. בדף הצגת הערכות אפשר לראות את הסטטוס של ביקורת בתהליך או של ביקורת שהושלמה מ-Audit Manager או מ-Compliance Manager.

  4. בהתאם לסוג המידע על הביקורת שרוצים לראות, פועלים לפי ההוראות בכרטיסייה המתאימה.

    דוח סיכום ביקורת

    1. כדי לראות את סיכום הביקורת, לוחצים על הקישור בעמודה סטטוס.

      בדף מידע בסיסי מוצג מידע על אמצעי הבקרה לתאימות שכלולים בהיקף ועל הסטטוס של התאימות האוטומטית:

      • תואם: מוצגות התצורות שעומדות בכל הדרישות.
      • הפרות: הצגת טעויות בהגדרות שזוהו בהשוואה לאמצעי בקרה נתון.
      • נדרשת בדיקה ידנית: מוצגות ההגדרות שנדרש בהן קלט מהמשתמש כדי להוכיח תאימות ושליטה בתהליך.
      • דילוג: מציג את ההגדרות ש-Audit Manager דילג עליהן עבור אמצעי בקרה נתון.
    2. כדי לראות את הפרטים של סטטוס מסוים, לוחצים על הצגה.
    3. כדי לייצא את דוח סיכום הביקורת, לוחצים על ייצוא. דוח סיכום הביקורת מיוצא בפורמט ODS.

    דוח סקירה כללית של אמצעי הבקרה

    בדף מידע בסיסי אפשר לראות את דוח הסקירה הכללית של אמצעי הבקרה על סמך אמצעי בקרה או סטטוס.

    • כדי לראות את דוח הסקירה הכללית של אמצעי הבקרה על סמך אמצעי בקרה מסוים:
      1. מרחיבים את האמצעי הנדרש.
      2. כדי לראות את הערכת התאימות המפורטת לכל כלל, לוחצים על ההיפר-קישור המתאים. בדף הבקרה מוצגים האחריות, הממצאים והדרישות.
    • כדי לראות את דוח הבקרה לפי סטטוס:
      1. לוחצים על הצגה ליד הסטטוס הנדרש.
      2. ברשימת אמצעי הבקרה, לוחצים על ההיפר-קישור הנדרש. בדף הבקרה מוצגים האחריות, הממצאים והדרישות.

    כדי לייצא את דוח הסקירה הכללית של אמצעי הבקרה, לוחצים על ייצוא.בדף פרטי מאגר, לוחצים על שם אמצעי הבקרה ואז על הורדה. דוח הסקירה הכללית של אמצעי הבקרה מיוצא בפורמט ODS.

    הוכחות

    כדי לראות את הראיות לממצא, לוחצים על ההיפר-קישור המתאים בדף אמצעי הבקרה. הדף Object details עם פרטי הראיות נפתח בכרטיסייה נפרדת.

    כדי להוריד את הראיות, לוחצים על הורדה. ההוכחה מורדת בפורמט JSON.

אפשרות אחרת היא להוריד את הדוח וההוכחות הנדרשים ישירות מקטגוריית האחסון של היעד. הוראות מפורטות זמינות במאמר בנושא הורדת אובייקט מקטגוריה.

דוח סיכום ביקורת

דוח סיכום של ביקורת הוא דוח מקיף שמספק סקירה כללית ברמה גבוהה של כל אמצעי הבקרה לתאימות, ומטריצת אחריות שתעזור לכם להבין את המערכת.

בדלי האחסון של היעד, דוח סיכום הביקורת משתמש במוסכמת השמות הבאה:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods

הסבר על הערכים הזמניים לשמירת מקום (placeholders):

  • FRAMEWORK_NAME: שם ה-framework, למשל SOC2 2017.
  • TIMESTAMP: חותמת זמן שבה הדוח נוצר.
  • UNIQUE_ID: מזהה ייחודי של הדוח.

השדות הבאים מאוכלסים בדוח סיכום הביקורת לכל סוג בקרה רלוונטי:

סוג הבקרה תיאור
פרטי הבקרה תיאור ודרישה לגבי אמצעי הבקרה.
האחריות של Google Google Cloud אחריות ופרטי הטמעה.
באחריות הלקוח באחריות הלקוח ופרטי ההטמעה.
סטטוס ההערכה סטטוס התאימות של אמצעי הבקרה. הסטטוס יכול להיות אחד מהסוגים הבאים:
  • לא עומד בדרישות: זוהה שינוי שגורם לאי-עמידה בדרישות
  • עומד בדרישות: המערכת עומדת בדרישות
  • נדרשת בדיקה ידנית: נוצרו ארטיפקטים, אבל נדרש קלט מהמשתמש כדי להסיק לגבי סטטוס התאימות
  • דילוג: הגדרה ידנית, אין אוטומציה
קישור לדוח בקרה קישור לדוח הסקירה הכללית של אמצעי הבקרה.

דוח סקירה כללית של אמצעי הבקרה

דוח סקירה כללית של אמצעי בקרה מכיל תיאור מפורט של הערכת התאימות של אמצעי בקרה יחיד. הוא כולל פרטי הערכה לכל בדיקת תאימות, עם הערות וערכים צפויים.

בדוח הסקירה הכללית של הבקרה, בקטגוריית האחסון של היעד, נעשה שימוש במוסכמת השמות הבאה:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods

הסבר על הערכים הזמניים לשמירת מקום (placeholders):

  • FRAMEWORK_NAME: שם ה-framework, למשל CIS_CONTROLS_V8.
  • TIMESTAMP: חותמת זמן שבה הדוח נוצר.
  • UNIQUE_ID: מזהה ייחודי של הדוח.
  • CONTROL_ID: המזהה של אמצעי הבקרה.

דוגמה לדוח סקירה כללית של אמצעי בקרה:

בקרה ID: בהתאם
שם השירות מספר המשאבים סטטוס Resource Evaluation Details
מזהה משאב שדה נמדד ערך נוכחי הערך הצפוי סטטוס URI של משאב הוכחות חותמת זמן של הראיה הוכחות לפרויקט או לתיקייה קישור להוכחה
סך כל השירותים שנכללים בהיקף של אמצעי הבקרה הזה סך כל המשאבים בהיקף הביקורת סטטוס התאימות מזהה משאבים ההגדרה שתיבדק בביקורת ערכים שנצפו ערכים שעומדים בדרישות סטטוס התאימות של האדם חותמת זמן של מועד איסוף ההוכחות
product1.googleapis.com 2 עמידה בדרישות מקור מידע 1 abc 10 ‫‎>=10 עמידה בדרישות מקור מידע 1 12/05/2023 12:55:16 פרויקט 1 קישור 1
def 15 ‎=15 עמידה בדרישות מקור מידע 4 12/05/2023 13:55:16 פרויקט 1 קישור 4
מקור מידע 2 xyz 20 =20 עמידה בדרישות מקור מידע 2 12/05/2023 14:55:16 פרויקט 1 קישור 2
product2.googleapis.com 1 עמידה בדרישות מקור מידע 3 def 5 ‫5 ומעלה עמידה בדרישות מקור מידע 3 12/05/2023 15:55:16 פרויקט 1 קישור 3

הוכחות

ההוכחות כוללות את כל המשאבים שנבדקו עבור כל אמצעי בקרה, כולל פריקת נתונים גולמית של נתוני נכסים, יחד עם הפקודה שהופעלה כדי ליצור את הפלט.

בקטגוריית האחסון של היעד, הראיות מקבלות שמות לפי המוסכמה הבאה:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json

הסבר על הערכים הזמניים לשמירת מקום (placeholders):

  • FRAMEWORK_NAME: שם ה-framework, למשל CIS_CONTROLS_V8.
  • TIMESTAMP: חותמת זמן שבה הדוח נוצר.
  • UNIQUE_ID: מזהה ייחודי של הדוח.
  • EVIDENCE_ID: מזהה ייחודי של הראיה.