Cuando se completa una auditoría, el Administrador de auditorías crea y almacena artefactos de auditoría en los buckets de almacenamiento de destino para que los veas:
- Informe de resumen de auditoría
- Informe de resumen de controles
- Evidencia
La nueva experiencia de la consola (vista previa) incluye un formato diferente para los informes. Para obtener más información, consulta Cómo ver los informes del Gestor de auditorías (nueva experiencia).
Antes de comenzar
Asegúrate de tener los siguientes roles de IAM:
Uno de los siguientes roles de Gestor de auditorías para el recurso:
- Gestor de auditorías Admin (
roles/auditmanager.admin) - Auditor del Administrador de auditorías (
roles/auditmanager.auditor) - Visualizador del Administrador de cumplimiento (
roles/cloudsecuritycompliance.viewer) (obligatorio si auditas un marco que creaste con el Administrador de cumplimiento)
- Gestor de auditorías Admin (
Una de las siguientes funciones de Cloud Storage para el bucket de almacenamiento que contiene los informes del Gestor de auditorías:
- Administrador de almacenamiento (
roles/storage.admin) - Propietario de buckets heredados de almacenamiento (
roles/storage.legacyBucketOwner) - Lector de objetos heredados de Storage (
roles/storage.legacyObjectReader)
- Administrador de almacenamiento (
Cómo ver los informes de Gestor de auditorías (experiencia clásica)
En la consola de Google Cloud , ve a la página Gestor de auditorías.
En la sección Auditorías de cumplimiento, haz clic en Ver auditorías.
En la página Ver evaluaciones, puedes consultar el estado de una auditoría en curso o de una auditoría completada desde el Gestor de auditorías o el Administrador de cumplimiento.
Según el tipo de información de auditoría que desees ver, sigue las instrucciones de la pestaña correspondiente.
Informe de resumen de auditoría
- Para ver el resumen de la auditoría, haz clic en el vínculo de la columna Estado.
En la página Información básica, se muestra la información sobre los controles de cumplimiento incluidos en el permiso y el estado del cumplimiento automatizado:
- Cumplimiento: Muestra los parámetros de configuración que cumplen con todos los requisitos.
- Incumplimientos: Muestra los parámetros de configuración incorrectos que se detectan en un control determinado.
- Se necesita una revisión manual: Muestra los parámetros de configuración que necesitan entradas del usuario para demostrar el cumplimiento y el control del proceso.
- Omitidos: Muestra los parámetros de configuración que el Gestor de auditorías omitió para un control determinado.
- Para ver los detalles de un estado, haz clic en Ver.
- Para exportar el informe de resumen de auditoría, haz clic en Exportar. El informe de resumen de auditoría se exporta en formato ODS.
Informe de resumen de controles
Puedes usar la página Información básica para ver el informe de resumen del control según un control o un estado.
- Para ver el informe de resumen de controles según un control, haz lo siguiente:
- Expande el control requerido.
- Para ver la evaluación de cumplimiento detallada de cada regla, haz clic en el hipervínculo correspondiente. En la página de controles, se muestran la responsabilidad, los hallazgos y los requisitos.
- Para ver el informe de control según un estado, haz lo siguiente:
- Para ver el estado requerido, haz clic en Ver.
- En la lista de controles, haz clic en el hipervínculo requerido. En la página de controles, se muestran la responsabilidad, los hallazgos y los requisitos.
Para exportar el informe de resumen del control, haz clic en Exportar.En la página Detalles del bucket, haz clic en el nombre del control y, luego, en Descargar. El informe de resumen del control se exporta en formato ODS.
Evidencia
Para ver la evidencia de un hallazgo, haz clic en el hipervínculo correspondiente en la página de controles. Se abrirá la página Detalles del objeto con los detalles de la evidencia en una pestaña separada.
Para descargar la evidencia, haz clic en Descargar. La evidencia se descarga en formato JSON.
- Para ver el resumen de la auditoría, haz clic en el vínculo de la columna Estado.
Como alternativa, puedes descargar el informe y la evidencia requeridos directamente del bucket de almacenamiento de destino. Para obtener instrucciones detalladas, consulta Descarga un objeto de un bucket.
Informe de resumen de auditoría
Un informe de resumen de auditoría es un informe integral que proporciona una descripción general de alto nivel de todos los controles de cumplimiento y una matriz de responsabilidades para ayudarte a comprender el sistema.
En el bucket de almacenamiento de destino, el informe de resumen de auditoría usa la siguiente convención para asignar nombres:
audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods
Los valores de marcador de posición se describen de la siguiente manera:
- FRAMEWORK_NAME: Es el nombre del framework, como
SOC2 2017. - TIMESTAMP: Es la marca de tiempo en la que se generó el informe.
- UNIQUE_ID: Es un ID único para el informe.
Para cada tipo de control aplicable, los siguientes campos se completan en el informe de resumen de auditoría:
| Tipo de control | Descripción |
|---|---|
| Información de control | Es una descripción y un requisito para el control. |
| Responsabilidad de Google | Es la responsabilidad y detalles de implementación deGoogle Cloud . |
| Responsabilidad del cliente | Responsabilidad del cliente y detalles de implementación. |
| Estado de evaluación | Es el estado de cumplimiento del control. El estado puede ser uno de los
siguientes tipos:
|
| Vínculo al informe de control | Es un vínculo al informe de resumen del control. |
Informe de resumen de controles
Un informe de resumen del control contiene una descripción detallada de la evaluación de cumplimiento para un solo control. Proporciona detalles de la evaluación para cada comprobación de cumplimiento con observaciones y valores esperados.
En el bucket de almacenamiento de destino, el informe de resumen del control usa la siguiente convención para asignar nombres:
audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods
Los valores de marcador de posición se describen de la siguiente manera:
- FRAMEWORK_NAME: Es el nombre del framework, como
CIS_CONTROLS_V8. - TIMESTAMP: Es la marca de tiempo en la que se generó el informe.
- UNIQUE_ID: Es un ID único para el informe.
- CONTROL_ID: Es el ID del control.
Un informe de resumen de controles es similar al siguiente ejemplo:
| Control ID: CUMPLE CON LOS REQUISITOS | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Nombre del servicio | Cantidad de recursos | Estado | Detalles de la evaluación de recursos | ||||||||
| ID de recurso | Campo medido | Valor actual | Valor esperado | Estado | URI del recurso de evidencia | Marca de tiempo de la evidencia | Evidencia del proyecto o la carpeta | Vínculo de evidencia | |||
| Servicios totales incluidos en el alcance de este control | Recursos totales en el alcance de la auditoría | Estado de cumplimiento | Identificador de recursos | Configuración que se medirá para la auditoría | Valores observados | Valores que cumplen con los requisitos | Estado de cumplimiento individual | Marca de tiempo en la que se recopiló la evidencia | |||
| product1.googleapis.com | 2 | CUMPLE | Recurso 1 | abc | 10 | >=10 | CUMPLE | Recurso 1 | 12/05/2023 12:55:16 | Proyecto 1 | Vínculo 1 |
| def | 15 | =15 | CUMPLE | Recurso 4 | 5/12/2023 13:55:16 | Proyecto 1 | Vínculo 4 | ||||
| Recurso 2 | xyz | 20 | =20 | CUMPLE | Recurso 2 | 12/05/2023 14:55:16 | Proyecto 1 | Vínculo 2 | |||
| product2.googleapis.com | 1 | CUMPLE | Recurso 3 | def | 5 | >=5 | CUMPLE | Recurso 3 | 12/05/2023 15:55:16 | Proyecto 1 | Vínculo 3 |
Evidencia
La evidencia incluye todos los recursos evaluados para cada control, lo que incluye un volcado sin procesar de los datos de los activos junto con el comando que se ejecutó para producir el resultado.
En el bucket de almacenamiento de destino, la evidencia usa la siguiente convención para asignar nombres:
audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json
Los valores de marcador de posición se describen de la siguiente manera:
- FRAMEWORK_NAME: Es el nombre del framework, como
CIS_CONTROLS_V8. - TIMESTAMP: Es la marca de tiempo en la que se generó el informe.
- UNIQUE_ID: Es un ID único para el informe.
- EVIDENCE_ID: Es un ID único para la evidencia.
Cómo ver los informes del Gestor de auditorías (nueva experiencia)
En la nueva experiencia de la consola, puedes ver tu puntuación de cumplimiento para los controles, los controles de Cloud y losGoogle Cloud recursos en las páginas del informe de auditoría de la consola de Google Cloud .
En la consola de Google Cloud , ve a la página Gestor de auditorías.
En la sección Auditorías de cumplimiento, haz clic en Ver auditorías.
Haz clic en Cambiar a la nueva experiencia.
En la página Ver auditorías, puedes consultar el estado de una auditoría en curso o de una auditoría completada desde el Gestor de auditorías o el Administrador de cumplimiento.
Para obtener más información sobre una auditoría, haz clic en su nombre.
El panel del Informe de auditoría incluye pestañas separadas para los controles, los controles de la nube y los recursos, cada uno con sus propios recuentos y diagramas únicos. En el panel Informe de auditoría, se muestra tu puntuación de cumplimiento. El panel de cada pestaña incluye lo siguiente:
Resumen de cumplimiento: El porcentaje se determina de la siguiente manera:
(Number of evaluated items that compliance / Total number of items) * 100Un elemento puede ser un control, un control de nube o un recurso. La cantidad total de elementos incluye todos los elementos que cumplen con las políticas, los que las incumplen y los que no se evaluaron (se omitieron).
Total: Es la cantidad total de controles o controles de nube en el marco, o la cantidad total de recursos que se evaluaron.
Cumplimiento: Es la cantidad de elementos que cumplieron con los requisitos de evaluación.
Incumplimientos: Es la cantidad de elementos que no cumplieron con los requisitos de evaluación.
Inconclusive: Es la cantidad de elementos sobre los que el Gestor de auditorías no pudo determinar si cumplían con los requisitos. Por ejemplo, los datos de configuración o de registro que se recuperaron no coincidían claramente con las reglas de cumplimiento.
Omitidos: Es la cantidad de elementos que el Gestor de auditorías no pudo evaluar debido a un error o problema del sistema que se produjo durante la evaluación. Por ejemplo, no se tenían los permisos suficientes para inspeccionar un recurso específico.
No admitidos: Es la cantidad de elementos que Gestor de auditorías no pudo inspeccionar porque requieren la evaluación de recursos que están fuera de Google Cloud.
Evidencia recopilada: Es la cantidad de información que se extrajo a través de la evaluación técnica de los elementos.
Evaluaciones infractoras: Es la cantidad de reglas o recursos que el Gestor de auditorías evaluó como incumplidos.
Para descargar el informe de auditoría del bucket de Cloud Storage como una hoja de cálculo de OpenDocument (ODS), haz clic en Descargar informe.
Como alternativa, puedes descargar el informe y la evidencia requeridos directamente del bucket de almacenamiento de destino. Para obtener instrucciones detalladas, consulta Descarga un objeto de un bucket.
Para ver más información sobre el estado de un elemento, haz clic en Ver junto al estado. En la vista filtrada, se muestra el control, el control de nube o el recurso aplicable.
En la pestaña Control, la vista se agrupa por controles. Para ver los controles y los controles de la nube que se agrupan dentro de un control, expande el filtro.
En la pestaña Control de la nube, la vista se agrupa por controles de la nube.
En la pestaña Recursos, la vista se agrupa por nombre de la API de servicio (por ejemplo,
cloudresourcemanager.googleapis.com). Para ver los recursos aplicables dentro de un servicio, expande el filtro.
Para ver un resumen detallado sobre un elemento en particular, haz clic en él en la vista filtrada. Según la pestaña en la que te encuentres, se mostrará la siguiente información:
Informe de control
En la página del informe Control, se muestra lo siguiente:
- Es el ID y la familia del control.
- Es el estado de responsabilidad compartida.
- Es el estado de la revisión.
- Es el estado de la evaluación.
- Es la cantidad de evidencia que se recopiló durante la auditoría.
- Es un resumen de la evaluación que genera Gemini.
- Es la información sobre los controles de la nube que forman parte del control, incluida la cantidad de controles de la nube que se aprueban y el resumen de evidencia.
- Es una vista filtrada que proporciona vínculos a los informes de controles de la nube y a la información de responsabilidad compartida.
Informe de control de Cloud
En la página del informe Cloud control, se muestra lo siguiente:
- El nombre y el ID del control de nube.
- Es el estado de la revisión.
- Son los controles (denominados controles reglamentarios) a los que pertenece el control de la nube.
- Es el estado de la evaluación.
- Es un resumen de la evaluación que genera Gemini.
- Es la cantidad de evidencia que se recopiló durante la auditoría.
- Es la información sobre los controles de la nube que forman parte del control, incluida la cantidad de evaluaciones, incumplimientos y evidencia.
- Es una vista filtrada que proporciona vínculos a resúmenes de observaciones y a informes de recursos aplicables.
Informe de recursos
En la página del informe Recurso, se muestra lo siguiente:
- Es el recurso y el servicio aplicables.
- Los controles (denominados controles reglamentarios) y los controles de nube que se usaron para evaluar el recurso.
- Es el estado de la evaluación.
- Es un resumen de la evaluación que genera Gemini.
- Son las observaciones que se encontraron durante la auditoría, que incluyen la cantidad de evaluaciones, incumplimientos y evidencia.
- Es una vista filtrada que proporciona vínculos a resúmenes de observaciones y a informes de control de nubes.
Informes en Cloud Storage
Los informes de auditoría del Administrador de auditorías están disponibles en carpetas dentro de los buckets de almacenamiento de Cloud Storage que usan la siguiente convención:
audit-reports/audit_RESOURCE_NAME_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID
Los valores de marcador de posición se describen de la siguiente manera:
- RESOURCE_NAME: Es el ID de la carpeta o el proyecto, como
folders_12345oprojects_12345. - FRAMEWORK_NAME: Es el nombre del framework, como
builtin-nist800-53-revision5. - TIMESTAMP: Es la marca de tiempo en la que se generó el informe.
- UNIQUE_ID: Es un ID único para el informe.
Cada carpeta de auditoría incluye informes separados disponibles para cada control, control de la nube y evidencia. Los informes de control y de control de la nube están en formato ODS y contienen descripciones detalladas de la evaluación de cumplimiento para un solo control. Estos informes proporcionan detalles de la evaluación para cada comprobación de cumplimiento con observaciones y valores esperados. Los informes de evidencia están en formato JSON y incluyen todos los recursos evaluados para cada control, lo que incluye un volcado sin procesar de los datos de los activos junto con el comando que se ejecutó para producir el resultado.