Visualizzare un controllo

Al termine di un audit, Audit Manager crea e archivia i seguenti tipi di artefatti nei bucket di archiviazione di destinazione per consentirti di visualizzarli:

Prima di iniziare

Assicurati di disporre dei seguenti ruoli IAM:

Visualizzare i report di Audit Manager

  1. Nella Google Cloud console, vai alla pagina Audit Manager.

    Vai ad Audit Manager

  2. Nella sezione Audit di conformità, fai clic su Visualizza audit.

  3. Nella pagina Visualizza valutazioni, puoi visualizzare lo stato di un audit in corso o completato da Audit Manager o Compliance Manager.

  4. A seconda del tipo di informazioni di audit che vuoi visualizzare, segui le istruzioni nella scheda corrispondente.

    Report di riepilogo dell'audit

    1. Per visualizzare il riepilogo dell'audit, fai clic sul link nella colonna Stato.

      La pagina Informazioni di base mostra le informazioni su controlli di conformità inclusi nell'ambito e lo stato della conformità automatizzata:

      • Conforme: mostra le configurazioni che soddisfano tutti i requisiti.
      • Violazioni: mostra le configurazioni errate rilevate rispetto a un determinato controllo.
      • Revisione manuale necessaria: mostra le configurazioni che richiedono input dell'utente per dimostrare la conformità e il controllo del processo.
      • Ignorato:mostra le configurazioni che Audit Manager ha ignorato per un determinato controllo.
    2. Per visualizzare i dettagli di uno stato, fai clic su Visualizza.
    3. Per esportare il report di riepilogo dell'audit, fai clic su Esporta. Il report di riepilogo dell'audit viene esportato in formato ODS.

    Report di panoramica dei controlli

    Puoi utilizzare la pagina Informazioni di base per visualizzare il report di panoramica dei controlli in base a un controllo o a uno stato.

    • Per visualizzare il report di panoramica dei controlli in base a un controllo:
      1. Espandi il controllo richiesto.
      2. Per visualizzare la valutazione dettagliata della conformità rispetto a ogni regola, fai clic sul collegamento ipertestuale corrispondente. La pagina dei controlli mostra la responsabilità, i risultati e i requisiti.
    • Per visualizzare il report di controllo in base a uno stato:
      1. Per lo stato richiesto, fai clic su Visualizza.
      2. Nell'elenco dei controlli, fai clic sul collegamento ipertestuale richiesto. La pagina dei controlli mostra la responsabilità, i risultati e i requisiti.

    Per esportare il report di panoramica dei controlli, fai clic su Esporta.Nella pagina Dettagli bucket, fai clic sul nome del controllo e poi su Scarica. Il report di panoramica dei controlli viene esportato in formato ODS.

    Prove

    Per visualizzare le prove di un risultato, fai clic sul collegamento ipertestuale corrispondente nella pagina dei controlli. La pagina Dettagli oggetto con i dettagli delle prove si apre in una scheda separata.

    Per scaricare le prove, fai clic su Scarica. Le prove vengono scaricate in formato JSON.

In alternativa, puoi scaricare il report e le prove richiesti direttamente dal bucket di archiviazione di destinazione. Per istruzioni dettagliate, vedi Scaricare un oggetto da un bucket.

Report di riepilogo dell'audit

Un report di riepilogo dell'audit è un report completo che fornisce una panoramica di alto livello di tutti i controlli di conformità e una matrice di responsabilità per aiutarti a comprendere il sistema.

Nel bucket di archiviazione di destinazione, il report di riepilogo dell'audit utilizza la seguente convenzione di denominazione:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods

I valori dei segnaposto sono descritti come segue:

  • FRAMEWORK_NAME: il nome del framework, ad esempio SOC2 2017.
  • TIMESTAMP: un timestamp relativo alla data e all'ora di generazione del report.
  • UNIQUE_ID: un ID univoco per il report.

Per ogni tipo di controllo applicabile, nel report di riepilogo dell'audit vengono compilati i seguenti campi:

Tipo di controllo Descrizione
Informazioni sul controllo Una descrizione e un requisito per il controllo.
Responsabilità di Google Google Cloud Responsabilità e dettagli di implementazione.
Responsabilità del cliente Responsabilità del cliente e dettagli di implementazione.
Stato della valutazione Stato di conformità per il controllo. Lo stato può essere uno dei seguenti tipi:
  • Non conforme: è stata rilevata una variazione della conformità
  • Conforme: il sistema è conforme
  • Revisione manuale necessaria: vengono prodotti artefatti, ma è necessario input utente è necessario per concludere sullo stato di conformità
  • Ignorato: controllo manuale, automazione non presente
Link al report di controllo Un link al report di panoramica dei controlli.

Report di panoramica dei controlli

Un report di panoramica dei controlli contiene una descrizione dettagliata della valutazione della conformità per un singolo controllo. Fornisce i dettagli della valutazione per ogni controllo di conformità con osservazioni e valori previsti.

Nel bucket di archiviazione di destinazione, il report di panoramica dei controlli utilizza la seguente convenzione di denominazione:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods

I valori dei segnaposto sono descritti come segue:

  • FRAMEWORK_NAME: il nome del framework, ad esempio CIS_CONTROLS_V8.
  • TIMESTAMP: un timestamp relativo alla data e all'ora di generazione del report.
  • UNIQUE_ID: un ID univoco per il report.
  • CONTROL_ID: l'ID del controllo.

Un report di panoramica dei controlli è simile all'esempio seguente:

ID controllo ID: CONFORME
Nome servizio Numero di risorse Stato Dettagli della valutazione delle risorse
ID risorsa Campo misurato Valore attuale Valore previsto Stato URI risorsa delle prove Timestamp delle prove Prove per progetto/cartella Link alle prove
Servizi totali inclusi nell'ambito di questo controllo Risorse totali nell'ambito dell'audit Stato di conformità Identificatore di risorse Configurazione da misurare per l'audit Valori osservati Valori conformi Stato di conformità individuale Timestamp relativo alla data e all'ora di raccolta delle prove
product1.googleapis.com 2 CONFORME Risorsa 1 abc 10 >=10 CONFORME Risorsa 1 05/12/2023 12:55:16 Progetto 1 Link 1
def 15 =15 CONFORME Risorsa 4 05/12/2023 13:55:16 Progetto 1 Link 4
Risorsa 2 xyz 20 =20 CONFORME Risorsa 2 05/12/2023 14:55:16 Progetto 1 Link 2
product2.googleapis.com 1 CONFORME Risorsa 3 def 5 >=5 CONFORME Risorsa 3 05/12/2023 15:55:16 Progetto 1 Link 3

Prove

Le prove includono tutte le risorse valutate per ogni controllo, incluso un dump non elaborato dei dati degli asset e il comando eseguito per produrre l'output.

Nel bucket di archiviazione di destinazione, le prove utilizzano la seguente convenzione di denominazione:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json

I valori dei segnaposto sono descritti come segue:

  • FRAMEWORK_NAME: il nome del framework, ad esempio CIS_CONTROLS_V8.
  • TIMESTAMP: un timestamp relativo alla data e all'ora di generazione del report.
  • UNIQUE_ID: un ID univoco per il report.
  • EVIDENCE_ID: un ID univoco per le prove.