כשביקורת מסתיימת, כלי לניהול ביקורות יוצר ומאחסן פריטי מידע לביקורת בקטגוריות האחסון של היעד, כדי שתוכלו לצפות בהם:
- דוח סיכום ביקורת
- דוח סקירה כללית של אמצעי הבקרה
- הוכחות
הממשק החדש של המסוף (תצוגה מקדימה) כולל פורמט שונה לדוחות. מידע נוסף מופיע במאמר בנושא הצגת דוחות של כלי לניהול ביקורות (ממשק חדש).
לפני שמתחילים
ודאו שיש לכם את תפקידי ה-IAM הבאים:
אחד מהתפקידים הבאים ב-Audit Manager שמוגדרים למשאב:
- אדמין ב-Audit Manager (
roles/auditmanager.admin) - מבקר ב-Audit Manager (
roles/auditmanager.auditor) - הרשאת צפייה ב-Compliance Manager
(
roles/cloudsecuritycompliance.viewer) (נדרשת אם מבצעים ביקורת על מסגרת שיצרתם באמצעות Compliance Manager)
- אדמין ב-Audit Manager (
אחד מהתפקידים הבאים ב-Cloud Storage עבור קטגוריית האחסון שמכילה את הדוחות של כלי לניהול ביקורות:
- אדמין באחסון (
roles/storage.admin) - בעלים של קטגוריה באחסון מדור קודם (
roles/storage.legacyBucketOwner) - קריאת אובייקטים באחסון מדור קודם (
roles/storage.legacyObjectReader)
- אדמין באחסון (
הצגת דוחות של כלי לניהול ביקורות (גרסה קלאסית)
נכנסים לדף Audit Manager במסוף Google Cloud .
בקטע בדיקות תאימות, לוחצים על הצגת הבדיקות.
בדף הצגת הערכות אפשר לראות את הסטטוס של ביקורת בתהליך או של ביקורת שהושלמה מ-Audit Manager או מ-Compliance Manager.
בהתאם לסוג המידע על הביקורת שרוצים לראות, פועלים לפי ההוראות בכרטיסייה המתאימה.
דוח סיכום ביקורת
- כדי לראות את סיכום הביקורת, לוחצים על הקישור בעמודה סטטוס.
בדף מידע בסיסי מוצג מידע על אמצעי הבקרה לתאימות שנכללים בהיקף ועל הסטטוס של התאימות האוטומטית:
- תואם: מוצגות התצורות שעומדות בכל הדרישות.
- הפרות: הצגת טעויות בהגדרות שזוהו בהשוואה לאמצעי בקרה נתון.
- נדרשת בדיקה ידנית: מוצגות ההגדרות שנדרש בהן קלט מהמשתמש כדי להוכיח תאימות ושליטה בתהליך.
- דילוג: מציג את ההגדרות שכלי לניהול ביקורות דילג עליהן עבור אמצעי בקרה נתון.
- כדי לראות את הפרטים של סטטוס מסוים, לוחצים על הצגה.
- כדי לייצא את דוח סיכום הביקורת, לוחצים על ייצוא. דוח סיכום הביקורת מיוצא בפורמט ODS.
דוח סקירה כללית של אמצעי הבקרה
בדף מידע בסיסי אפשר לראות את דוח הסקירה הכללית של אמצעי הבקרה על סמך אמצעי בקרה או סטטוס.
- כדי לראות את דוח הסקירה הכללית של אמצעי הבקרה על סמך אמצעי בקרה מסוים:
- מרחיבים את האמצעי הנדרש.
- כדי לראות את הערכת התאימות המפורטת לכל כלל, לוחצים על ההיפר-קישור המתאים. בדף הבקרה מוצגים האחריות, הממצאים והדרישות.
- כדי לראות את דוח הבקרה לפי סטטוס:
- לוחצים על הצגה ליד הסטטוס הנדרש.
- ברשימת אמצעי הבקרה, לוחצים על ההיפר-קישור הנדרש. בדף הבקרה מוצגים האחריות, הממצאים והדרישות.
כדי לייצא את דוח הסקירה הכללית של אמצעי הבקרה, לוחצים על ייצוא.בדף פרטי מאגר, לוחצים על שם אמצעי הבקרה ואז על הורדה. דוח הסקירה הכללית של אמצעי הבקרה מיוצא בפורמט ODS.
הוכחות
כדי לראות את הראיות לממצא, לוחצים על ההיפר-קישור המתאים בדף אמצעי הבקרה. הדף Object details עם פרטי הראיות נפתח בכרטיסייה נפרדת.
כדי להוריד את הראיות, לוחצים על הורדה. ההוכחה מורדת בפורמט JSON.
- כדי לראות את סיכום הביקורת, לוחצים על הקישור בעמודה סטטוס.
אפשרות נוספת היא להוריד את הדוח וההוכחות הנדרשים ישירות מדליק האחסון של היעד. הוראות מפורטות זמינות במאמר הורדת אובייקט מקטגוריה.
דוח סיכום ביקורת
דוח סיכום של ביקורת הוא דוח מקיף שמספק סקירה כללית ברמה גבוהה של כל אמצעי הבקרה לתאימות, ומטריצת אחריות שתעזור לכם להבין את המערכת.
בדלי האחסון של היעד, דוח סיכום הביקורת משתמש במוסכמת השמות הבאה:
audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods
הסבר על הערכים הזמניים לשמירת מקום (placeholders):
- FRAMEWORK_NAME: שם ה-framework, למשל
SOC2 2017. - TIMESTAMP: חותמת זמן שבה הדוח נוצר.
- UNIQUE_ID: מזהה ייחודי של הדוח.
השדות הבאים מאוכלסים בדוח סיכום הביקורת לכל סוג בקרה רלוונטי:
| סוג הבקרה | תיאור |
|---|---|
| פרטי הבקרה | תיאור ודרישה לגבי אמצעי הבקרה. |
| האחריות של Google | Google Cloud אחריות ופרטי הטמעה. |
| באחריות הלקוח | באחריות הלקוח ופרטי ההטמעה. |
| סטטוס ההערכה | סטטוס התאימות של אמצעי הבקרה. הסטטוס יכול להיות אחד מהסוגים הבאים:
|
| קישור לדוח בקרה | קישור לדוח הסקירה הכללית של אמצעי הבקרה. |
דוח סקירה כללית של אמצעי הבקרה
דוח סקירה כללית של אמצעי בקרה מכיל תיאור מפורט של הערכת התאימות של אמצעי בקרה יחיד. הוא כולל פרטי הערכה לכל בדיקת תאימות, עם הערות וערכים צפויים.
בדוח הסקירה הכללית של הבקרה, בקטגוריית האחסון של היעד, נעשה שימוש במוסכמת השמות הבאה:
audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods
הסבר על הערכים הזמניים לשמירת מקום (placeholders):
- FRAMEWORK_NAME: שם ה-framework, למשל
CIS_CONTROLS_V8. - TIMESTAMP: חותמת זמן שבה הדוח נוצר.
- UNIQUE_ID: מזהה ייחודי של הדוח.
- CONTROL_ID: המזהה של אמצעי הבקרה.
דוגמה לדוח סקירה כללית של אמצעי בקרה:
| בקרה ID: בהתאם | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| שם השירות | מספר המשאבים | סטטוס | Resource Evaluation Details | ||||||||
| מזהה משאב | שדה נמדד | ערך נוכחי | הערך הצפוי | סטטוס | URI של משאב הוכחה | חותמת זמן של הוכחה | הוכחות לפרויקט או לתיקייה | קישור להוכחה | |||
| סך כל השירותים שנכללים בהיקף של אמצעי הבקרה הזה | סך כל המשאבים בהיקף הביקורת | סטטוס העמידה בדרישות | מזהה משאבים | ההגדרה שתיבדק בביקורת | ערכים שנצפו | ערכים שעומדים בדרישות | סטטוס התאימות של האדם | חותמת זמן של מועד איסוף ההוכחות | |||
| product1.googleapis.com | 2 | עמידה בדרישות | מקור מידע 1 | abc | 10 | >=10 | עמידה בדרישות | מקור מידע 1 | 12/05/2023 12:55:16 | פרויקט 1 | קישור 1 |
| def | 15 | =15 | עמידה בדרישות | מקור מידע 4 | 12/05/2023 13:55:16 | פרויקט 1 | קישור 4 | ||||
| מקור מידע 2 | xyz | 20 | =20 | עמידה בדרישות | מקור מידע 2 | 12/05/2023 14:55:16 | פרויקט 1 | קישור 2 | |||
| product2.googleapis.com | 1 | עמידה בדרישות | מקור מידע 3 | def | 5 | 5 ומעלה | עמידה בדרישות | מקור מידע 3 | 12/05/2023 15:55:16 | פרויקט 1 | קישור 3 |
הוכחות
ההוכחות כוללות את כל המשאבים שנבדקו עבור כל אמצעי בקרה, כולל פריקת נתונים גולמית של נתוני נכסים יחד עם הפקודה שהופעלה כדי ליצור את הפלט.
בקטגוריית האחסון של היעד, השמות של הראיות נבנים לפי המוסכמה הבאה:
audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json
הסבר על הערכים הזמניים לשמירת מקום (placeholders):
- FRAMEWORK_NAME: שם ה-framework, למשל
CIS_CONTROLS_V8. - TIMESTAMP: חותמת זמן שבה הדוח נוצר.
- UNIQUE_ID: מזהה ייחודי של הדוח.
- EVIDENCE_ID: מזהה ייחודי של הראיה.
הצגת דוחות של כלי לניהול ביקורות (ממשק חדש)
בממשק החדש של המסוף, אפשר לראות את ציון התאימות של אמצעי בקרה, אמצעי בקרה בענן וGoogle Cloud משאבים בדפים Audit report במסוף Google Cloud .
נכנסים לדף Audit Manager במסוף Google Cloud .
בקטע בדיקות תאימות, לוחצים על הצגת הבדיקות.
לוחצים על מעבר לגרסה החדשה.
בדף View audits (הצגת ביקורות), אפשר לראות את הסטטוס של ביקורת שנמצאת בתהליך או של ביקורת שהושלמה מ-Audit Manager או מ-Compliance Manager.
כדי לקבל מידע נוסף על ביקורת, לוחצים על שם הביקורת.
מרכז הבקרה של דוח הביקורת כולל כרטיסיות נפרדות לאמצעי בקרה, לאמצעי בקרה בענן ולמשאבים, וכל אחת מהן כוללת ספירות ודיאגרמות ייחודיות משלה. בלוח הבקרה Audit report מוצג ציון התאימות שלכם. לוח הבקרה של כל כרטיסייה כולל את הפרטים הבאים:
סיכום התאימות: האחוז נקבע באופן הבא:
(Number of evaluated items that compliance / Total number of items) * 100פריט יכול להיות אמצעי בקרה, אמצעי בקרה בענן או משאב. המספר הכולל של הפריטים כולל את כל הפריטים שעומדים בדרישות, את הפריטים שמפירים את המדיניות ואת הפריטים שלא נבדקו (דילוג).
סך הכול: המספר הכולל של אמצעי הבקרה או אמצעי הבקרה בענן במסגרת, או המספר הכולל של המשאבים שנבדקו.
עומדים בדרישות: מספר הפריטים שעמדו בדרישות ההערכה.
הפרות: מספר הפריטים שלא עמדו בדרישות ההערכה.
לא חד משמעי: מספר הפריטים שכלי לניהול ביקורות לא הצליח לקבוע לגביהם אם הם עומדים בדרישות התאימות. לדוגמה, נתוני ההגדרה או היומן שאוחזרו לא תאמו בבירור לכללי התאימות.
פריטים שדילגו עליהם: מספר הפריטים שכלי לניהול ביקורות לא הצליח להעריך בגלל שגיאה או בעיה במערכת שנתקלו בהן במהלך ההערכה. לדוגמה, לא היו מספיק הרשאות כדי לבדוק משאב ספציפי.
לא נתמך: מספר הפריטים שלא ניתן לבדוק ב-Audit Manager כי נדרשת הערכה של משאבים שנמצאים מחוץ ל- Google Cloud.
הוכחות שנאספו: כמות המידע שחולץ באמצעות הערכה טכנית של הפריטים.
הערכות של הפרות: מספר הכללים או המשאבים שכלי לניהול ביקורות העריך ככאלה שנכשלו.
כדי להוריד את דוח הביקורת מהקטגוריה של Cloud Storage כגיליון אלקטרוני בפורמט OpenDocument (ODS), לוחצים על הורדת הדוח.
אפשרות נוספת היא להוריד את הדוח וההוכחות הנדרשים ישירות מקטגוריית היעד של Cloud Storage. הוראות מפורטות מופיעות במאמר הורדת אובייקט מקטגוריה.
כדי לראות מידע נוסף על הסטטוס של פריט, לוחצים על הצגה לצד הסטטוס. בתצוגה המסוננת מוצגת הבקרה הרלוונטית, בקרת הענן או המשאב.
בכרטיסייה Control (שליטה), התצוגה מקובצת לפי אמצעי בקרה. כדי לראות את האמצעים והאמצעים בענן שמקובצים בתוך אמצעי, מרחיבים את המסנן.
בכרטיסייה Cloud control, התצוגה מקובצת לפי אמצעי בקרה בענן.
בכרטיסייה Resources, התצוגה מקובצת לפי שם שירות ה-API (לדוגמה,
cloudresourcemanager.googleapis.com). כדי לראות את המשאבים הרלוונטיים בשירות, מרחיבים את המסנן.
כדי לראות סיכום מפורט לגבי פריט מסוים, לוחצים על הפריט בתצוגה המסוננת. בהתאם לכרטיסייה שבה אתם נמצאים, מוצג המידע הבא:
דוח בקרה
בדף הדוח Control מוצגים הפרטים הבאים:
- מזהה הבקרה והמשפחה.
- סטטוס האחריות המשותפת.
- סטטוס הבדיקה.
- סטטוס הבדיקה.
- כמות הראיות שנאספו במהלך הבדיקה.
- סיכום של הבדיקה שנוצר על ידי Gemini.
- מידע על אמצעי הבקרה בענן שכלולים בבקרה, כולל מספר אמצעי הבקרה בענן שעוברים את הבדיקה וסיכום הראיות.
- תצוגה מסוננת שמספקת קישורים לדוחות של אמצעי בקרה בענן ולמידע על אחריות משותפת.
דוח בקרה בענן
בדף הדוח Cloud control מוצגים הפרטים הבאים:
- השם והמזהה של אמצעי הבקרה בענן.
- סטטוס הבדיקה.
- אמצעי הבקרה (שנקראים אמצעי בקרה רגולטוריים) שאליהם שייך אמצעי הבקרה בענן.
- סטטוס הבדיקה.
- סיכום של הבדיקה שנוצר על ידי Gemini.
- כמות הראיות שנאספו במהלך הבדיקה.
- מידע על אמצעי הבקרה בענן שכלולים בבקרה, כולל מספר ההערכות, ההפרות והראיות.
- תצוגה מסוננת שמספקת קישורים לסיכומים של תצפיות ולדוחות רלוונטיים של משאבים.
דוח משאבים
בדף הדוח Resource מוצגים הפרטים הבאים:
- המשאב והשירות הרלוונטיים.
- אמצעי הבקרה (שנקראים אמצעי בקרה רגולטוריים) ואמצעי הבקרה בענן ששימשו להערכת המשאב.
- סטטוס הבדיקה.
- סיכום של הבדיקה שנוצר על ידי Gemini.
- תצפיות שנמצאו במהלך הבדיקה, כולל מספר ההערכות, ההפרות והראיות.
- תצוגה מסוננת שמספקת קישורים לסיכומי תצפיות ולדוחות בקרה בענן.
דוחות ב-Cloud Storage
דוחות הביקורת של כלי לניהול ביקורות זמינים בתיקיות בקטגוריות אחסון של Cloud Storage שמשתמשות במוסכמה הבאה:
audit-reports/audit_RESOURCE_NAME_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID
הסבר על הערכים הזמניים לשמירת מקום (placeholders):
- RESOURCE_NAME: מזהה התיקייה או הפרויקט, כמו
folders_12345אוprojects_12345. - FRAMEWORK_NAME: שם ה-framework, למשל
builtin-nist800-53-revision5. - TIMESTAMP: חותמת זמן שבה הדוח נוצר.
- UNIQUE_ID: מזהה ייחודי של הדוח.
כל תיקיית ביקורת כוללת דוחות נפרדים שזמינים לכל אמצעי בקרה, אמצעי בקרה בענן וראיות. דוחות הבקרה ודוחות הבקרה בענן הם בפורמט ODS ומכילים תיאורים מפורטים של הערכת התאימות לבקרה יחידה. בדוחות האלה מפורטים פרטי ההערכה של כל בדיקת תאימות, כולל הערות וערכים צפויים. דוחות הראיות הם בפורמט JSON וכוללים את כל המשאבים שנבדקו עבור כל אמצעי בקרה, כולל dump גולמי של נתוני נכסים והפקודה שהופעלה כדי ליצור את הפלט.