כשביקורת מסתיימת, Audit Manager יוצר ומאחסן את סוגי הארטיפקטים הבאים בקטגוריות האחסון של היעד, כדי שתוכלו לצפות בהם:
לפני שמתחילים
ודאו שיש לכם את תפקידי ה-IAM הבאים:
אחד מהתפקידים הבאים ב-Audit Manager שמוגדרים למשאב:
- אדמין ב-Audit Manager (
roles/auditmanager.admin) - מבקר ב-Audit Manager (
roles/auditmanager.auditor) - Compliance Manager
Viewer
(
roles/cloudsecuritycompliance.viewer) (נדרש אם מבצעים ביקורת על מסגרת שיצרתם באמצעות Compliance Manager)
- אדמין ב-Audit Manager (
אחד מהתפקידים הבאים ב-Cloud Storage עבור קטגוריית האחסון שמכילה את הדוחות של Audit Manager:
- אדמין באחסון (
roles/storage.admin) - בעלים של קטגוריה באחסון מדור קודם (
roles/storage.legacyBucketOwner) - קריאת אובייקטים באחסון מדור קודם (
roles/storage.legacyObjectReader)
- אדמין באחסון (
הצגת דוחות ב-Audit Manager
נכנסים לדף Audit Manager במסוף Google Cloud .
בקטע בדיקות תאימות, לוחצים על הצגת הבדיקות.
בדף הצגת הערכות אפשר לראות את הסטטוס של ביקורת בתהליך או של ביקורת שהושלמה מ-Audit Manager או מ-Compliance Manager.
בהתאם לסוג המידע על הביקורת שרוצים לראות, פועלים לפי ההוראות בכרטיסייה המתאימה.
דוח סיכום ביקורת
- כדי לראות את סיכום הביקורת, לוחצים על הקישור בעמודה סטטוס.
בדף מידע בסיסי מוצג מידע על אמצעי הבקרה לתאימות שכלולים בהיקף ועל הסטטוס של התאימות האוטומטית:
- תואם: מוצגות התצורות שעומדות בכל הדרישות.
- הפרות: הצגת טעויות בהגדרות שזוהו בהשוואה לאמצעי בקרה נתון.
- נדרשת בדיקה ידנית: מוצגות ההגדרות שנדרש בהן קלט מהמשתמש כדי להוכיח תאימות ושליטה בתהליך.
- דילוג: מציג את ההגדרות ש-Audit Manager דילג עליהן עבור אמצעי בקרה נתון.
- כדי לראות את הפרטים של סטטוס מסוים, לוחצים על הצגה.
- כדי לייצא את דוח סיכום הביקורת, לוחצים על ייצוא. דוח סיכום הביקורת מיוצא בפורמט ODS.
דוח סקירה כללית של אמצעי הבקרה
בדף מידע בסיסי אפשר לראות את דוח הסקירה הכללית של אמצעי הבקרה על סמך אמצעי בקרה או סטטוס.
- כדי לראות את דוח הסקירה הכללית של אמצעי הבקרה על סמך אמצעי בקרה מסוים:
- מרחיבים את האמצעי הנדרש.
- כדי לראות את הערכת התאימות המפורטת לכל כלל, לוחצים על ההיפר-קישור המתאים. בדף הבקרה מוצגים האחריות, הממצאים והדרישות.
- כדי לראות את דוח הבקרה לפי סטטוס:
- לוחצים על הצגה ליד הסטטוס הנדרש.
- ברשימת אמצעי הבקרה, לוחצים על ההיפר-קישור הנדרש. בדף הבקרה מוצגים האחריות, הממצאים והדרישות.
כדי לייצא את דוח הסקירה הכללית של אמצעי הבקרה, לוחצים על ייצוא.בדף פרטי מאגר, לוחצים על שם אמצעי הבקרה ואז על הורדה. דוח הסקירה הכללית של אמצעי הבקרה מיוצא בפורמט ODS.
הוכחות
כדי לראות את הראיות לממצא, לוחצים על ההיפר-קישור המתאים בדף אמצעי הבקרה. הדף Object details עם פרטי הראיות נפתח בכרטיסייה נפרדת.
כדי להוריד את הראיות, לוחצים על הורדה. ההוכחה מורדת בפורמט JSON.
- כדי לראות את סיכום הביקורת, לוחצים על הקישור בעמודה סטטוס.
אפשרות אחרת היא להוריד את הדוח וההוכחות הנדרשים ישירות מקטגוריית האחסון של היעד. הוראות מפורטות זמינות במאמר בנושא הורדת אובייקט מקטגוריה.
דוח סיכום ביקורת
דוח סיכום של ביקורת הוא דוח מקיף שמספק סקירה כללית ברמה גבוהה של כל אמצעי הבקרה לתאימות, ומטריצת אחריות שתעזור לכם להבין את המערכת.
בדלי האחסון של היעד, דוח סיכום הביקורת משתמש במוסכמת השמות הבאה:
audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods
הסבר על הערכים הזמניים לשמירת מקום (placeholders):
- FRAMEWORK_NAME: שם ה-framework, למשל
SOC2 2017. - TIMESTAMP: חותמת זמן שבה הדוח נוצר.
- UNIQUE_ID: מזהה ייחודי של הדוח.
השדות הבאים מאוכלסים בדוח סיכום הביקורת לכל סוג בקרה רלוונטי:
| סוג הבקרה | תיאור |
|---|---|
| פרטי הבקרה | תיאור ודרישה לגבי אמצעי הבקרה. |
| האחריות של Google | Google Cloud אחריות ופרטי הטמעה. |
| באחריות הלקוח | באחריות הלקוח ופרטי ההטמעה. |
| סטטוס ההערכה | סטטוס התאימות של אמצעי הבקרה. הסטטוס יכול להיות אחד מהסוגים הבאים:
|
| קישור לדוח בקרה | קישור לדוח הסקירה הכללית של אמצעי הבקרה. |
דוח סקירה כללית של אמצעי הבקרה
דוח סקירה כללית של אמצעי בקרה מכיל תיאור מפורט של הערכת התאימות של אמצעי בקרה יחיד. הוא כולל פרטי הערכה לכל בדיקת תאימות, עם הערות וערכים צפויים.
בדוח הסקירה הכללית של הבקרה, בקטגוריית האחסון של היעד, נעשה שימוש במוסכמת השמות הבאה:
audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods
הסבר על הערכים הזמניים לשמירת מקום (placeholders):
- FRAMEWORK_NAME: שם ה-framework, למשל
CIS_CONTROLS_V8. - TIMESTAMP: חותמת זמן שבה הדוח נוצר.
- UNIQUE_ID: מזהה ייחודי של הדוח.
- CONTROL_ID: המזהה של אמצעי הבקרה.
דוגמה לדוח סקירה כללית של אמצעי בקרה:
| בקרה ID: בהתאם | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| שם השירות | מספר המשאבים | סטטוס | Resource Evaluation Details | ||||||||
| מזהה משאב | שדה נמדד | ערך נוכחי | הערך הצפוי | סטטוס | URI של משאב הוכחות | חותמת זמן של הראיה | הוכחות לפרויקט או לתיקייה | קישור להוכחה | |||
| סך כל השירותים שנכללים בהיקף של אמצעי הבקרה הזה | סך כל המשאבים בהיקף הביקורת | סטטוס התאימות | מזהה משאבים | ההגדרה שתיבדק בביקורת | ערכים שנצפו | ערכים שעומדים בדרישות | סטטוס התאימות של האדם | חותמת זמן של מועד איסוף ההוכחות | |||
| product1.googleapis.com | 2 | עמידה בדרישות | מקור מידע 1 | abc | 10 | >=10 | עמידה בדרישות | מקור מידע 1 | 12/05/2023 12:55:16 | פרויקט 1 | קישור 1 |
| def | 15 | =15 | עמידה בדרישות | מקור מידע 4 | 12/05/2023 13:55:16 | פרויקט 1 | קישור 4 | ||||
| מקור מידע 2 | xyz | 20 | =20 | עמידה בדרישות | מקור מידע 2 | 12/05/2023 14:55:16 | פרויקט 1 | קישור 2 | |||
| product2.googleapis.com | 1 | עמידה בדרישות | מקור מידע 3 | def | 5 | 5 ומעלה | עמידה בדרישות | מקור מידע 3 | 12/05/2023 15:55:16 | פרויקט 1 | קישור 3 |
הוכחות
ההוכחות כוללות את כל המשאבים שנבדקו עבור כל אמצעי בקרה, כולל פריקת נתונים גולמית של נתוני נכסים, יחד עם הפקודה שהופעלה כדי ליצור את הפלט.
בקטגוריית האחסון של היעד, הראיות מקבלות שמות לפי המוסכמה הבאה:
audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json
הסבר על הערכים הזמניים לשמירת מקום (placeholders):
- FRAMEWORK_NAME: שם ה-framework, למשל
CIS_CONTROLS_V8. - TIMESTAMP: חותמת זמן שבה הדוח נוצר.
- UNIQUE_ID: מזהה ייחודי של הדוח.
- EVIDENCE_ID: מזהה ייחודי של הראיה.