Cuando se completa una auditoría, el Administrador de auditorías crea y almacena los siguientes tipos de artefactos en los buckets de almacenamiento de destino para que los veas:
Antes de comenzar
Asegúrate de tener los siguientes roles de IAM:
Uno de los siguientes roles de Audit Manager para el recurso:
- Administrador de Audit Manager (
roles/auditmanager.admin) - Auditor del Administrador de auditorías (
roles/auditmanager.auditor)
- Administrador de Audit Manager (
Una de las siguientes funciones de Cloud Storage para el bucket de almacenamiento que contiene los informes del Administrador de auditorías:
- Administrador de almacenamiento (
roles/storage.admin) - Propietario de buckets heredados de almacenamiento (
roles/storage.legacyBucketOwner) - Lector de objetos heredados de Storage (
roles/storage.legacyObjectReader)
- Administrador de almacenamiento (
Cómo ver los informes de Audit Manager
En la consola de Google Cloud , ve a la página Administrador de auditorías.
En la sección Auditorías de cumplimiento, haz clic en Ver auditorías.
En la página Ver evaluaciones, puedes consultar el estado de una auditoría en curso o de una auditoría completada.
Según el tipo de información de auditoría que desees ver, sigue las instrucciones de la pestaña correspondiente.
Informe de resumen de auditoría
- Para ver el resumen de la auditoría, haz clic en el vínculo de la columna Estado.
En la página Información básica, se muestra la información sobre los controles de cumplimiento incluidos en el permiso y el estado del cumplimiento automatizado:
- Cumplimiento: Muestra los parámetros de configuración que cumplen con todos los requisitos.
- Incumplimientos: Muestra los parámetros de configuración incorrectos que se detectan en un control determinado.
- Se necesita una revisión manual: Muestra los parámetros de configuración que necesitan entradas del usuario para demostrar el cumplimiento y el control del proceso.
- Omitidos: Muestra los parámetros de configuración que el Administrador de auditorías omitió para un control determinado.
- Para ver los detalles de un estado, haz clic en Ver.
- Para exportar el informe de resumen de auditoría, haz clic en Exportar. El informe de resumen de auditoría se exporta en formato ODS.
Informe de resumen de controles
Puedes usar la página Información básica para ver el informe de resumen del control según un control o un estado.
- Para ver el informe de resumen de controles según un control, haz lo siguiente:
- Expande el control requerido.
- Para ver la evaluación de cumplimiento detallada de cada regla, haz clic en el hipervínculo correspondiente. En la página de controles, se muestran la responsabilidad, los hallazgos y los requisitos.
- Para ver el informe de control según un estado, haz lo siguiente:
- Para ver el estado requerido, haz clic en Ver.
- En la lista de controles, haz clic en el hipervínculo requerido. En la página de controles, se muestran la responsabilidad, los hallazgos y los requisitos.
Para exportar el informe de resumen del control, haz clic en Exportar.En la página Detalles del bucket, haz clic en el nombre del control y, luego, en Descargar. El informe de resumen del control se exporta en formato ODS.
Evidencia
Para ver la evidencia de un hallazgo, haz clic en el hipervínculo correspondiente en la página de controles. Se abrirá la página Detalles del objeto con los detalles de la evidencia en una pestaña separada.
Para descargar la evidencia, haz clic en Descargar. La evidencia se descarga en formato JSON.
- Para ver el resumen de la auditoría, haz clic en el vínculo de la columna Estado.
Como alternativa, puedes descargar el informe y la evidencia requeridos directamente del bucket de almacenamiento de destino. Para obtener instrucciones detalladas, consulta Descarga un objeto de un bucket.
Informe de resumen de auditoría
Un informe de resumen de auditoría es un informe integral que proporciona una descripción general de alto nivel de todos los controles de cumplimiento y una matriz de responsabilidades para ayudarte a comprender el sistema.
En el bucket de almacenamiento de destino, el informe de resumen de auditoría usa la siguiente convención para asignar nombres:
audit-reports/audit_CONTROL_PACKAGE_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods
Los valores de marcador de posición se describen de la siguiente manera:
- CONTROL_PACKAGE_NAME: Es el nombre del paquete de control, como
SOC2 2017. - TIMESTAMP: Es la marca de tiempo en la que se generó el informe.
- UNIQUE_ID: Es un ID único para el informe.
Para cada tipo de control aplicable, los siguientes campos se completan en el informe de resumen de auditoría:
| Tipo de control | Descripción |
|---|---|
| Información de control | Es una descripción y un requisito para el control. |
| Responsabilidad de Google | Es la responsabilidad y detalles de implementación deGoogle Cloud . |
| Responsabilidad del cliente | Responsabilidad del cliente y detalles de implementación. |
| Estado de evaluación | Es el estado de cumplimiento del control. El estado puede ser uno de los siguientes tipos:
|
| Vínculo al informe de control | Es un vínculo al informe de resumen del control. |
Informe de resumen de controles
Un informe de resumen del control contiene una descripción detallada de la evaluación de cumplimiento para un solo control. Proporciona detalles de la evaluación para cada comprobación de cumplimiento con observaciones y valores esperados.
En el bucket de almacenamiento de destino, el informe de resumen del control usa la siguiente convención para asignar nombres:
audit-reports/audit_CONTROL_PACKAGE_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods
Los valores de marcador de posición se describen de la siguiente manera:
- CONTROL_PACKAGE_NAME: Es el nombre del paquete de control, como
CIS_CONTROLS_V8. - TIMESTAMP: Es la marca de tiempo en la que se generó el informe.
- UNIQUE_ID: Es un ID único para el informe.
- CONTROL_ID: Es el ID del control.
Un informe de resumen de controles es similar al siguiente ejemplo:
| Control ID: CUMPLE CON LOS REQUISITOS | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Nombre del servicio | Cantidad de recursos | Estado | Detalles de la evaluación de recursos | ||||||||
| ID de recurso | Campo medido | Valor actual | Valor esperado | Estado | URI del recurso de evidencia | Marca de tiempo de la evidencia | Evidencia del proyecto o la carpeta | Vínculo de evidencia | |||
| Servicios totales incluidos en el alcance de este control | Recursos totales en el alcance de la auditoría | Estado de cumplimiento | Identificador de recursos | Configuración que se medirá para la auditoría | Valores observados | Valores que cumplen con los requisitos | Estado de cumplimiento individual | Marca de tiempo en la que se recopiló la evidencia | |||
| product1.googleapis.com | 2 | CUMPLE | Recurso 1 | abc | 10 | >=10 | CUMPLE | Recurso 1 | 12/05/2023 12:55:16 | Proyecto 1 | Vínculo 1 |
| def | 15 | =15 | CUMPLE | Recurso 4 | 5/12/2023 13:55:16 | Proyecto 1 | Vínculo 4 | ||||
| Recurso 2 | xyz | 20 | =20 | CUMPLE | Recurso 2 | 12/05/2023 14:55:16 | Proyecto 1 | Vínculo 2 | |||
| product2.googleapis.com | 1 | CUMPLE | Recurso 3 | def | 5 | >=5 | CUMPLE | Recurso 3 | 12/05/2023 15:55:16 | Proyecto 1 | Vínculo 3 |
Evidencia
La evidencia incluye todos los recursos evaluados para cada control, lo que incluye un volcado sin procesar de los datos de los activos junto con el comando que se ejecutó para producir el resultado.
En el bucket de almacenamiento de destino, la evidencia usa la siguiente convención para asignar nombres:
audit-reports/audit_CONTROL_PACKAGE_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json
Los valores de marcador de posición se describen de la siguiente manera:
- CONTROL_PACKAGE_NAME: Es el nombre del paquete de control, como
CIS_CONTROLS_V8. - TIMESTAMP: Es la marca de tiempo en la que se generó el informe.
- UNIQUE_ID: Es un ID único para el informe.
- EVIDENCE_ID: Es un ID único para la evidencia.