Melihat audit

Setelah audit selesai, Audit Manager akan membuat dan menyimpan artefak audit di bucket penyimpanan tujuan agar dapat Anda lihat:

  • Laporan ringkasan audit
  • Laporan ringkasan kontrol
  • Bukti

Pengalaman konsol baru (Pratinjau) mencakup format laporan yang berbeda. Untuk mengetahui informasi selengkapnya, lihat Melihat laporan Audit Manager (pengalaman baru).

Sebelum memulai

Pastikan Anda memiliki peran IAM berikut:

Melihat laporan Audit Manager (versi klasik)

  1. Di konsol Google Cloud , buka halaman Audit Manager.

    Buka Audit Manager

  2. Di bagian Audit kepatuhan, klik Lihat audit.

  3. Di halaman Lihat penilaian, Anda dapat melihat status audit yang sedang berlangsung atau audit yang telah selesai dari Audit Manager atau Compliance Manager.

  4. Bergantung pada jenis informasi audit yang ingin Anda lihat, ikuti petunjuk di tab yang sesuai.

    Laporan ringkasan audit

    1. Untuk melihat ringkasan audit, klik link di kolom Status.

      Halaman Informasi dasar menampilkan informasi tentang kontrol kepatuhan dalam cakupan dan status kepatuhan otomatis:

      • Sesuai: Menampilkan konfigurasi yang memenuhi semua persyaratan.
      • Pelanggaran: Menampilkan kesalahan konfigurasi yang terdeteksi terhadap kontrol tertentu.
      • Peninjauan manual diperlukan: Menampilkan konfigurasi yang memerlukan input pengguna untuk membuktikan kepatuhan dan kontrol proses.
      • Dilewati: Menampilkan konfigurasi yang dilewati Audit Manager untuk kontrol tertentu.
    2. Untuk melihat detail status, klik Lihat.
    3. Untuk mengekspor laporan ringkasan audit, klik Ekspor. Laporan ringkasan audit diekspor dalam format ODS.

    Laporan ringkasan kontrol

    Anda dapat menggunakan halaman Informasi dasar untuk melihat laporan ringkasan kontrol berdasarkan kontrol atau status.

    • Untuk melihat laporan ringkasan kontrol berdasarkan kontrol, lakukan tindakan berikut:
      1. Luaskan kontrol yang diperlukan.
      2. Untuk melihat penilaian kepatuhan mendetail terhadap setiap aturan, klik hyperlink yang sesuai. Halaman kontrol menampilkan tanggung jawab, temuan, dan persyaratan.
    • Untuk melihat laporan kontrol berdasarkan status, lakukan tindakan berikut:
      1. Untuk status yang diperlukan, klik Lihat.
      2. Dari daftar kontrol, klik hyperlink yang diperlukan. Halaman kontrol menampilkan tanggung jawab, temuan, dan persyaratan.

    Untuk mengekspor laporan ringkasan kontrol, klik Ekspor.Di halaman Bucket details, klik nama kontrol, lalu klik Download. Laporan ringkasan kontrol diekspor dalam format ODS.

    Bukti

    Untuk melihat bukti temuan, klik hyperlink yang sesuai di halaman kontrol. Halaman Detail objek dengan detail bukti akan terbuka di tab terpisah.

    Untuk mendownload bukti, klik Download. Bukti didownload dalam format JSON.

Atau, Anda dapat mendownload laporan dan bukti yang diperlukan langsung dari bucket penyimpanan tujuan. Untuk mengetahui petunjuk mendetail, lihat Mendownload objek dari bucket.

Laporan ringkasan audit

Laporan ringkasan audit adalah laporan komprehensif yang memberikan ringkasan umum semua kontrol kepatuhan dan matriks tanggung jawab untuk membantu Anda memahami sistem.

Di bucket penyimpanan tujuan, laporan ringkasan audit menggunakan konvensi penamaan berikut:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods

Nilai placeholder dijelaskan sebagai berikut:

  • FRAMEWORK_NAME: Nama framework, seperti SOC2 2017.
  • TIMESTAMP: Stempel waktu saat laporan dibuat.
  • UNIQUE_ID: ID unik untuk laporan.

Untuk setiap jenis kontrol yang berlaku, kolom berikut diisi dalam laporan ringkasan audit:

Jenis kontrol Deskripsi
Info Kontrol Deskripsi dan persyaratan untuk kontrol.
Tanggung Jawab Google Google Cloud tanggung jawab dan detail implementasi.
Tanggung Jawab Pelanggan Tanggung jawab pelanggan dan detail penerapan.
Status Penilaian Status kepatuhan untuk kontrol. Status dapat berupa salah satu jenis berikut:
  • Tidak Patuh: Penyimpangan kepatuhan terdeteksi
  • Sesuai: Sistem sesuai
  • Peninjauan Manual Diperlukan: Artefak dihasilkan, tetapi input pengguna diperlukan untuk menyimpulkan status kepatuhan
  • Dilewati: Kontrol manual, tidak ada otomatisasi
Link Laporan Kontrol Link ke laporan ringkasan kontrol.

Laporan ringkasan kontrol

Laporan ringkasan kontrol berisi deskripsi mendetail tentang evaluasi kepatuhan untuk satu kontrol. Bagian ini memberikan detail penilaian untuk setiap pemeriksaan kepatuhan dengan pengamatan dan nilai yang diharapkan.

Di bucket penyimpanan tujuan, laporan ringkasan kontrol menggunakan konvensi penamaan berikut:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods

Nilai placeholder dijelaskan sebagai berikut:

  • FRAMEWORK_NAME: Nama framework, seperti CIS_CONTROLS_V8.
  • TIMESTAMP: Stempel waktu saat laporan dibuat.
  • UNIQUE_ID: ID unik untuk laporan.
  • CONTROL_ID: ID untuk kontrol.

Laporan ringkasan kontrol terlihat mirip dengan contoh berikut:

Kontrol ID: PATUH
Nama layanan # sumber daya Status Detail Evaluasi Resource
ID Resource Measured Field Nilai Saat Ini Nilai yang Diharapkan Status URI Resource Bukti Stempel Waktu Bukti Bukti untuk Project/Folder Link Bukti
Total layanan yang termasuk dalam cakupan kontrol ini Total resource dalam cakupan audit Status kepatuhan ID resource Konfigurasi yang akan diukur untuk audit Nilai yang diamati Nilai yang sesuai Status kepatuhan individu Stempel waktu saat bukti dikumpulkan
product1.googleapis.com 2 PATUH Resource 1 abc 10 >=10 PATUH Resource 1 05/12/2023 12.55.16 Project 1 Link 1
def 15 =15 PATUH Resource 4 05/12/2023 13.55.16 Project 1 Link 4
Resource 2 xyz 20 =20 PATUH Resource 2 05/12/2023 14.55.16 Project 1 Link 2
product2.googleapis.com 1 PATUH Resource 3 def 5 >=5 PATUH Resource 3 05/12/2023 15:55:16 Project 1 Link 3

Bukti

Bukti mencakup semua resource yang dievaluasi untuk setiap kontrol, termasuk dump mentah data aset beserta perintah yang dijalankan untuk menghasilkan output.

Di bucket penyimpanan tujuan, bukti menggunakan konvensi penamaan berikut:

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json

Nilai placeholder dijelaskan sebagai berikut:

  • FRAMEWORK_NAME: Nama framework, seperti CIS_CONTROLS_V8.
  • TIMESTAMP: Stempel waktu saat laporan dibuat.
  • UNIQUE_ID: ID unik untuk laporan.
  • EVIDENCE_ID: ID unik untuk bukti.

Melihat laporan Audit Manager (versi baru)

Dalam pengalaman konsol baru, Anda dapat melihat skor kepatuhan untuk kontrol, kontrol cloud, danGoogle Cloud resource di halaman Laporan audit di konsol Google Cloud .

  1. Di konsol Google Cloud , buka halaman Audit Manager.

    Buka Audit Manager

  2. Di bagian Audit kepatuhan, klik Lihat audit.

  3. Klik Beralih ke pengalaman baru.

    Di halaman Lihat audit, Anda dapat melihat status audit yang sedang berlangsung atau audit yang telah selesai dari Audit Manager atau Compliance Manager.

  4. Untuk mengetahui informasi selengkapnya tentang audit, klik nama audit.

    Dasbor Laporan audit mencakup tab terpisah untuk kontrol, kontrol cloud, dan resource, yang masing-masing memiliki jumlah dan diagram uniknya sendiri. Dasbor Laporan audit menampilkan skor kepatuhan Anda. Dasbor setiap tab mencakup hal berikut:

    • Ringkasan kepatuhan: Persentase ditentukan sebagai berikut:

      (Number of evaluated items that compliance / Total number of items) * 100
      

      Item dapat berupa kontrol, kontrol cloud, atau resource. Jumlah total item mencakup semua item yang mematuhi, melanggar, dan tidak dievaluasi (dilewati).

    • Total: Jumlah total kontrol atau kontrol cloud dalam framework, atau jumlah total resource yang dievaluasi.

    • Sesuai: Jumlah item yang memenuhi persyaratan evaluasi.

    • Pelanggaran: Jumlah item yang tidak memenuhi persyaratan evaluasi.

    • Tidak meyakinkan: Jumlah item yang tidak dapat ditentukan kepatuhannya oleh Audit Manager. Misalnya, data log atau konfigurasi yang diambil tidak cocok dengan jelas dengan aturan kepatuhan.

    • Dilewati: Jumlah item yang tidak dapat dievaluasi oleh Audit Manager karena error atau masalah sistem yang terjadi selama penilaian. Misalnya, izin tidak memadai untuk memeriksa resource tertentu.

    • Tidak didukung: Jumlah item yang tidak dapat diperiksa oleh Audit Manager karena memerlukan evaluasi resource yang berada di luar Google Cloud.

    • Bukti yang dikumpulkan: Jumlah informasi yang diekstrak melalui penilaian teknis item.

    • Evaluasi yang melanggar: Jumlah aturan atau resource yang dinilai gagal oleh Audit Manager.

  5. Untuk mendownload laporan audit dari bucket Cloud Storage sebagai Spreadsheet OpenDocument (ODS), klik Download laporan.

    Atau, Anda dapat mendownload laporan dan bukti yang diperlukan langsung dari bucket penyimpanan tujuan. Untuk mengetahui petunjuk mendetail, lihat Mendownload objek dari bucket.

  6. Untuk melihat informasi selengkapnya tentang status item, klik Lihat di samping status. Tampilan yang difilter menampilkan kontrol, kontrol cloud, atau resource yang berlaku.

    • Di tab Control, tampilan dikelompokkan menurut kontrol. Untuk melihat kontrol dan kontrol cloud yang dikelompokkan dalam kontrol, luaskan filter.

    • Di tab Kontrol cloud, tampilan dikelompokkan menurut kontrol cloud.

    • Di tab Resources, tampilan dikelompokkan menurut nama API layanan (misalnya, cloudresourcemanager.googleapis.com). Untuk melihat resource yang berlaku dalam layanan, luaskan filter.

  7. Untuk melihat ringkasan mendetail tentang item tertentu, klik item dalam tampilan yang difilter. Bergantung pada tab yang Anda buka, informasi berikut ditampilkan:

    Laporan kontrol

    Halaman laporan Kontrol menampilkan hal berikut:

    • ID dan keluarga kontrol.
    • Status tanggung jawab bersama.
    • Status ulasan.
    • Status evaluasi.
    • Jumlah bukti yang dikumpulkan selama audit.
    • Ringkasan evaluasi yang dibuat oleh Gemini.
    • Informasi tentang kontrol cloud yang merupakan bagian dari kontrol, termasuk jumlah kontrol cloud yang lulus dan ringkasan bukti.
    • Tampilan yang difilter yang menyediakan link ke laporan kontrol cloud dan informasi tanggung jawab bersama.

    Laporan kontrol cloud

    Halaman laporan Kontrol cloud menampilkan hal berikut:

    • Nama dan ID kontrol cloud.
    • Status ulasan.
    • Kontrol (disebut sebagai kontrol peraturan) yang menjadi bagian dari kontrol cloud.
    • Status evaluasi.
    • Ringkasan evaluasi yang dibuat oleh Gemini.
    • Jumlah bukti yang dikumpulkan selama audit.
    • Informasi tentang kontrol cloud yang merupakan bagian dari kontrol, termasuk jumlah evaluasi, pelanggaran, dan bukti.
    • Tampilan yang difilter yang menyediakan link ke ringkasan pengamatan dan laporan resource yang berlaku.

    Laporan resource

    Halaman laporan Resource menampilkan hal berikut:

    • Resource dan layanan yang berlaku.
    • Kontrol (disebut sebagai kontrol peraturan) dan kontrol cloud yang digunakan untuk mengevaluasi resource.
    • Status evaluasi.
    • Ringkasan evaluasi yang dibuat oleh Gemini.
    • Pengamatan yang ditemukan selama audit, yang mencakup jumlah evaluasi, pelanggaran, dan bukti.
    • Tampilan yang difilter yang menyediakan link ke ringkasan pengamatan dan laporan kontrol cloud.

Laporan di Cloud Storage

Laporan audit Audit Manager tersedia di folder dalam bucket penyimpanan Cloud Storage yang menggunakan konvensi berikut:

audit-reports/audit_RESOURCE_NAME_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID

Nilai placeholder dijelaskan sebagai berikut:

  • RESOURCE_NAME: ID folder atau project, seperti folders_12345 atau projects_12345.
  • FRAMEWORK_NAME: Nama framework, seperti builtin-nist800-53-revision5.
  • TIMESTAMP: Stempel waktu saat laporan dibuat.
  • UNIQUE_ID: ID unik untuk laporan.

Setiap folder audit mencakup laporan terpisah yang tersedia untuk setiap kontrol, kontrol cloud, dan bukti. Laporan kontrol dan kontrol cloud dalam format ODS dan berisi deskripsi mendetail tentang evaluasi kepatuhan untuk satu kontrol. Laporan ini memberikan detail penilaian untuk setiap pemeriksaan kepatuhan dengan pengamatan dan nilai yang diharapkan. Laporan bukti dalam format JSON dan mencakup semua resource yang dievaluasi untuk setiap kontrol, termasuk dump mentah data aset beserta perintah yang dijalankan untuk menghasilkan output.