As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# O que é AWS Audit Manager?
Bem-vindo ao Guia do AWS Audit Manager usuário.
AWS Audit Manager ajuda você a auditar continuamente seu AWS uso para simplificar a forma como você gerencia o risco e a conformidade com as regulamentações e os padrões do setor. O Audit Manager automatiza a coleta de evidências para que você possa avaliar mais facilmente se suas políticas, procedimentos e atividades, também conhecidos como *controles*, estão funcionando de modo eficaz. Quando é hora de uma auditoria, o Audit Manager ajuda você a gerenciar as análises de seus controles pelas partes interessadas. Isso significa que você pode criar relatórios prontos para auditoria com menos esforço manual.
O Audit Manager fornece estruturas pré-compiladas que organizam e automatizam as avaliações de um determinado padrão ou regulamento de conformidade. Esse framework inclui uma coleção pré-compilada de controles com descrições e procedimentos de teste. Esses controles são agrupados de acordo com os requisitos do padrão ou regulamento de conformidade especificado. Você também pode personalizar frameworks e controles para apoiar auditorias internas de acordo com requisitos específicos.
Você pode criar uma avaliação a partir de qualquer framework. Quando você cria uma avaliação, o Audit Manager executa as avaliações de atributos automaticamente. Essas avaliações coletam dados para as Contas da AWS que você define como no escopo de sua auditoria. Os dados coletados são automaticamente transformados em evidências para auditoria. Em seguida, são anexados aos controles pertinentes, para ajudá-lo a demonstrar conformidade em segurança, gerenciamento de mudanças, continuidade de negócios e licenciamento de software. Quando você cria uma avaliação, isso inicia a coleta contínua de evidências. Depois de concluir uma auditoria e não precisar mais do Audit Manager para coletar evidências, você pode interromper a coleta. Para fazer isso, altere o status da sua avaliação para *Inativa*.
## Atributos do Audit Manager
Com AWS Audit Manager, você pode realizar as seguintes tarefas:
+ **Início ágil**: [crie sua primeira avaliação](https://docs.aws.amazon.com/audit-manager/latest/userguide/tutorial-for-audit-owners.html) selecionando em uma galeria de frameworks pré-construídos que oferecem suporte a uma variedade de padrões e regulamentações de conformidade. Em seguida, inicie a coleta automática de evidências para auditar seu AWS service (Serviço da AWS) uso.
+ **Carregue e gerencie evidências de ambientes híbridos ou multicloud**. Além das evidências que o Audit Manager coleta do seu ambiente da AWS , você também pode [carregar](https://docs.aws.amazon.com/audit-manager/latest/userguide/upload-evidence.html) e gerenciar centralmente as evidências do seu ambiente on-premises ou multicloud.
+ **Suporte a padrões e regulamentações de conformidade comuns**: escolha um dos [frameworks AWS Audit Manager padrão](https://docs.aws.amazon.com/audit-manager/latest/userguide/framework-overviews.html). Esses frameworks fornecem mapeamentos de controle pré-compilados para padrões e regulamentações de conformidade comuns. Isso inclui o CIS Foundation Benchmark, PCI DSS, GDPR, HIPAA, GxP e as melhores práticas SOC2 operacionais. AWS
+ **Monitore suas avaliações ativas**: use o [painel](https://docs.aws.amazon.com/audit-manager/latest/userguide/dashboard.html) do Audit Manager para visualizar os dados analíticos de suas avaliações ativas e identificar rapidamente evidências de não conformidade que precisam ser corrigidas.
+ **Pesquise evidências**: use o atributo [Localizador de evidências](evidence-finder.md) para encontrar rapidamente evidências relevantes para sua consulta de pesquisa. Você pode gerar um relatório de avaliação a partir dos resultados da pesquisa ou exportar os resultados no formato .CSV.
+ **Crie controles personalizados**: [crie seu próprio controle do zero](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html) ou [faça uma cópia editável de um controle padrão ou personalizado existente](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-existing.html). Você também pode usar o atributo de controles personalizados para criar perguntas de avaliação de risco e armazenar as respostas a essas perguntas como evidência manual.
+ **Mapeie seus controles corporativos para agrupamentos predefinidos de fontes de dados da AWS **: escolha os controles comuns que representam suas metas e use-os para [criar controles personalizados](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html) que coletem evidências para seu portfólio de necessidades de conformidade.
+ **Crie frameworks personalizados**: [crie seus próprios frameworks](https://docs.aws.amazon.com/audit-manager/latest/userguide/custom-frameworks.html) com controles padrão ou personalizados baseados em seus requisitos específicos para auditorias internas.
+ **Compartilhe estruturas personalizadas — Compartilhe suas estruturas** [personalizadas do Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/share-custom-framework.html) com outra pessoa Conta da AWS ou replique-as Região da AWS em outra usando sua própria conta.
+ **Suporte à colaboração entre equipes**: [delegue conjuntos de controle](https://docs.aws.amazon.com/audit-manager/latest/userguide/delegate-for-audit-owners.html) a especialistas no assunto, que podem analisar evidências relacionadas, adicionar comentários e atualizar o status de cada controle.
+ **Crie relatórios para auditores**: [gere relatórios de avaliação](https://docs.aws.amazon.com/audit-manager/latest/userguide/generate-assessment-report.html) que resumem as evidências relevantes coletadas para sua auditoria e vinculam-nas a pastas contendo as evidências detalhadas.
+ **Garanta a integridade das evidências**: [armazene as evidências](https://docs.aws.amazon.com/audit-manager/latest/userguide/settings-destination.html) em um local seguro, onde elas permanecerão inalteradas.
**nota**
AWS Audit Manager auxilia na coleta de evidências relevantes para verificar a conformidade com padrões e regulamentos de conformidade específicos. No entanto, ele não avalia a sua conformidade em si. AWS Audit Manager Portanto, as evidências coletadas por meio de auditorias podem não incluir todas as informações sobre seu AWS uso necessárias para auditorias. AWS Audit Manager não substitui a assessoria jurídica ou os especialistas em conformidade.
## Precificação do Audit Manager
Para obter mais informações sobre precificação, consulte [Precificação do AWS Audit Manager](https://aws.amazon.com/audit-manager/pricing/).
## Você está usando o Audit Manager pela primeira vez?
Se você estiver usando o Audit Manager pela primeira vez, recomendamos que comece pelas seguintes páginas:
1. [Compreender AWS Audit Manager conceitos e terminologia](concepts.md): aprenda sobre os principais conceitos e termos usados no Audit Manager, como avaliações, frameworks e controles.
1. [Entendendo como AWS Audit Manager coleta evidências](how-evidence-is-collected.md): saiba como o Audit Manager coleta evidências para a avaliação de atributos.
1. [Configurando AWS Audit Manager com as configurações recomendadas](setting-up.md): aprenda sobre os requisitos de configuração do Audit Manager.
1. [Começando com AWS Audit Manager](getting-started.md): siga um tutorial para criar sua primeira avaliação do Audit Manager.
1. [AWS Audit Manager Referência da API](https://docs.aws.amazon.com/audit-manager/latest/APIReference/Welcome.html) — Familiarize-se com as ações e os tipos de dados da API Audit Manager.
## Relacionado Serviços da AWS
AWS Audit Manager se integra a vários Serviços da AWS para coletar automaticamente evidências que você pode incluir em seus relatórios de avaliação.
**AWS Security Hub CSPM**
AWS Security Hub CSPM monitora seu ambiente usando verificações de segurança automatizadas baseadas nas AWS melhores práticas e nos padrões do setor. O Audit Manager captura instantâneos de sua postura de segurança de recursos relatando os resultados das verificações de segurança diretamente do CSPM do Security Hub. Para obter mais informações sobre o CSPM do Security Hub, consulte [O que é? AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) no *Guia do AWS Security Hub CSPM usuário*.
**AWS CloudTrail**
AWS CloudTrail ajuda você a monitorar as chamadas feitas para AWS os recursos da sua conta. Isso inclui chamadas feitas pelo AWS Management Console, pela AWS CLI e outros. Serviços da AWS O Audit Manager coleta dados de registro CloudTrail diretamente e converte os registros processados em evidências de atividades do usuário. Para obter mais informações sobre CloudTrail, consulte [O que é AWS CloudTrail?](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) no *Guia do AWS CloudTrail usuário*.
**AWS Config**
AWS Config fornece uma visão detalhada da configuração dos AWS recursos em seu Conta da AWS. Isto inclui informações sobre como os atributos estão relacionados entre si e como eles foram configurados no passado. O Audit Manager captura instantâneos de sua postura de segurança de recursos relatando as descobertas diretamente de. AWS Config Para obter mais informações sobre AWS Config, consulte [O que é AWS Config?](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) no *Guia do AWS Config usuário*.
**AWS License Manager**
AWS License Manager simplifica o processo de levar licenças de fornecedores de software para a nuvem. Ao criar a infraestrutura de nuvem AWS, você pode economizar custos reaproveitando seu inventário de licenças existente para uso com recursos de nuvem. O Audit Manager fornece um framework no License Manager para ajudá-lo na preparação da sua auditoria. Este framework é integrado ao License Manager para agregar informações de uso da licença com base nas regras de licenciamento definidas pelo cliente. Para obter mais informações sobre o License Manager, consulte [O que é AWS License Manager?](https://docs.aws.amazon.com/license-manager/latest/userguide/license-manager.html) no *Guia do AWS License Manager usuário*.
**AWS Control Tower**
AWS Control Tower impõe proteções preventivas e de deteção para a infraestrutura em nuvem. O Audit Manager fornece uma estrutura de AWS Control Tower Guardrails para ajudá-lo na preparação da auditoria. Essa estrutura contém todas as AWS Config regras baseadas nas grades de proteção do. AWS Control Tower Para obter mais informações sobre AWS Control Tower, consulte [O que é AWS Control Tower?](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) no *Guia do AWS Control Tower usuário*.
**AWS Artifact**
AWS Artifact é um portal de recuperação de artefatos de auditoria de autoatendimento que fornece acesso sob demanda à documentação de conformidade e às certificações da infraestrutura. AWS AWS Artifact oferece evidências para provar que a infraestrutura de AWS nuvem atende aos requisitos de conformidade. Por outro lado, AWS Audit Manager ajuda você a coletar, analisar e gerenciar evidências para demonstrar que seu uso do Serviços da AWS está em conformidade. Para obter mais informações sobre AWS Artifact, consulte [O que é AWS Artifact?](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html) no *Guia do AWS Artifact usuário*. Você pode baixar uma [lista de AWS relatórios](https://console.aws.amazon.com/artifact/reports) no Console de gerenciamento da AWS.
**Amazon EventBridge**
EventBridge A Amazon ajuda você a automatizar Serviços da AWS e responder automaticamente a eventos do sistema, como problemas de disponibilidade de aplicativos ou alterações de recursos. Você pode usar EventBridge regras para detectar e reagir aos eventos do Audit Manager. Com base nas regras que você cria, EventBridge invoca uma ou mais ações de destino quando um evento corresponde aos valores que você especifica em uma regra. Para obter mais informações, consulte [Monitoramento AWS Audit Manager com a Amazon EventBridge](automating-with-eventbridge.md).
Para obter uma lista do escopo Serviços da AWS de programas de conformidade específicos, consulte [Serviços da AWS Escopo por Programa de Conformidade](https://aws.amazon.com/compliance/services-in-scope/). Para obter informações gerais, consulte [Programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/).
## Mais atributos do Audit Manager
Explore os atributos a seguir para saber mais sobre o Audit Manager.
+ Vídeo: Colete evidências e gerencie dados de auditoria usando AWS Audit Manager
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/G4yRj4nLwFI)
+ [Integre o modelo de três linhas (parte 2): transforme pacotes de AWS Config conformidade em AWS Audit Manager avaliações do blog de gerenciamento e](https://aws.amazon.com/blogs/mt/integrate-across-the-three-lines-model-part-2-transform-aws-config-conformance-packs-into-aws-audit-manager-assessments/) *governança AWS *
# Compreender AWS Audit Manager conceitos e terminologia
Para ajudá-lo a começar, esta página define termos e explica alguns dos principais conceitos do AWS Audit Manager,
## A
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Avaliação**
Você pode usar uma avaliação do Audit Manager para coletar automaticamente evidências relevantes a uma auditoria.
Uma avaliação do Audit Manager é baseada em um framework, um agrupamento de controles relacionados à sua auditoria. Você pode criar uma avaliação a partir de um framework padrão ou personalizado. Frameworks padrão contêm conjuntos de controle predefinidos que oferecem suporte a um padrão ou regulamento de conformidade específico. Por outro lado, frameworks personalizados contêm controles que você pode personalizar e agrupar de acordo com seus requisitos de auditoria específicos. Usando uma estrutura como ponto de partida, você pode criar uma avaliação que especifique o Contas da AWS que você deseja incluir no escopo de sua auditoria.
Quando você cria uma avaliação, o Audit Manager começa automaticamente a avaliar os recursos em sua empresa Contas da AWS com base nos controles definidos na estrutura. Em seguida, ele coleta as evidências relevantes e as converte em um formato amigável para o auditor. Depois de fazê-lo, ele anexa as evidências aos controles em sua avaliação. Na hora de fazer uma auditoria, você ou um representante de sua escolha pode analisar as evidências coletadas e adicioná-las a um relatório de avaliação. Este relatório de avaliação ajuda a mostrar que seus controles estão funcionando conforme o esperado.
A coleta de evidências é um processo continuo, que começa quando você cria uma avaliação. Você pode interromper a coleta de evidências alterando o status da avaliação para *Inativo*. Como alternativa, você pode interromper a coleta de evidências no nível de controle. Você pode fazer isso alterando o status de um controle específico na sua avaliação para *Inativo*.
Para obter instruções sobre como criar e gerenciar avaliações, consulte [Gerenciando avaliações em AWS Audit Manager](assessments.md).
**Relatório de avaliação da **
Um relatório de avaliação é um documento finalizado gerado a partir de uma avaliação do Audit Manager. Esses relatórios resumem as evidências relevantes coletadas para sua auditoria. Eles são vinculados às pastas de evidências relevantes. As pastas são nomeadas e organizadas de acordo com os controles especificados em sua avaliação. Para cada avaliação, você pode analisar as evidências coletadas pelo Audit Manager e decidir quais deseja incluir no relatório de avaliação.
Para saber mais sobre esses relatórios, consulte [Relatórios de avaliação](assessment-reports.md). Para saber como gerar um relatório de avaliação, consulte [Preparando um relatório de avaliação em AWS Audit Manager](generate-assessment-report.md).
**Destino do relatório de avaliação **
O destino do relatório de avaliação é o bucket padrão do S3 onde o Audit Manager salva seus relatórios de avaliação. Para saber mais, consulte [Como configurar o destino padrão do relatório de avaliação](settings-destination.md).
**Auditoria**
Uma auditoria é um exame independente dos ativos, das operações ou da integridade de negócios de sua organização. Uma auditoria de Tecnologia da Informação (TI) examina especificamente os controles nos sistemas de informação da sua organização. O objetivo de uma auditoria de TI é determinar se os sistemas de informação protegem os ativos, operam de forma eficaz e mantêm a integridade dos dados. Tudo isso é importante para atender aos requisitos regulatórios exigidos por um padrão ou regulamento de conformidade.
**Proprietário da auditoria de **
O termo *proprietário da auditoria* tem dois significados diferentes, dependendo do contexto.
No contexto do Audit Manager, o proprietário da auditoria é um usuário ou uma função que gerencia uma avaliação e seus atributos relacionados. As responsabilidades dessa persona do Audit Manager incluem criar avaliações, analisar evidências e gerar relatórios de avaliação. O Audit Manager é um serviço colaborativo, e os proprietários da auditoria se beneficiam quando outras partes interessadas participam de suas avaliações. Por exemplo, você pode adicionar outros proprietário da auditoria à sua avaliação para compartilhar tarefas de gerenciamento. Ou, se você for o proprietário de uma auditoria e precisar de ajuda para interpretar as evidências coletadas para um controle, você pode [delegar esse conjunto de controles](https://docs.aws.amazon.com/audit-manager/latest/userguide/delegate.html) a uma parte interessada que tenha experiência no assunto nessa área. Essa pessoa é conhecida como persona *delegada*.
Em termos comerciais, o responsável por uma auditoria é alguém que coordena e supervisiona os esforços de preparação para a auditoria de sua empresa e apresenta evidências a um auditor. Normalmente, é um profissional de governança, risco e conformidade (governance, risk, and compliance, ou GRC), como um Diretor de Conformidade ou um Diretor de Proteção de Dados LGPD. Os profissionais GRC têm a experiência e a autoridade para gerenciar a preparação da auditoria. Mais especificamente, eles entendem os requisitos de conformidade e podem analisar, interpretar e preparar dados de relatórios. No entanto, outras funções do negócio também podem assumir a persona de Gerente de Auditoria de um proprietário da auditoria; não apenas os profissionais de GRC assumem essa função. Por exemplo, você pode optar por ter suas avaliações do Audit Manager configuradas e gerenciadas por um especialista técnico de uma das seguintes equipes:
+ SecOps
+ TI/ DevOps
+ Center/Incident Resposta de operações de segurança
+ Equipes semelhantes que possuem, desenvolvem, remediam e implantam ativos de nuvem e entendem a infraestrutura de nuvem de sua organização
Quem você escolhe designar como proprietário da auditoria em sua avaliação do Audit Manager depende muito da sua organização. Também depende de como você estrutura suas operações de segurança e das especificidades da auditoria. No Audit Manager, o mesmo indivíduo pode assumir a personalidade do proprietário da auditoria em uma avaliação e a persona delegada em outra.
Não importa como você escolha usar o Audit Manager, você pode gerenciar a separação de tarefas em toda a sua organização usando a owner/delegate persona de auditoria e concedendo políticas específicas do IAM para cada usuário. Por meio dessa abordagem em duas etapas, o Audit Manager garante que controle total sobre todas as especificidades de uma avaliação individual. Para obter mais informações, consulte [Políticas recomendadas para personas de usuários em AWS Audit Manager](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-personas).
** AWS fonte gerenciada**
Uma fonte AWS gerenciada é uma fonte de evidências que é AWS mantida para você.
Cada fonte AWS gerenciada é um agrupamento predefinido de fontes de dados mapeado para um controle comum ou controle central específico. Ao usar um controle comum como fonte de evidência, você coleta evidências automaticamente para todos os controles centrais que dão suporte a esse controle comum. Você também pode usar controles centrais individuais como fonte de evidência.
Sempre que uma fonte AWS gerenciada é atualizada, as mesmas atualizações são aplicadas automaticamente a todos os controles personalizados que usam essa fonte AWS gerenciada. Isso significa que seus controles personalizados coletam evidências conforme as definições mais recentes dessa fonte de evidências. Isso ajuda você a garantir a conformidade contínua à medida que o ambiente de conformidade na nuvem muda.
Consulte também: [](#customer-managed-source), [](#evidence-source).
## C
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Changelog**
Para cada controle em uma avaliação, o Audit Manager rastreia a atividade do usuário nesse controle. Você pode analisar a trilha de auditoria das atividades relacionadas a um controle específico. Para obter mais informações sobre quais atividades do usuário são capturadas no changelog, consulte [Guia changelog](review-controls.md#review-changelog).
**Conformidade da nuvem**
A conformidade da nuvem é o princípio geral de que sistemas fornecidos na nuvem devem estar em conformidade com os padrões enfrentados pelos clientes da nuvem.
**Controle comum**
Consulte [](#control).
**Regulamentação de conformidade**
A regulamentação de conformidade é uma lei, regra ou outra ordem prescrita por uma autoridade, normalmente para regular a conduta. O LGPD é um exemplo.
**Padrão de conformidade **
Um padrão de conformidade é um conjunto estruturado de diretrizes que detalha os processos da organização para manter a conformidade com os regulamentos, especificações ou legislação estabelecidos. Os exemplos incluem PCI DSS e HIPAA.
**Controle**
O controle é uma salvaguarda ou contramedida prescrita para um sistema de informação ou uma organização. Os controles são projetados para proteger a confidencialidade, integridade e disponibilidade de suas informações, bem como para atender a um conjunto de requisitos definidos. Eles fornecem a garantia de que seus atributos estão operando conforme o esperado, que seus dados são confiáveis e que sua organização está em conformidade com as leis e regulamentações aplicáveis.
No Audit Manager, um controle também pode representar uma pergunta em um questionário de avaliação de risco do fornecedor. Nesse caso, um controle é uma pergunta específica que solicita informações sobre a postura de segurança e conformidade de uma organização.
Os controles coletam evidências continuamente quando estão ativos durante as avaliações do Audit Manager. Você também pode adicionar evidências manualmente a qualquer controle. Cada evidência é um registro que ajuda a demonstrar conformidade com os requisitos do controle.
O Audit Manager fornece os seguintes tipos de controles:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/concepts.html)
**Domínio de controle**
Pense em um domínio de controle como uma categoria de controles não específica a nenhum padrão de conformidade. Um exemplo de domínio de controle é a *Proteção de dados*.
Geralmente, os controles são agrupados por domínio para fins organizacionais simples. Cada domínio tem vários objetivos.
Os agrupamentos de domínios de controle são alguns dos atributos mais poderosos do painel do [Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/dashboard.html). O Audit Manager destaca os controles em suas avaliações que tenham evidências de não conformidade e os agrupa por domínio de controle. Isso permite que você concentre seus esforços de remediação em domínios específicos, enquanto se prepara para uma auditoria.
**Objetivo de controle**
Um objetivo de controle descreve a meta dos controles comuns que estão abaixo dele. Cada objetivo pode ter vários controles comuns. Se esses controles comuns forem implementados com sucesso, eles ajudarão você a cumprir o objetivo.
Cada objetivo de controle se enquadra em um domínio de controle. Por exemplo, o domínio de controle de *Proteção de dados* pode ter um objetivo de controle chamado *Classificação e tratamento de dados.* Para dar suporte a esse objetivo de controle, você pode usar um controle comum chamado *Controles de acesso* para monitorar e detectar o acesso não autorizado aos seus recursos.
** Controle central**
Consulte [](#control).
** Controle personalizado**
Consulte [](#control).
**Fonte gerenciada pelo cliente**
Uma fonte gerenciada pelo cliente é uma fonte de evidência que você define.
Ao criar um controle personalizado no Audit Manager, você pode usar essa opção para criar suas próprias fontes de dados individuais. Isso oferece a flexibilidade de coletar evidências automatizadas de um recurso específico da empresa, como uma regra personalizada AWS Config . Você também pode usar essa opção se quiser adicionar evidências manuais ao seu controle personalizado.
Ao usar fontes gerenciadas pelo cliente, você é responsável por manter todas as fontes de dados criadas por você.
Consulte também: [](#aws-managed-source), [](#evidence-source).
## D
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Fonte de dados**
O Audit Manager usa *fontes de dados* para coletar evidências para um controle. Uma fonte de dados tem as seguintes propriedades:
+ Um **Tipo de fonte de dados** define o tipo de fonte de dados de onde o Audit Manager coleta evidências.
+ Para evidências automatizadas, o tipo pode ser *AWS Security Hub CSPM*, *AWS Config, AWS CloudTrail* ou *chamadas de API da AWS .*
+ Se você carregar sua própria evidência, o tipo será *Manual*.
+ A API do Audit Manager se refere a um tipo de fonte de dados como [sourceType](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html#auditmanager-Type-ControlMappingSource-sourceType).
+ Um **mapeamento de fonte de dados** é uma palavra-chave que identifica de onde as evidências são coletadas para um determinado tipo de fonte de dados.
+ Por exemplo, isso pode ser o nome de um CloudTrail evento ou o nome de uma AWS Config regra.
+ A API do Audit Manager se refere a um mapeamento de fonte de dados como [sourceKeyword](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_SourceKeyword.html).
+ Um **nome da fonte de dados** rotula o pareamento de um tipo e um mapeamento de fonte de dados.
+ Para controles padrão, o Audit Manager fornece um nome padrão.
+ Para controles personalizados, você pode fornecer seu próprio nome.
+ A API Audit Manager se refere a um nome de fonte de dados como [SourceName](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html#auditmanager-Type-ControlMappingSource-sourceName).
Um único controle pode ter vários tipos de fonte de dados e vários mapeamentos. Por exemplo, um controle pode coletar evidências de uma mistura de tipos de fonte de dados (como AWS Config o Security Hub CSPM). Outro controle pode ter AWS Config como único tipo de fonte de dados, com várias AWS Config regras como mapeamentos.
A tabela a seguir lista os tipos de fonte de dados automatizados e exemplos de alguns mapeamentos correspondentes.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/concepts.html)
**Delegado **
Um representante é um AWS Audit Manager usuário com permissões limitadas. Os delegados geralmente têm conhecimento técnico ou de negócios especializado. Por exemplo, esses conhecimentos podem estar em políticas de retenção de dados, planos de treinamento, infraestrutura de rede ou gerenciamento de identidades. Os delegados ajudam os proprietários da auditoria a analisarem as evidências coletadas para os controles que se enquadrem na sua área de especialização. Os delegados podem analisar conjuntos de controles e suas evidências relacionadas, adicionar comentários, carregar evidências adicionais e atualizar o status de um controle.
Os responsáveis pela auditoria atribuem conjuntos de controle específicos aos delegados, não avaliações completas. Como resultado, os delegados têm acesso limitado às avaliações. Para obter instruções sobre como delegar um conjunto de controles, consulte [Delegações em AWS Audit Manager](delegate.md).
## E
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Evidências **
A evidência é um registro que contém as informações necessárias para demonstrar a conformidade com os requisitos de um controle. Exemplos de evidências incluem uma atividade de alteração invocada por um usuário e uma captura de tela da configuração do sistema.
Existem dois tipos principais de evidência no Audit Manager: *evidência automatizada* e *evidência manual*.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/concepts.html)
Quando você cria uma avaliação, também inicia a coleta contínua automatizada de evidências. Esse é um processo contínuo, e o Audit Manager coleta evidências em diferentes frequências, de acordo com o tipo de evidência e fonte de dados subjacente. Para obter mais informações, consulte [Entendendo como AWS Audit Manager coleta evidências](how-evidence-is-collected.md).
Para obter instruções sobre como analisar evidências em uma avaliação, consulte [Analisando evidências em AWS Audit Manager](review-evidence.md).
**Fonte de evidência**
Uma fonte de evidência define de onde um controle coleta evidências. Pode ser uma fonte de dados individual ou um agrupamento predefinido de fontes de dados mapeado para um controle comum ou um controle central.
Ao criar um controle personalizado, você pode coletar evidências de fontes gerenciadas pela AWS , fontes gerenciadas pelo cliente ou ambas.
Recomendamos que você use fontes AWS gerenciadas. Sempre que uma fonte AWS gerenciada é atualizada, as mesmas atualizações são aplicadas automaticamente a todos os controles personalizados que usam essas fontes. Isso significa que seus controles personalizados sempre coletam evidências conforme as definições mais recentes dessa fonte de evidências. Isso ajuda você a garantir a conformidade contínua à medida que o ambiente de conformidade na nuvem muda.
Consulte também: [](#aws-managed-source), [](#customer-managed-source).
**Método de coleta de evidências **
Há duas maneiras pelas quais um controle pode coletar evidências.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/concepts.html)
Você pode anexar evidências manuais a qualquer controle automatizado. Em muitos casos, é necessária uma combinação de evidências automatizadas e manuais para demonstrar total conformidade com um controle. Embora o Audit Manager possa fornecer evidências automatizadas úteis e relevantes, algumas delas podem demonstrar conformidade apenas parcial. Nesse caso, você pode complementar a evidência automatizada fornecida pelo Audit Manager com sua própria evidência.
Por exemplo:
+ O [AWS Estrutura de melhores práticas de IA generativa v2](aws-generative-ai-best-practices.md) contém um controle chamado `Error analysis`. Esse controle exige que você identifique imprecisões detectadas no uso do modelo. Também exige que você realize uma análise completa dos erros para entender as causas raiz e tomar medidas corretivas.
+ Para apoiar esse controle, o Audit Manager coleta evidências automatizadas que mostram se os CloudWatch alarmes estão habilitados para o Conta da AWS local em que sua avaliação está sendo executada. Você pode usar essa evidência para demonstrar a conformidade parcial com o controle, provando que seus alarmes e verificações estão configurados corretamente.
+ Para demonstrar total conformidade, você pode complementar a evidência automatizada com evidência manual. Por exemplo, você pode carregar uma política ou um procedimento que mostre seu processo de análise de erros, seus limites para escalonamentos e relatórios, bem como resultados de sua análise de causa raiz. Você pode usar essa evidência manual para demonstrar que as políticas estabelecidas estão em vigor e que a ação corretiva foi tomada quando solicitada.
Para um exemplo mais detalhado, consulte [Controles com fontes de dados mistas](https://docs.aws.amazon.com/audit-manager/latest/userguide/examples-of-controls.html#mixed).
**Destinos de exportação**
O destino de exportação é o bucket padrão do S3 em que o Audit Manager salva os arquivos que você exporta do localizador de evidências. Para obter mais informações, consulte [Como configurar seu destino de exportação padrão para o localizador de evidências](settings-export-destination.md).
## F
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Framework **
Um framework do Audit Manager estrutura e automatiza avaliações de um padrão específico ou princípio de governança de risco. Essas estruturas incluem uma coleção de controles pré-criados ou definidos pelo cliente e ajudam você a mapear seus AWS recursos de acordo com os requisitos desses controles.
Existem dois tipos de framework no Audit Manager.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/concepts.html)
Para obter instruções sobre como criar e configurar frameworks, consulte [Usando a biblioteca de estruturas para gerenciar estruturas em AWS Audit Manager](framework-library.md).
AWS Audit Manager auxilia na coleta de evidências relevantes para verificar a conformidade com padrões e regulamentos de conformidade específicos. No entanto, ele não avalia a sua conformidade em si. AWS Audit Manager Portanto, as evidências coletadas por meio de auditorias podem não incluir todas as informações sobre seu AWS uso necessárias para auditorias. AWS Audit Manager não substitui a assessoria jurídica ou os especialistas em conformidade.
**Compartilhamento de framework**
Você pode usar o [Compartilhando uma estrutura personalizada no AWS Audit Manager](share-custom-framework.md) recurso para compartilhar rapidamente suas estruturas personalizadas Contas da AWS entre regiões. Para compartilhar um framework personalizado, crie uma *solicitação de compartilhamento*. O destinatário tem 120 dias para aceitar ou recusar a solicitação. Ao aceitar, o Audit Manager replica o framework personalizado compartilhado em sua biblioteca de frameworks. Além de replicar framework personalizado, o Audit Manager também replica todos os conjuntos de controles e controles personalizados que fazem parte desse framework. Esses controles personalizados são adicionados à biblioteca de controle do destinatário. O Audit Manager não replica frameworks ou controles padrão. Isso ocorre porque esses atributos já estão disponíveis por padrão em cada conta e Região.
## I
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Evidências inconclusivas**
AWS Audit Manager marca as evidências como inconclusivas quando a avaliação automatizada de conformidade não é possível. Isso pode ocorrer nas seguintes situações:
+ Você não AWS Config ativou ou AWS Security Hub CSPM, que são as principais fontes de dados.
+ As evidências são coletadas diretamente dos AWS serviços por meio de chamadas de API, AWS CloudTrail registros ou uploads manuais.
Quando não há mecanismo para avaliação automática dessa evidência, não é AWS Audit Manager possível fornecer detalhes da avaliação. Como resultado, isso marca a evidência como *inconclusiva*.
Evidências inconclusivas não indicam falha. Em vez disso, indica que você precisa avaliar manualmente as evidências de conformidade.
## R
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Atributo**
Um atributo é um ativo físico ou informação avaliada em uma auditoria. Exemplos de AWS recursos incluem instâncias do Amazon EC2, instâncias do Amazon RDS, buckets do Amazon S3 e sub-redes do Amazon VPC.
**Avaliação de atributos**
Uma avaliação de atributos é o processo de avaliar um atributo individual. Essa avaliação é baseada no atributo de um controle. Enquanto uma avaliação está ativa, o Audit Manager executa avaliações de atributos para cada atributo individual no escopo da avaliação. Uma avaliação de atributos executa o seguinte conjunto de tarefas:
1. Coleta evidências, incluindo configurações de atributos, logs de eventos e descobertas
1. Traduz e mapeia evidências para controles
1. Armazena e rastreia a linhagem de evidências para habilitar integridade
**Conformidade de atributos**
A conformidade do atributo se refere ao status de avaliação de um atributo avaliado ao coletar evidências de verificação de conformidade.
O Audit Manager coleta evidências de verificação de conformidade para controles que usam o AWS Config Security Hub CSPM como um tipo de fonte de dados. Vários atributos podem ser avaliados durante essa coleta de evidências. Como resultado, uma única evidência de verificação de conformidade pode incluir um ou mais atributos.
Você pode usar o filtro **conformidade de atributos** no localizador de evidências para explorar o status de conformidade no nível do atributo. Depois que sua pesquisa for concluída, você poderá visualizar os atributos que corresponderem à sua consulta de pesquisa.
No localizador de evidências, há três valores possíveis para a conformidade do atributo:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/concepts.html)
## S
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Serviço em escopo**
O Audit Manager gerencia quais Serviços da AWS estão no escopo de suas avaliações. Se você tiver uma avaliação mais antiga, é possível que tenha especificado manualmente os serviços no escopo no passado. Depois de 04 de junho de 2024, não é possível especificar ou editar manualmente os serviços no escopo.
Um *serviço no escopo* é AWS service (Serviço da AWS) aquele sobre o qual sua avaliação coleta evidências. Quando você especifica um serviço como incluído no escopo de sua avaliação, o Audit Manager avalia os atributos desse serviço. Alguns exemplos de atributos incluem:
+ Uma instância do Amazon EC2
+ Um bucket do S3
+ Um usuário ou perfil do IAM
+ Uma tabela do DynamoDB
+ Um componente de rede, como uma nuvem privada virtual (VPC), um grupo de segurança ou uma tabela de lista de controle de acesso (ACL) à rede
Por exemplo, se o Amazon S3 for um serviço no escopo, o Audit Manager pode coletar evidências sobre seus buckets S3. A evidência exata coletada é determinada pela [](#control-data-source) de um controle. Por exemplo, se o tipo da fonte de dados for AWS Config e o mapeamento da fonte de dados for uma AWS Config regra (como`s3-bucket-public-write-prohibited`), o Audit Manager coletará o resultado dessa avaliação da regra como evidência.
Lembre-se de que um serviço no escopo é diferente de um *tipo de fonte de dados*, que também pode ser um AWS service (Serviço da AWS) ou outra coisa. Para obter mais informações, consulte [Qual é a diferença entre um serviço no escopo e um tipo de fonte de dados?](evidence-collection-issues.md#data-source-vs-service-in-scope) na seção *Solução de problemas* neste guia.
** Controle padrão**
Consulte [](#control).
# Entendendo como AWS Audit Manager coleta evidências
Cada avaliação ativa coleta AWS Audit Manager automaticamente evidências de uma variedade de fontes de dados. Em cada avaliação, você define para qual Contas da AWS Audit Manager coletará evidências, e o Audit Manager gerencia quais Serviços da AWS estão no escopo. Cada um desses serviços e contas contém vários atributos que você possui e usa. A coleta de evidências no Audit Manager envolve a avaliação de cada atributo dentro do escopo. Isso é chamado de *avaliação de atributos*.
As etapas a seguir descrevem como o Audit Manager coleta evidências para cada avaliação de atributo:
**1. Avaliação de um atributo a partir de fonte de dados**
Para iniciar a coleta de evidências, o Audit Manager avalia um atributo dentro do escopo a partir de uma fonte de dados. Isso é feito capturando uma tela da configuração, um resultado de verificação de conformidade relacionado ou atividade do usuário. Em seguida, ele executa uma análise para determinar qual controle esses dados suportam. O resultado da avaliação dos atributos é salvo e convertido em evidências. Para obter mais informações sobre os diferentes tipos de evidência, consulte [](concepts.md#evidence) na seção *Conceitos e terminologia do AWS Audit Manager * deste guia.
**2. Convertendo os resultados da avaliação em evidência**
O resultado da avaliação do atributo contém os dados originais capturados desse atributo e os metadados que indicam quais controles são suportados pelos dados. O Audit Manager converte os dados originais em um formato amigável para o auditor. Os dados e metadados convertidos são então salvos como evidência do Audit Manager, antes de serem anexados a um controle.
**3. Anexando evidências ao controle relacionado**
O Audit Manager lê os metadados da evidência. Em seguida, ele anexa a evidência salva a um controle relacionado na avaliação. A evidência anexada fica visível no Audit Manager. Isso completa o ciclo de uma avaliação de atributos.
**nota**
De acordo com as configurações de controle, a mesma evidência pode, em alguns casos, ser anexada a vários controles de várias avaliações do Audit Manager. Quando a mesma evidência é anexada a vários controles, o Audit Manager mede a avaliação do atributo apenas uma vez. Isso ocorre porque a mesma evidência é coletada apenas uma vez. No entanto, um controle em uma avaliação do Audit Manager pode ter várias evidências, de várias fontes de dados.
## Frequência das coletas de evidências
A coleta de evidências é um processo continuo, que começa quando você cria uma avaliação. O Audit Manager coleta evidências de várias fontes de dados em frequências variadas. Como resultado, não há one-size-fits-all resposta para a frequência com que as evidências são coletadas. A frequência da coleta de evidências é baseada no tipo de evidência e em sua fonte de dados, conforme descrito abaixo.
+ **Verificações de conformidade** — O Audit Manager coleta esse tipo de evidência de AWS Security Hub CSPM e. AWS Config
+ Para o CSPM do Security Hub, a coleta de evidências segue o cronograma das verificações do CSPM do Security Hub. Para obter mais informações sobre o agendamento das verificações de CSPM do Security Hub, consulte [Programação para execução de verificações de segurança](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-schedule.html) no Guia do *AWS Security Hub CSPM Usuário*. Para obter mais informações sobre as verificações de CSPM do Security Hub suportadas pelo Audit Manager, consulte. [AWS Security Hub CSPM controles suportados por AWS Audit Manager](control-data-sources-ash.md)
+ Pois AWS Config, a coleta de evidências segue os gatilhos definidos em suas AWS Config regras. Para obter mais informações sobre os acionadores das regras do AWS Config , consulte [Tipos de gatilhos](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html#aws-config-rules-trigger-types) no *Guia do Usuário do AWS Config *. Para obter mais informações sobre os Regras do AWS Config que são suportados pelo Audit Manager, consulte[Regras do AWS Config apoiado por AWS Audit Manager](control-data-sources-config.md).
+ AWS Audit Manager marca as evidências como inconclusivas quando a avaliação automatizada de conformidade não é possível. Isso ocorre quando você não habilita AWS Config ou AWS Security Hub CSPM, que são as principais fontes de dados. Isso também acontece quando as evidências são coletadas diretamente dos AWS serviços por meio de chamadas de API, AWS CloudTrail registros ou uploads manuais. Quando não há mecanismo para avaliação automática dessa evidência, não é AWS Audit Manager possível fornecer detalhes da avaliação. Como resultado, isso marca a evidência como inconclusiva. Evidências inconclusivas não indicam falha. Em vez disso, indica que você precisa avaliar manualmente as evidências de conformidade.
+ **Atividade do usuário** — O Audit Manager coleta esse tipo de evidência de AWS CloudTrail forma contínua. Essa frequência é contínua porque a atividade do usuário pode acontecer a qualquer hora do dia. Para obter mais informações, consulte [AWS CloudTrail nomes de eventos suportados por AWS Audit Manager](control-data-sources-cloudtrail.md).
+ **Dados de configuração** — O Audit Manager coleta esse tipo de evidência usando uma chamada de API de descrição para outro AWS service (Serviço da AWS) , como Amazon EC2, Amazon S3 ou IAM. Você pode escolher quais ações de API quer chamar. Você também configura a frequência como diária, semanal ou mensal no Audit Manager. Você pode especificar essa frequência ao criar ou editar um controle na biblioteca de controle. Para obter instruções sobre como editar ou criar um controle, consulte [Usando a biblioteca de controle para gerenciar controles em AWS Audit Manager](control-library.md). Para obter mais informações sobre as chamadas de API com suporte pelo Audit Manager, consulte [AWS Chamadas de API suportadas por AWS Audit Manager](control-data-sources-api.md).
Independentemente da frequência da coleta de evidências para a fonte de dados, novas evidências são coletadas automaticamente enquanto o controle e a avaliação estiverem ativos.
# Exemplos de AWS Audit Manager controles
Você pode analisar os exemplos nesta página para saber mais sobre como os controles funcionam em AWS Audit Manager.
No Audit Manager, os controles podem coletar evidências automaticamente de quatro tipos de fonte de dados:
1. **AWS CloudTrail**— Capture a atividade do usuário de seus CloudTrail registros e importe-a como evidência da atividade do usuário
1. **AWS Security Hub CSPM**— Colete descobertas do Security Hub CSPM e importe-as como evidência de verificação de conformidade
1. **AWS Config**: colete avaliações de regras do AWS Config e importe-as como evidência de verificação de conformidade
1. **AWS Chamadas de API** — Capture um instantâneo do recurso de uma chamada de API e importe-o como evidência de dados de configuração
Observe que alguns controles coletam evidências usando agrupamentos predefinidos dessas fontes de dados. Esses agrupamentos de fontes de dados são conhecidos como [fontes gerenciadas pela AWS](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#aws-managed-source). Cada fonte AWS gerenciada representa um controle comum ou um controle central. Essas fontes gerenciadas oferecem uma maneira eficiente de mapear seus requisitos de conformidade para um grupo relevante de fontes de dados subjacentes que são validadas e mantidas por [avaliadores certificados pelo setor](https://aws.amazon.com/professional-services/security-assurance-services/) em AWS.
Os exemplos nesta página mostram como os controles coletam evidências de cada um dos tipos individuais de fonte de dados. Esses exemplos descrevem a aparência de um controle, como o Audit Manager gera evidências da fonte de dados e as próximas etapas para demonstrar conformidade.
**dica**
Recomendamos que você ative o AWS Config Security Hub CSPM para uma experiência ideal no Audit Manager. Quando você ativa esses serviços, o Audit Manager pode usar as descobertas do CSPM do Security Hub e Regras do AWS Config gerar evidências automatizadas.
Depois de [habilitar AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html), certifique-se de [habilitar também todos os padrões de segurança](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-enable-disable.html#securityhub-standard-enable-console) e [ativar a configuração de descobertas de controle consolidadas](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#turn-on-consolidated-control-findings). Essa etapa garante que o Audit Manager possa importar descobertas para todos os padrões de conformidade suportados.
Depois de [habilitar AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html), certifique-se de também [habilitar o relevante Regras do AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/setting-up-aws-config-rules-with-console.html) ou [implantar um pacote de conformidade](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-console.html) para o padrão de conformidade relacionado à sua auditoria. Essa etapa garante que o Audit Manager possa importar descobertas para todo o suporte Regras do AWS Config que você habilitou.
Os exemplos estão disponíveis para cada um dos seguintes tipos de controles:
**Topics**
+ [Controles automatizados usados AWS Security Hub CSPM como tipo de fonte de dados](#automated-security-hub)
+ [Controles automatizados usados AWS Config como tipo de fonte de dados](#automated-config)
+ [Controles automatizados que usam chamadas de AWS API como um tipo de fonte de dados](#automated-api)
+ [Controles automatizados usados AWS CloudTrail como tipo de fonte de dados](#automated-cloudtrail)
+ [Controles manuais](#manual)
+ [Controles com tipos de fonte de dados mistos (automatizados e manuais)](#mixed)
## Controles automatizados usados AWS Security Hub CSPM como tipo de fonte de dados
Este exemplo mostra um controle usado AWS Security Hub CSPM como tipo de fonte de dados. Esse é um controle padrão retirado do [Framework de Práticas Recomendadas de Segurança Básica (Foundational Security Best Practices, ou FSBP)AWS](https://docs.aws.amazon.com/audit-manager/latest/userguide/aws-foundational-security-best-practices.html). O Audit Manager usa esse controle para gerar evidências que podem ajudar a alinhar seu AWS ambiente aos requisitos do FSBP.
**Exemplo de detalhes de controle**
+ **Nome do controle**: `FSBP1-012: AWS Config should be enabled`
+ **Conjunto de controles**: `Config`. Esse é um agrupamento específico de framework para os controles do FSBP relacionados ao gerenciamento de configurações.
+ **Fonte de evidência**: fontes de dados individuais
+ **Tipo de fonte de dados** — AWS Security Hub CSPM
+ **Tipo de evidência**: verificação de conformidade
No exemplo a seguir, esse controle aparece em uma avaliação do Audit Manager criada a partir do framework do FSBP.
![\[Captura de tela que mostra o controle CSPM do Security Hub em uma avaliação.\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/images/control-example-automated_securityhub-console.png)
A avaliação mostra o status do controle. Também mostra o volume de evidência coletado para esse controle até o momento. A partir daqui, você pode delegar a análise do conjunto de controles ou conclui-la você mesmo. A escolha do nome do controle abre uma página de detalhes com mais informações, incluindo as evidências desse controle.
**O que esse controle faz**
Esse controle exige que AWS Config esteja habilitado em todos os Regiões da AWS lugares em que você usa o Security Hub CSPM. O Audit Manager pode usar esse controle para verificar se você ativou AWS Config.
**Como o Audit Manager coleta evidências para esse controle**
O Audit Manager executa as seguintes etapas para coletar evidências para esse controle:
1. Para cada controle, o Audit Manager avalia seus atributos dentro do escopo. Ele faz isso usando a fonte de dados especificada nas configurações de controle. Neste exemplo, suas AWS Config configurações são o recurso e o Security Hub CSPM é o tipo de fonte de dados. O Audit Manager procura o resultado de uma verificação CSPM específica do Security Hub ([[Config.1](https://docs.aws.amazon.com/securityhub/latest/userguide/config-controls.html#config-1)]).
1. O resultado da avaliação dos atributos é salvo e convertido em evidências amigáveis ao auditor. O Audit Manager gera evidências de *verificação de conformidade* para controles que usam o Security Hub CSPM como um tipo de fonte de dados. Essa evidência contém o resultado da verificação de conformidade relatada diretamente do Security Hub CSPM.
1. O Audit Manager anexa a evidência salva ao controle denominado `FSBP1-012: AWS Config should be enabled` em sua avaliação.
**Como você pode usar o Audit Manager para demonstrar conformidade com esse controle**
Depois que a evidência é anexada ao controle, você ou um representante de sua escolha podem analisar a evidência para checar se é necessária alguma remediação.
Neste exemplo, o Audit Manager pode exibir uma decisão de *falha* do Security Hub CSPM. Isso pode acontecer se você não tiver ativado AWS Config. Nesse caso, você pode tomar a ação corretiva de habilitar AWS Config, o que ajuda a alinhar seu AWS ambiente aos requisitos do FSBP.
Quando suas AWS Config configurações estiverem alinhadas com o controle, marque o controle como *Revisado* e adicione a evidência ao seu relatório de avaliação. Em seguida, você pode compartilhar esse relatório com os auditores para demonstrar que o controle está funcionando conforme o esperado.
## Controles automatizados usados AWS Config como tipo de fonte de dados
Este exemplo mostra um controle usado AWS Config como tipo de fonte de dados. Esse é um controle padrão retirado do [Framework de Proteção do AWS Control Tower](https://docs.aws.amazon.com/audit-manager/latest/userguide/controltower.html). O Audit Manager usa esse controle para gerar evidências que ajudam a alinhar seu AWS ambiente com os AWS Control Tower Guardrails.
**Exemplo de detalhes de controle**
+ **Nome do controle**: `CT-4.1.2: 4.1.2 - Disallow public write access to S3 buckets`
+ **Conjunto de controles**: esse controle pertence ao conjunto de controles `Disallow public access`. Esse é um agrupamento de controles relacionado ao gerenciamento de identidade e acesso.
+ **Fonte de evidência**: fonte de dados individual
+ **Tipo de fonte de dados** — AWS Config
+ **Tipo de evidência**: verificação de conformidade
No exemplo a seguir, esse controle aparece em uma avaliação do Audit Manager criada a partir da estrutura do AWS Control Tower Guardrails.
![\[Captura de tela que mostra o AWS Config controle em uma avaliação.\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/images/control-example-automated_config-console.png)
A avaliação mostra o status do controle. Também mostra o volume de evidência coletado para esse controle até o momento. A partir daqui, você pode delegar a análise do conjunto de controles ou conclui-la você mesmo. A escolha do nome do controle abre uma página de detalhes com mais informações, incluindo as evidências desse controle.
**O que esse controle faz**
O Audit Manager pode usar esse controle para verificar se os níveis de acesso de suas políticas de bucket do S3 são muito tolerantes para atender aos requisitos. AWS Control Tower Mais especificamente, ele pode verificar as configurações do Block Public Access, as políticas do bucket e as listas de controle de acesso (ACL) do bucket, para confirmar se seus buckets não permitem acesso público de gravação.
**Como o Audit Manager coleta evidências para esse controle**
O Audit Manager executa as seguintes etapas para coletar evidências para esse controle:
1. Para cada controle, o Audit Manager avalia seus atributos dentro do escopo usando a fonte de dados especificada nas configurações de controle. Nesse caso, seus buckets do S3 serão os atributos e AWS Config será o tipo de fonte de dados. O Audit Manager procura o resultado de uma AWS Config regra específica ([s3- bucket-public-write-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html)) para avaliar as configurações, a política e a ACL de cada um dos buckets do S3 que estão no escopo de sua avaliação.
1. O resultado da avaliação dos atributos é salvo e convertido em evidências amigáveis ao auditor. O Audit Manager gera evidências de *verificação de conformidade* para controles usados AWS Config como um tipo de fonte de dados. Essa evidência contém o resultado da verificação de conformidade relatada diretamente de AWS Config.
1. O Audit Manager anexa a evidência salva ao controle denominado `CT-4.1.2: 4.1.2 - Disallow public write access to S3 buckets` em sua avaliação.
**Como você pode usar o Audit Manager para demonstrar conformidade com esse controle**
Depois que a evidência é anexada ao controle, você ou um representante de sua escolha podem analisar a evidência para checar se é necessária alguma remediação.
*Neste exemplo, o Audit Manager pode exibir uma regra AWS Config declarando que um bucket do S3 não está em conformidade.* Isso pode acontecer se um de seus buckets do S3 tiver uma configuração de Block Public Access que não restrinja políticas públicas, e a política em uso permita acesso público de gravação. Para corrigir isso, você pode atualizar a configuração de Block Public Access para restringir políticas públicas. Ou você pode usar uma política de bucket diferente que não permita acesso público de gravação. Essa ação corretiva ajuda a alinhar seu AWS ambiente aos AWS Control Tower requisitos.
Quando estiver satisfeito com o fato de que seus níveis de acesso ao bucket do S3 estarem alinhados com o controle, você poderá marcar o controle como *Analisado* e adicionar as evidências ao seu relatório de avaliação. Em seguida, você pode compartilhar esse relatório com os auditores para demonstrar que o controle está funcionando conforme o esperado.
## Controles automatizados que usam chamadas de AWS API como um tipo de fonte de dados
Este exemplo mostra um controle personalizado que usa chamadas de AWS API como um tipo de fonte de dados. O Audit Manager usa esse controle para gerar evidências que podem ajudar a alinhar seu AWS ambiente com seus requisitos específicos.
**Exemplo de detalhes de controle**
+ **Nome do controle**: `Password Use`
+ **Conjunto de controles**: esse controle pertence ao conjunto de controles chamado `Access Control`. Esse é um agrupamento de controles relacionado ao gerenciamento de identidade e acesso.
+ **Fonte de evidência**: fonte de dados individual
+ **Tipo de fonte de dados** — chamadas de AWS API
+ **Tipo de evidência**: dados de configuração
No exemplo a seguir, o controle aparece em uma avaliação do Audit Manager criada a partir de um framework personalizado.
![\[Captura de tela que mostra o controle da API em uma avaliação.\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/images/control-example-automated_api-console.png)
A avaliação mostra o status do controle. Também mostra o volume de evidência coletado para esse controle até o momento. A partir daqui, você pode delegar a análise do conjunto de controles ou conclui-la você mesmo. A escolha do nome do controle abre uma página de detalhes com mais informações, incluindo as evidências desse controle.
**O que esse controle faz**
O Audit Manager pode usar esse controle personalizado para ajudá-lo a garantir acesso suficiente a políticas de controle de acesso. Esse controle exige que você siga práticas recomendadas de segurança na seleção e uso de senhas. O Audit Manager pode ajudá-lo a validar isso recuperando uma lista de todas as políticas de senha das entidades principais do IAM que estão no escopo de sua avaliação.
**Como o Audit Manager coleta evidências para esse controle**
O Audit Manager executa as seguintes etapas para coletar evidências para esse controle personalizado:
1. Para cada controle, o Audit Manager avalia seus atributos dentro do escopo usando a fonte de dados especificada nas configurações de controle. Nesse caso, seus principais do IAM são os recursos e as chamadas de AWS API são o tipo de fonte de dados. O Audit Manager procura a resposta de uma chamada específica da API IAM ([GetAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html)). Em seguida, ele retorna as políticas de senha para as Contas da AWS no escopo de sua avaliação.
1. O resultado da avaliação dos atributos é salvo e convertido em evidências amigáveis ao auditor. O Audit Manager gera evidências de *dados de configuração* para controles que usam chamadas de API como fonte de dados. Essa evidência contém os dados originais capturados das respostas da API e metadados adicionais, que indicam quais controles os dados permitem.
1. O Audit Manager anexa a evidência salva ao controle denominado `Password Use` em sua avaliação.
**Como você pode usar o Audit Manager para demonstrar conformidade com esse controle**
Depois que a evidência é anexada ao controle, você ou um representante de sua escolha podem analisar a evidência para checar se é necessária alguma remediação.
Neste exemplo, você pode analisar as evidências para ver a resposta da chamada de API. A [GetAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html)resposta descreve os requisitos de complexidade e os períodos de rotação obrigatórios para as senhas de usuário em sua conta. Você pode usar essa resposta da API como evidência para mostrar que você tem políticas de controle de acesso por senha suficientes para as Contas da AWS que estão no escopo de sua avaliação. Se quiser, você também pode fornecer comentários adicionais sobre essas políticas adicionando um comentário ao controle.
Quando estiver satisfeito com o fato de que as políticas de senhas das entidades principais do AIM estão alinhadas com o controle personalizado, você poderá marcar o controle como *Analisado* e adicionar as evidências ao seu relatório de avaliação. Em seguida, você pode compartilhar esse relatório com os auditores para demonstrar que o controle está funcionando conforme o esperado.
## Controles automatizados usados AWS CloudTrail como tipo de fonte de dados
Este exemplo mostra um controle usado AWS CloudTrail como tipo de fonte de dados. Esse é um controle padrão retirado do [Framework da HIPPA Security Rule 2003](https://docs.aws.amazon.com/audit-manager/latest/userguide/HIPAA.html). O Audit Manager usa esse controle para gerar evidências que podem ajudar a alinhar o ambiente da AWS aos requisitos da HIPPA.
**Exemplo de detalhes de controle**
+ **Nome do controle**: `164.308(a)(5)(ii)(C): Administrative Safeguards - 164.308(a)(5)(ii)(C)`
+ **Conjunto de controles**: esse controle pertence ao conjunto de controles chamado`Section 308`. Esse é um agrupamento de controles da HIPAA específicos do framework relacionados a salvaguardas administrativas.
+ **Fonte de evidência** — fonte AWS gerenciada (controles principais)
+ **Tipo de fonte de dados subjacente**: AWS CloudTrail
+ **Tipo de evidência**: atividade do usuário
Aqui esse controle é mostrado em uma avaliação do Audit Manager criada a partir do framework HIPAA:
![\[Captura de tela que mostra o CloudTrail controle em uma avaliação.\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/images/control-example-automated_cloudtrail-console.png)
A avaliação mostra o status do controle. Também mostra o volume de evidência coletado para esse controle até o momento. A partir daqui, você pode delegar a análise do conjunto de controles ou conclui-la você mesmo. A escolha do nome do controle abre uma página de detalhes com mais informações, incluindo as evidências desse controle.
**O que esse controle faz**
Esse controle exige que você tenha procedimentos de monitoramento implementados para detectar o acesso não autorizado. Um exemplo de acesso não autorizado é quando alguém entra no console sem a autenticação multifator (MFA) habilitada. O Audit Manager ajuda você a validar esse controle fornecendo evidências de que você configurou CloudWatch a Amazon para monitorar as solicitações de login do console de gerenciamento nas quais o MFA não está habilitado.
**Como o Audit Manager coleta evidências para esse controle**
O Audit Manager executa as seguintes etapas para coletar evidências para esse controle:
1. Para cada controle, o Audit Manager avalia seus atributos dentro do escopo usando as fontes de evidências especificadas nas configurações de controle. Nesse caso, o controle usa vários controles centrais como fontes de evidência.
Cada controle central é um agrupamento gerenciado de fontes de dados individuais. Em nosso exemplo, um desses controles principais (`Configure Amazon CloudWatch alarms to detect management console sign-in requests without MFA enabled`) usa um CloudTrail evento (`monitoring_EnableAlarmActions`) como fonte de dados subjacente.
O Audit Manager analisa seus CloudTrail registros, usando a `monitoring_EnableAlarmActions` palavra-chave para encontrar ações que ativam CloudWatch alarmes registradas por CloudTrail. Em seguida, ele retorna um log dos eventos relevantes que estão dentro do escopo de sua avaliação.
1. O resultado da avaliação dos atributos é salvo e convertido em evidências amigáveis ao auditor. O Audit Manager gera evidências de *atividade do usuário* para controles usados CloudTrail como um tipo de fonte de dados. Essa evidência contém os dados originais capturados da Amazon CloudWatch e metadados adicionais que indicam qual controle os dados suportam.
1. O Audit Manager anexa a evidência salva ao controle denominado `164.308(a)(5)(ii)(C): Administrative Safeguards - 164.308(a)(5)(ii)(C)` em sua avaliação.
**Como você pode usar o Audit Manager para demonstrar conformidade com esse controle**
Depois que a evidência é anexada ao controle, você ou um representante de sua escolha podem analisar a evidência para checar se é necessária alguma remediação.
Neste exemplo, você pode revisar as evidências para ver os eventos de ativação do alarme que foram registrados por. CloudTrail Você pode usar esse log como evidência para mostrar que você tem procedimentos de monitoramento suficientes para detectar quando os logins no console ocorrem sem a MFA habilitada. Se quiser, você também pode fornecer comentários adicionais sobre essas políticas adicionando um comentário ao controle. Por exemplo, se o log mostrar vários logins sem MFA, você pode adicionar um comentário que descreva como você corrigiu o problema. O monitoramento regular dos logins do console ajuda a evitar problemas de segurança que podem surgir a partir de discrepâncias e tentativas inadequadas de login. Por sua vez, essa prática recomendada ajuda a alinhar seu AWS ambiente aos requisitos da HIPAA.
Quando estiver satisfeito com o fato de que seu procedimento de monitoramento está alinhado com o controle, você poderá marcar o controle como *Analisado* e adicionar as evidências ao seu relatório de avaliação. Em seguida, você pode compartilhar esse relatório com os auditores para demonstrar que o controle está funcionando conforme o esperado.
## Controles manuais
Alguns controles não oferecem suporte à coleta automatizada de evidências. Isso inclui controles que dependem do fornecimento de registros físicos e assinaturas, além de observações, entrevistas e outros eventos não gerados na nuvem. Nesses casos, você pode carregar manualmente evidências para demonstrar que está satisfazendo os requisitos do controle.
Este exemplo mostra um controle manual retirado do [Framework NIST 800-53 (Rev. 5)](https://docs.aws.amazon.com/audit-manager/latest/userguide/NIST800-53r5.html). Você pode usar o Audit Manager para carregar e armazenar evidências que demonstrem a conformidade com esse controle.
**Exemplo de detalhes de controle**
+ **Nome do controle**: `AT-4: Training Records`
+ **Conjunto de controles**: `(AT) Awareness and training`. Esse é um agrupamento de controles do NIST específicos do framework relacionados ao treinamento.
+ **Fonte de evidência**: fonte de dados individual
+ **Tipo de fonte de dados**: manual
+ **Tipo de evidência**: manual
Aqui está esse controle mostrado em uma avaliação do Audit Manager criada a partir da estrutura NIST 800-53 (Rev. 5): Low-Moderate-High
![\[Captura de tela que mostra o controle em uma avaliação.\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/images/control-example-manual-console.png)
A avaliação mostra o status do controle. Também mostra o volume de evidência coletado para esse controle até o momento. A partir daqui, você pode delegar a análise do conjunto de controles ou conclui-la você mesmo. A escolha do nome do controle abre uma página de detalhes com mais informações, incluindo as evidências desse controle.
**O que esse controle faz**
Você pode usar esse controle para ajudá-lo a garantir que sua equipe receba o nível apropriado de treinamento em segurança e privacidade. Especificamente, você pode demonstrar que documentou as atividades de treinamento em segurança e privacidade para todos os funcionários, com base em suas funções. Você também pode exibir provas de que há registros de treinamento mantidos para cada indivíduo.
**Como você pode carregar manualmente evidências para esse controle**
Para fazer upload de evidências manuais que complementem as evidências automatizadas, consulte [Carregando evidências manuais em AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/upload-evidence.html). O Audit Manager anexa a evidência carregada ao controle denominado `AT-4: Training Records` em sua avaliação.
**Como você pode usar o Audit Manager para demonstrar conformidade com esse controle**
Se você tiver documentação que suporte esse controle, poderá carregá-la como evidência manual. Por exemplo, você pode carregar a cópia mais recente dos materiais de treinamento obrigatórios baseados em funções que seu departamento de Recursos Humanos emitiu aos funcionários.
Assim como nos controles automatizados, você pode delegar controles manuais às partes interessadas para ajudá-lo a analisar as evidências (ou, nesse caso, fornecê-las). Por exemplo, ao analisar esse controle, você percebe que ele atende apenas parcialmente aos requisitos. Esse pode ser o caso se você não tiver uma cópia de nenhum rastreamento de participação em treinamentos presenciais. É possível delegar o controle a uma parte interessada do RH, que pode, então, carregar uma lista de funcionários que participaram do treinamento.
Quando estiver satisfeito com o fato de que você está alinhado com o controle, você poderá marcar o controle como *Analisado* e adicionar as evidências ao seu relatório de avaliação. Em seguida, você pode compartilhar esse relatório com os auditores para demonstrar que o controle está funcionando conforme o esperado.
## Controles com tipos de fonte de dados mistos (automatizados e manuais)
Em muitos casos, é necessária uma combinação de evidências automatizadas e manuais para satisfazer um controle. Embora o Audit Manager possa fornecer evidências automatizadas relevantes para o controle, talvez seja necessário complementar esses dados com evidências manuais que você mesmo identifique e carregue.
Este exemplo mostra um controle que usa uma combinação de evidências manuais e automatizadas. Esse é um controle padrão retirado do [Framework NIST 800-53 (Rev. 5)](https://docs.aws.amazon.com/audit-manager/latest/userguide/NIST800-53r5.html). O Audit Manager usa esse controle para gerar evidências que podem ajudar a alinhar o ambiente da AWS aos requisitos NIST.
**Exemplo de detalhes de controle**
+ **Nome do controle**: `Personnel Termination`
+ **Conjunto de controles**: `(PS) Personnel Security (10)`. Esse é um agrupamento de controles do NIST específicos do framework relacionados aos indivíduos que realizam manutenção de hardware ou software em sistemas organizacionais.
+ **Fonte de evidência** — AWS gerenciada (controles principais) e fontes de dados individuais (manual)
+ **Tipo de fonte de dados subjacente** — chamadas de AWS API AWS CloudTrail, AWS Config,, Manual
+ **Tipo de evidência**: dados de configuração, atividade do usuário, verificação de conformidade, evidência manual
Aqui, esse controle mostrado em uma avaliação do Audit Manager foi criado a partir do framework Baixa-Moderada-Alta do NIST 800-53 (Rev. 5):
![\[Captura de tela que mostra o controle em uma avaliação.\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/images/control-example-mixed-console.png)
A avaliação mostra o status do controle. Também mostra o volume de evidência coletado para esse controle até o momento. A partir daqui, você pode delegar a análise do conjunto de controles ou conclui-la você mesmo. A escolha do nome do controle abre uma página de detalhes com mais informações, incluindo as evidências desse controle.
**O que esse controle faz**
Você pode usar esse controle para confirmar que está protegendo as informações organizacionais caso um funcionário seja demitido. Especificamente, você pode demonstrar que desativou o acesso ao sistema e revogou as credenciais do indivíduo. Além disso, você pode demonstrar que todos os indivíduos demitidos participaram de uma entrevista de saída que incluiu uma discussão sobre os protocolos de segurança relevantes para sua organização.
**Como o Audit Manager coleta evidências para esse controle**
O Audit Manager executa as seguintes etapas para coletar evidências para esse controle:
1. Para cada controle, o Audit Manager avalia seus atributos dentro do escopo usando as fontes de evidências especificadas nas configurações de controle.
Nesse caso, o controle usa vários controles centrais como fontes de evidência. Por sua vez, cada um desses controles principais coleta evidências relevantes de fontes de dados individuais (chamadas de AWS AWS CloudTrail API e AWS Config). O Audit Manager usa esses tipos de fonte de dados para avaliar seus recursos do IAM (como grupos, chaves e políticas) em relação às chamadas, CloudTrail eventos e AWS Config regras relevantes da API.
1. O resultado da avaliação dos atributos é salvo e convertido em evidências amigáveis ao auditor. Essa evidência contém os dados originais que são capturados de cada fonte de dados e metadados adicionais que indicam quais controles os dados permitem.
1. O Audit Manager anexa a evidência salva ao controle denominado `Personnel Termination` em sua avaliação.
**Como você pode carregar manualmente evidências para esse controle**
Para fazer upload de evidências manuais que complementem as evidências automatizadas, consulte [Carregando evidências manuais em AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/upload-evidence.html). O Audit Manager anexa a evidência carregada ao controle denominado `Personnel Termination` em sua avaliação.
**Como você pode usar o Audit Manager para demonstrar conformidade com esse controle**
Depois que a evidência é anexada ao controle, você ou um representante de sua escolha podem analisar a evidência para checar se é necessária alguma remediação. Por exemplo, ao analisar esse controle, você percebe que ele atende apenas parcialmente aos requisitos. Esse pode ser o caso se você tiver provas de que o acesso foi revogado, mas não tiver uma cópia de alguma entrevista de saída. É possível delegar o controle a uma parte interessada do RH, que pode, então, carregar uma cópia da papelada da entrevista de saída. Ou, se nenhum funcionário foi demitido durante o período de auditoria, você pode deixar um comentário informando por que nenhuma papelada assinada foi anexada ao controle.
Quando estiver satisfeito com seu alinhamento com o controle, você poderá marcar o controle como *Analisado* e adicionar as evidências ao seu relatório de avaliação. Em seguida, você pode compartilhar esse relatório com os auditores para demonstrar que o controle está funcionando conforme o esperado.
# Usando AWS Audit Manager
Você pode acessar AWS Audit Manager por meio de várias opções, dependendo de suas necessidades e preferências específicas. Veja a seguir algumas maneiras diferentes de interagir com o Audit Manager:
+ **Console do Audit Manager**
Acesse o console do Audit Manager diretamente em [https://console.aws.amazon.com/auditmanager/casa](https://console.aws.amazon.com/auditmanager/home), que fornece uma interface amigável para gerenciar suas auditorias e recursos relacionados.
+ **API do Audit Manager**
Interaja com o Audit Manager de forma programática por meio da API do Audit Manager, que permite automatizar e integrar tarefas em seus fluxos de trabalho existentes. Para obter mais informações, consulte a [Referência da API do *AWS Audit Manager *](https://docs.aws.amazon.com/audit-manager/latest/APIReference/Welcome.html).
+ **AWS SDKs**
Use kits AWS de desenvolvimento de software (SDKs) para interagir com o Audit Manager de forma programática, permitindo que você escreva código em várias linguagens de programação. Para obter mais informações, consulte [Usando AWS Audit Manager com um AWS SDK](sdk-general-information-section.md).
+ **AWS CloudFormation**
Crie recursos do Audit Manager usando AWS CloudFormation, o que permite definir e implantar sua infraestrutura de auditoria como código. Para obter mais informações, consulte [Criação de recursos do AWS Audit Manager com AWS CloudFormation](creating-resources-with-cloudformation.md).
+ **Integrações de terceiros**
Integre o Audit Manager com produtos compatíveis de Governança, Risco e Conformidade (GRC) de terceiros, permitindo que você aproveite as ferramentas e os processos de GRC existentes. Para obter mais informações, consulte [Integrações com produtos GRC de terceiros.](third-party-integration.md).
+ **Integrações com seu próprio sistema GRC**
Incorpore evidências do Audit Manager em seu próprio sistema GRC, permitindo que você envie evidências diretamente do Audit Manager para seu aplicativo GRC. Para obter mais informações, consulte [Como integrar as evidências do Audit Manager em seu sistema GRC](tutorial-for-grc-integration.md).
# Usando AWS Audit Manager com um AWS SDK
AWS kits de desenvolvimento de software (SDKs) estão disponíveis para muitas linguagens de programação populares. Cada SDK fornece uma API, exemplos de código e documentação que os desenvolvedores podem usar para construir aplicativos em seu idioma preferido.
| Documentação do SDK | Documentação específica do Audit Manager | Exemplos de código |
| --- | --- | --- |
| [AWS SDK para C\$1\$1](https://docs.aws.amazon.com/sdk-for-cpp) | [AWS SDK para C\$1\$1 Referência de API para Audit Manager](https://docs.aws.amazon.com/sdk-for-cpp/latest/api/aws-cpp-sdk-auditmanager/html/namespace_aws_1_1_audit_manager.html) | [AWS SDK para C\$1\$1 exemplos de código](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/cpp) |
| [AWS SDK para Go](https://docs.aws.amazon.com/sdk-for-go) | [AWS SDK para Go Referência de API para Audit Manager](https://pkg.go.dev/github.com/aws/aws-sdk-go-v2/service/auditmanager) | [AWS SDK para Go exemplos de código](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/gov2) |
| [AWS SDK para Java](https://docs.aws.amazon.com/sdk-for-java) | [AWS SDK for Java 2.x Referência de API para Audit Manager](https://sdk.amazonaws.com/java/api/latest/software/amazon/awssdk/services/auditmanager/AuditManagerClient.html) | [AWS SDK para Java exemplos de código](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javav2) |
| [AWS SDK para JavaScript](https://docs.aws.amazon.com/sdk-for-javascript) | [AWS SDK para JavaScript Referência de API para Audit Manager](https://docs.aws.amazon.com/AWSJavaScriptSDK/latest/AWS/AuditManager.html) | [AWS SDK para JavaScript exemplos de código](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javascriptv3) |
| [AWS SDK para .NET](https://docs.aws.amazon.com/sdk-for-net) | [AWS SDK para .NET Referência de API para Audit Manager](https://docs.aws.amazon.com/sdkfornet/v3/apidocs/items/AuditManager/NAuditManager.html) | [AWS SDK para .NET exemplos de código](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3) |
| [AWS SDK para PHP](https://docs.aws.amazon.com/sdk-for-php) | [AWS SDK para PHP Referência de API para Audit Manager](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-auditmanager-2017-07-25.html) | [AWS SDK para PHP exemplos de código](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/php) |
| [AWS SDK para Python (Boto3)](https://docs.aws.amazon.com/pythonsdk) | [AWS SDK para Python (Boto) Referência de API para Audit Manager](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/auditmanager.html) | [AWS SDK para Python (Boto3) exemplos de código](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python) |
| [AWS SDK para Ruby](https://docs.aws.amazon.com/sdk-for-ruby) | [AWS SDK para Ruby Referência de API para Audit Manager](https://docs.aws.amazon.com/sdk-for-ruby/v3/api/Aws/AuditManager.html) | [AWS SDK para Ruby exemplos de código](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/ruby) |
Para exemplos específicos do Audit Manager, consulte [Exemplos de código para uso do Audit Manager AWS SDKs](https://docs.aws.amazon.com/code-library/latest/ug/auditmanager_code_examples.html).
**nota**
O Audit Manager está disponível no botocore versão 1.19.32 e posterior para o AWS SDK para Python (Boto3). Antes de começar a usar o SDK, certifique-se de usar a versão adequada do botocore.
# Criação de recursos do AWS Audit Manager com AWS CloudFormation
O AWS Audit Manager é integrado com AWS CloudFormation, um serviço que ajuda você a modelar e configurar seus AWS recursos para que você possa gastar menos tempo criando e gerenciando seus recursos e infraestrutura. Você cria um modelo que descreve todos os AWS recursos que você deseja (como avaliações) e CloudFormation provisiona e configura esses recursos para você.
Ao usar CloudFormation, você pode reutilizar seu modelo para configurar seus recursos do AWS Audit Manager de forma consistente e repetida. Descreva seus recursos uma vez e, em seguida, provisione os mesmos recursos repetidamente em várias AWS contas e regiões.
## AWS Audit Manager e CloudFormation modelos
Para provisionar e configurar atributos para o AWS Audit Manager e serviços relacionados, você deve entender os [modelos CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html). Os modelos são arquivos de texto formatados em JSON ou YAML. Esses modelos descrevem os recursos que você deseja provisionar em suas CloudFormation pilhas. Se você não estiver familiarizado com JSON ou YAML, você pode usar o CloudFormation Designer para ajudá-lo a começar a usar modelos. CloudFormation Para obter mais informações, consulte [O que é o Designer CloudFormation ?](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/working-with-templates-cfn-designer.html) no *Manual do usuário do AWS CloudFormation *.
O AWS Audit Manager oferece suporte à criação de avaliações em CloudFormation. Para obter mais informações, como exemplos de modelos JSON e YAML para esses atributos, consulte [Referência de tipo de atributo AWS Audit Manager](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-auditmanager-assessment.html) no *Guia do Usuário AWS CloudFormation *.
## Saiba mais sobre CloudFormation
Para saber mais sobre isso CloudFormation, consulte os seguintes recursos:
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS CloudFormation Guia do usuário](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ [CloudFormation API Reference](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/Welcome.html)
+ [AWS CloudFormation Guia do usuário da interface de linha de comando](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/what-is-cloudformation-cli.html)
# Integrações com produtos GRC de terceiros.
AWS Audit Manager oferece suporte a integrações com os produtos GRC de parceiros terceirizados listados nesta página.
Se sua empresa usa um modelo de nuvem híbrida ou multicloud, é provável que você use um produto GRC para gerenciar evidências desses ambientes. Quando esse produto é integrado ao Audit Manager, você pode obter evidências sobre seu AWS uso diretamente em seu ambiente GRC. Isso simplifica a forma como você gerencia a conformidade fornecendo um local centralizado para analisar e corrigir evidências, enquanto prepara para as auditorias.
Leia esta página para obter uma visão geral dos produtos GRC de terceiros que podem consumir evidências do Audit Manager. Você também pode ver uma referência de quais ações da API do Audit Manager você pode realizar diretamente nesses produtos.
**Topics**
+ [Saiba como as integrações de terceiros funcionam com o Audit Manager](#understanding-grc-integrations)
+ [Produtos parceiros de GRC de terceiros que se integram ao Audit Manager](#supported-grc-integrations)
## Saiba como as integrações de terceiros funcionam com o Audit Manager
Os parceiros do GRC podem usar o Audit Manager public APIs para integrar seus produtos ao Audit Manager. Com essa integração implementada, você pode mapear os controles corporativos em seu ambiente GRC de acordo com os controles fornecidos pelo Audit Manager.
**dica**
Você pode mapear seus controles corporativos para qualquer tipo de [controle do Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#control). No entanto, recomendamos o uso de controles comuns. Quando você mapeia um controle comum que representa sua meta, o Audit Manager coleta evidências de um grupo predefinido de fontes de dados que é gerenciado por. AWS Isso significa que você não precisa ser um especialista em AWS para saber quais fontes de dados coletaram evidências relevantes para sua meta.
Depois de concluir esse exercício único de mapeamento de controle, você pode criar avaliações do Audit Manager diretamente no produto GRC. Essa ação inicia a coleta de evidências sobre seu AWS uso. Você pode então ver essa AWS evidência junto com as outras evidências coletadas de seu ambiente híbrido, tudo dentro do mesmo contexto dos controles corporativos.
Ao usar uma integração do Audit Manager com um produto de GRC de terceiros, lembre-se dos seguintes pontos:
+ As integrações estão disponíveis para todas as [Regiões da AWS onde o Audit Manager for suportado](https://docs.aws.amazon.com/general/latest/gr/audit-manager.html).
+ Todos os atributos que você criar no produto parceiro GRC também serão refletidos no Audit Manager.
+ Você está sujeito à [precificação da AWS Audit Manager](https://aws.amazon.com/audit-manager/pricing/), além doa precificação do produto GRC de terceiros.
+ As evidências que o Audit Manager coleta são imutáveis. As evidências são apresentadas exatamente da mesma forma em produtos GRC de terceiros e no console do Audit Manager. No entanto, se você usar uma integração de terceiros, poderá aprimorar essas evidências fornecendo contexto adicional em seus relatórios.
+ As mesmas [cotas que se aplicam ao Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/service-quotas.html) também se aplicam ao produto GRC de terceiros. Por exemplo, cada Conta da AWS pode ter até 100 avaliações ativas do Audit Manager. Essa cota em nível de conta se aplica caso você crie as avaliações no console do Audit Manager ou no produto GRC de terceiros. A maioria das cotas do Audit Manager, mas não todas, estão listadas sob o AWS Audit Manager namespace no console Service Quotas. Para saber mais sobre como solicitar um aumento da cota, consulte [Gerenciando suas cotas Audit Manager](service-quotas.md#managing-your-service-quotas).
Se você tem uma solução de conformidade e está interessado em integrá-la com o Audit Manager, envie um e-mail para `auditmanager-partners@amazon.com`.
## Produtos parceiros de GRC de terceiros que se integram ao Audit Manager
Os seguintes produtos GRC de terceiros podem consumir evidências do Audit Manager.
### MetricStream
Para usar essa integração, entre em contato [MetricStream](https://aws.amazon.com/marketplace/pp/prodview-5ph5amfrrmyx4?qid=1616170904192&sr=0-1&ref_=srh_res_product_title)para acessar e comprar o software MetricStream GRC.
Construída na MetricStream plataforma, a solução MetricStream Enterprise GRC permite uma abordagem abrangente e colaborativa às atividades e processos de GRC em toda a empresa. Ao ingerir evidências do Audit Manager MetricStream, você pode identificar proativamente as evidências não compatíveis do seu AWS ambiente e analisá-las junto com as evidências de suas fontes de dados locais ou de outros parceiros de nuvem. Isso fornece uma maneira conveniente e centralizada de analisar e melhorar sua segurança da nuvem e postura de conformidade ao se preparar para as auditorias.
Com a MetricStream integração com o Audit Manager, você pode realizar as seguintes operações de API.
| Tarefa | Operação de API |
| --- | --- |
| Configurando a integração do Audit Manager | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/third-party-integration.html) |
| Analisando os atributos do Audit Manager | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/third-party-integration.html) |
| Criando atributos do Audit Manager | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/third-party-integration.html) |
| Atualizando atributos do Audit Manager | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/third-party-integration.html) |
| Gerenciando evidências | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/third-party-integration.html) |
| Excluindo atributos do Audit Manager | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/third-party-integration.html) |
**MetricStream Links relacionados**
+ [AWS Marketplace link](https://aws.amazon.com/marketplace/pp/prodview-5ph5amfrrmyx4?qid=1616170904192&sr=0-1&ref_=srh_res_product_title)
+ [Link do produto](https://www.metricstream.com/products/cyber-grc.htm)
+ [Precificação do produto](https://info.metricstream.com/ms-pricing.html?Channel=ms-side-widget)
# Como integrar as evidências do Audit Manager em seu sistema GRC
Como cliente corporativo, você provavelmente tem atributos em vários data centers, incluindo outros fornecedores de nuvem e ambientes on-premises. Para coletar evidências desses ambientes, você pode usar soluções de GRC (Governança, Risco e Conformidade) de terceiros, como MetricStream CyberGRC ou RSA Archer. Ou você pode usar um sistema GRC proprietário que você desenvolveu internamente.
Este tutorial mostra como você pode integrar seu sistema GRC interno ou externo ao Audit Manager. Essa integração permite que os fornecedores coletem evidências sobre o AWS uso e as configurações de seus clientes e enviem essas evidências diretamente do Audit Manager para o aplicativo GRC. Ao fazer isso, você pode centralizar seus relatórios de conformidade em vários ambientes.
Para a finalidade deste tutorial:
1. Um **fornecedor** é a entidade ou empresa proprietária do aplicativo GRC que está sendo integrado ao Audit Manager.
1. Um **cliente** é a entidade ou empresa que usa AWS e também usa um aplicativo GRC interno ou externo.
**nota**
Em alguns casos, o aplicativo GRC pertence e é usado pela mesma empresa. Nesse cenário, o **fornecedor** é o grupo ou equipe que possui o aplicativo GRC e o **cliente** é a equipe ou grupo que usa o aplicativo GRC.
**Este tutorial mostra como fazer o seguinte:**
+ [Etapa 1: habilitar o Audit Manager](#tutorial-for-grc-integration-step1)
+ [Etapa 2: Configurar permissões](#tutorial-for-grc-integration-step2)
+ [Etapa 3. Mapeie seus controles corporativos para os controles do Audit Manager](#tutorial-for-grc-integration-step3)
+ [Etapa 4: Mantenha seus mapeamentos de controle atualizados](#tutorial-for-grc-integration-step4)
+ [Etapa 5: criar uma avaliação](#tutorial-for-grc-integration-step5)
+ [Etapa 6. Começar a coletar evidências](#tutorial-for-grc-integration-step6)
## Pré-requisitos
**Antes de iniciar, certifique-se de satisfazer as seguintes condições:**
+ Você tem uma infraestrutura em execução no AWS.
+ Você usa um sistema GRC interno ou usa um software GRC de terceiros disponibilizado por um fornecedor.
+ Você completou todos os [pré-requisitos](https://docs.aws.amazon.com/audit-manager/latest/userguide/setup-prerequisites.html) necessários para [configurar o Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/setting-up.html).
+ Você está familiarizado com o [Compreender AWS Audit Manager conceitos e terminologia](concepts.md).
**Algumas restrições a serem levadas em consideração:**
+ O Audit Manager é regional AWS service (Serviço da AWS). Você deve configurar o Audit Manager separadamente em cada região em que executa suas AWS cargas de trabalho.
+ O Audit Manager não é compatível com a agregação de evidências de várias regiões em uma única região. Se seus recursos abrangem vários Regiões da AWS, você deve agregar as evidências em seu sistema GRC.
+ O Audit Manager tem cotas padrão para o número de atributos que você pode criar. Se necessário, é possível solicitar um aumento nas cotas padrão. Para obter mais informações, consulte [Quotas and restrictions for AWS Audit Manager.](https://docs.aws.amazon.com/audit-manager/latest/userguide/service-quotas.html)
## Etapa 1: habilitar o Audit Manager
### Quem conclui esta etapa
Cliente
### O que você precisa fazer
Comece habilitando o Audit Manager para seu Conta da AWS. Se sua conta fizer parte de uma organização, você poderá habilitar o Audit Manager usando sua conta de gerenciamento e, em seguida, especificar um administrador delegado para o Audit Manager.
### Procedimento
**Para habilitar o Audit Manager**
Siga as instruções para [Habilitar o Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/setup-audit-manager.html). Repita o procedimento de configuração para todas as regiões em que você deseja coletar evidências.
**dica**
Se você usa AWS Organizations, é altamente recomendável que você configure um administrador delegado durante esta etapa. Ao usar uma conta de administrador delegado no Audit Manager, é possível usar o localizador de evidências para pesquisar evidências em todas as contas de membros de sua organização.
## Etapa 2: Configurar permissões
### Quem conclui esta etapa
Cliente
### O que você precisa fazer
Nesta etapa, o cliente criará um perfil do IAM para sua conta. Em seguida, o cliente concede ao fornecedor as permissões para assumir a função.
![\[Um diagrama que mostra como o perfil do IAM concede acesso à conta do fornecedor.\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/images/vendor-role-access.png)
### Procedimento
**Para criar um perfil para a conta do cliente**
Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
+ Na etapa 8 do fluxo de trabalho de criação de perfil, escolha **Criar política** e insira uma política para o perfil.
O perfil também deve ter, no mínimo, as seguintes permissões:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "AuditManagerAccess",
"Effect" : "Allow",
"Action" : [
"auditmanager:*"
],
"Resource" : "*"
},
{
"Sid" : "OrganizationsAccess",
"Effect" : "Allow",
"Action" : [
"organizations:ListAccountsForParent",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListParents",
"organizations:ListChildren"
],
"Resource" : "*"
},
{
"Sid" : "IAMAccess",
"Effect" : "Allow",
"Action" : [
"iam:GetUser",
"iam:ListUsers",
"iam:ListRoles"
],
"Resource" : "*"
},
{
"Sid" : "S3Access",
"Effect" : "Allow",
"Action" : [
"s3:ListAllMyBuckets"
],
"Resource" : "*"
},
{
"Sid" : "KmsAccess",
"Effect" : "Allow",
"Action" : [
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases"
],
"Resource" : "*"
},
{
"Sid" : "KmsCreateGrantAccess",
"Effect" : "Allow",
"Action" : [
"kms:CreateGrant"
],
"Resource" : "*",
"Condition" : {
"Bool" : {
"kms:GrantIsForAWSResource" : "true"
},
"StringLike" : {
"kms:ViaService" : "auditmanager.*.amazonaws.com"
}
}
},
{
"Sid" : "SNSAccess",
"Effect" : "Allow",
"Action" : [
"sns:ListTopics"
],
"Resource" : "*"
},
{
"Sid" : "TagAccess",
"Effect" : "Allow",
"Action" : [
"tag:GetResources"
],
"Resource" : "*"
}
]
}
```
------
+ Na etapa 11 do fluxo de trabalho de criação da perfil, insira `vendor-auditmanager` como o **Nome do perfil**.
**Para permitir que a conta do fornecedor assuma o perfil**
Siga as instruções em [Como conceder permissão aos usuários para trocar de perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html) no *Guia do usuário do IAM*.
+ A declaração de política deve incluir o efeito `Allow` sobre o `sts:AssumeRole action`.
+ Ele também deve incluir o nome do recurso da Amazon (ARN) do perfil em um elemento de atributo.
+ Veja a seguir um exemplo de instrução de política que você pode usar.
Nesta política, *placeholder text* substitua o pelo Conta da AWS ID do seu fornecedor.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::111122223333:role/vendor-auditmanager"
}
}
```
------
## Etapa 3. Mapeie seus controles corporativos para os controles do Audit Manager
### Quem conclui esta etapa
Cliente
### O que você precisa fazer
Os fornecedores mantêm uma lista organizada de controles corporativos que os clientes podem usar em uma avaliação. Para integrar com o Audit Manager, os fornecedores devem criar uma interface que permita aos clientes mapear seus controles corporativos para os controles correspondentes do Audit Manager. Você pode mapear para [](concepts.md#common-control)s (preferencial) ou para [](concepts.md#standard-control)s. Você deve concluir esse mapeamento antes de iniciar qualquer avaliação no aplicativo GRC do fornecedor.
![\[Um diagrama que mostra como os controles corporativos são mapeados para os controles do Audit Manager.\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/images/control-mapping.png)
### Opção 1: mapear os controles corporativos para controles comuns (recomendado)
Essa é a forma recomendada de mapear seus controles corporativos para o Audit Manager. Isso ocorre porque os controles comuns estão estreitamente alinhados aos padrões comuns do setor. Isso facilita o mapeamento conforme os controles da sua empresa.
Com essa abordagem, o fornecedor cria uma interface que permite ao cliente realizar um mapeamento único entre os controles corporativos e os controles comuns correspondentes fornecidos pelo Audit Manager. Os fornecedores podem usar as operações de [GetControl](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetControl.html)API [ListControls[ListCommonControls](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListCommonControls.html)](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListControls.html),, e para apresentar essas informações aos clientes. Depois que o cliente concluir o exercício de mapeamento, o fornecedor poderá usar esses mapeamentos para [criar controles personalizados](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html) no Audit Manager.
Veja a seguir um exemplo de um mapeamento de controle comum:
Digamos que você tenha um controle corporativo chamado `Asset Management`. Esse controle corporativo é mapeado para dois controles comuns no Audit Manager (`Asset performance management` e `Asset maintenance scheduling`). Nesse caso, você deve criar um controle personalizado no Audit Manager (vamos chamá-lo de `enterprise-asset-management`). Em seguida, adicione `Asset performance management` e `Asset maintenance scheduling` como fontes de evidência ao novo controle personalizado. Essas fontes de evidência coletam evidências de apoio de um grupo predefinido de fontes de AWS dados. Isso fornece uma maneira eficiente de identificar as fontes de AWS dados que atendem aos requisitos de seu controle corporativo.
#### Procedimento
**Para encontrar os controles comuns disponíveis para os quais você pode mapear**
Siga as etapas para [encontrar a lista de controles comuns disponíveis](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html) no Audit Manager.
**Para criar um controle personalizado**
1. Siga as etapas para [criar um controle personalizado](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html) que se alinhe ao controle da sua empresa.
Ao especificar fontes de evidência na etapa 2 do fluxo de trabalho de criação de controle personalizado, faça o seguinte:
+ Escolha **fontes gerenciadas pela AWS ** como fonte de evidência.
+ Selecione **Usar um controle comum que corresponda à sua meta de conformidade**.
+ Escolha até cinco controles comuns como fontes de evidência para o controle da sua empresa.
1. Repita essa tarefa para todos os controles corporativos e crie controles personalizados correspondentes no Audit Manager para cada um.
### Opção 2: mapear os controles corporativos para os controles padrão
O Audit Manager fornece um grande número de controles padrão predefinidos. Você pode realizar um mapeamento único entre os controles corporativos e esses controles padrão. Depois de identificar os controles padrão que correspondem aos controles da sua empresa, você pode adicionar esses controles padrão diretamente a uma estrutura personalizada. Se você escolher essa opção, não precisará criar nenhum controle personalizado no Audit Manager.
#### Procedimento
**Para encontrar os controles padrão disponíveis para os quais você pode mapear**
Siga as etapas para [encontrar a lista de controles padrão disponíveis](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html) no Audit Manager.
**Para criar um framework personalizado**
1. Siga as etapas para [criar um framework personalizado](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-custom-frameworks-from-scratch.html) no Audit Manager.
Ao especificar um conjunto de controles na etapa 2 do procedimento de criação do framework, inclua os controles padrão que são mapeados para os controles da sua empresa.
1. Repita essa tarefa para todos os controles corporativos até incluir todos os controles padrão correspondentes em seu framework personalizado.
## Etapa 4: Mantenha seus mapeamentos de controle atualizados
### Quem conclui esta etapa
Fornecedor, cliente
### O que você precisa fazer
O Audit Manager atualiza continuamente controles comuns e controles padrão para garantir que eles usem as fontes de AWS dados mais recentes disponíveis. Isso indica que mapear controles é uma tarefa única: você não precisa gerenciar controles padrão depois de adicioná-los a um framework personalizado e não precisa gerenciar controles comuns depois de adicioná-los como fonte de evidência em seu controle personalizado. Sempre que um controle comum é atualizado, as mesmas atualizações são aplicadas automaticamente a todos os controles personalizados que usam esse controle comum como fonte de evidência.
No entanto, com o tempo, é possível que novos controles comuns e controles padrão estejam disponíveis para você usar como fontes de evidência. Com isso em mente, fornecedores e clientes devem criar um fluxo de trabalho para buscar periodicamente os controles comuns e controles padrão mais recentes do Audit Manager. Em seguida, você pode revisar os mapeamentos entre os controles corporativos e os controles do Audit Manager e atualizar os mapeamentos conforme necessário.
### Se os controles da sua empresa estiverem mapeados para controles comuns
Durante o processo de mapeamento, você criou controles personalizados. Você pode usar o Audit Manager para editar esses controles personalizados para que eles usem os controles comuns mais recentes disponíveis como fontes de evidência. Depois que as atualizações de controle personalizado entrarem em vigor, suas avaliações existentes coletarão automaticamente evidências em relação aos controles personalizados atualizados. Não é necessário criar um novo framework ou avaliação.
#### Procedimento
**Para encontrar os controles comuns mais recentes para os quais você pode mapear**
Siga as etapas para [encontrar os controles comuns disponíveis](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html) no Audit Manager.
**Para editar um controle personalizado**
1. Siga as etapas para [editar um controle personalizado](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-controls.html) no Audit Manager.
Ao atualizar as fontes de evidência na etapa 2 do fluxo de trabalho de edição, faça o seguinte:
+ Escolha **fontes gerenciadas pela AWS ** como fonte de evidência.
+ Selecione **Usar um controle comum que corresponda à sua meta de conformidade**.
+ Escolha o novo controle comum que você deseja usar como fonte de evidência para seu controle personalizado.
1. Repita essa tarefa para todos os controles da sua empresa que você deseja atualizar.
### Se os controles da sua empresa estiverem mapeados para controles padrão
Nesse caso, os fornecedores devem criar um novo framework personalizado que inclua os controles padrão mais recentes disponíveis e, em seguida, criar uma nova avaliação usando esse novo framework. Depois de criar a nova avaliação, você pode marcar sua avaliação antiga como inativa.
#### Procedimento
**Para encontrar os controles padrão mais recentes para os quais você pode mapear**
Siga as etapas para [encontrar os controles padrão disponíveis](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html) no Audit Manager.
**Para criar um framework personalizado e adicionar os controles padrão mais recentes**
Siga as etapas para [criar um framework personalizado](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-custom-frameworks-from-scratch.html) no Audit Manager.
Ao especificar um conjunto de controles na etapa 2 do fluxo de trabalho de criação do framework, inclua os novos controles padrão.
**Para criar uma avaliação**
Criar uma avaliação no aplicativo GRC.
**Para alterar o status de uma avaliação para inativo**
Siga as etapas para [alterar o status de uma avaliação](https://docs.aws.amazon.com/audit-manager/latest/userguide/change-assessment-status-to-inactive.html) no Audit Manager.
## Etapa 5: criar uma avaliação
**Quem conclui esta etapa**
Aplicativo GRC, com informações do fornecedor
**O que você precisa fazer**
Como cliente, você não precisa criar uma avaliação diretamente no Audit Manager. Quando você inicia uma avaliação para determinados controles no aplicativo GRC, é ele que cria os recursos correspondentes para você no Audit Manager. Primeiro, o aplicativo GRC usa os mapeamentos que você criou para identificar os controles relevantes do Audit Manager. Em seguida, ele usa as informações de controle para criar um framework personalizado para você. Por fim, ele usa o framework personalizado recém-criado para gerar uma avaliação no Audit Manager.
A criação de uma avaliação no Audit Manager também requer um [escopo](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-assessments.html#specify-accounts). Esse escopo usa uma lista de Contas da AWS onde o cliente deseja realizar a avaliação e coletar evidências. Os clientes devem definir esse escopo diretamente no aplicativo GRC.
Como fornecedor, você precisa armazenar o `assessmentId` que está mapeado para a avaliação que foi iniciada no aplicativo GRC. Esse `assessmentId` é necessário para obter evidências do Audit Manager.
**Para encontrar uma identificação de avaliação**
1. Use a [ListAssessments](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListAssessments.html)operação para visualizar suas avaliações no Audit Manager. Você pode usar o parâmetro [status](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListAssessments.html#auditmanager-ListAssessments-request-status) para exibir avaliações que estão ativas.
```
aws auditmanager list-assessments --status ACTIVE
```
1. Na resposta, identifique a avaliação que deseja armazenar no aplicativo GRC e anote o `assessmentId`.
## Etapa 6. Começar a coletar evidências
**Quem conclui esta etapa**
AWS Audit Manager, com informações do fornecedor
**O que você precisa fazer**
Depois de criar uma avaliação, demora até 24 horas para começar a coletar evidências. Neste momento, seus controles corporativos agora estão coletando ativamente evidências para sua avaliação do Audit Manager.
Recomendamos que você use o atributo [localizador de evidências](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html) para consultar e encontrar evidências rapidamente no Audit Manager. Se usar o localizador de evidências como administrador delegado, poderá pesquisar evidências em todas as contas membros da sua organização. Ao usar uma combinação de filtros e agrupamentos, você pode restringir progressivamente o escopo da sua consulta de pesquisa. Por exemplo, se quiser uma visão de alto nível da integridade do sistema, faça uma pesquisa ampla e filtre por avaliação, intervalo de datas e conformidade de atributos. Se sua meta for remediar um atributo específico, você pode realizar uma pesquisa restrita para direcionar evidências de um controle ou ID de atributo específico. Depois de definir seus filtros, você pode agrupar e visualizar os resultados da correspondentes antes de criar um relatório de avaliação.
**Para habilitar o localizador de evidências**
+ Siga as instruções para [habilitar o localizador de evidências](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder-settings-enable.html) nas configurações do Audit Manager.
Depois de habilitar o localizador de evidências, você pode escolher uma cadência para buscar evidências do Audit Manager para sua avaliação. Você também pode buscar evidências de um controle específico em uma avaliação e armazená-las no aplicativo GRC que está mapeado para o controle corporativo. Você pode usar as seguintes operações de API do Audit Manager para buscar evidências:
+ [GetEvidence](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidence.html)
+ [GetEvidenceByEvidenceFolder](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceByEvidenceFolder.html)
+ [GetEvidenceFolder](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceFolder.html)
+ [GetEvidenceFoldersByAssessment](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceFoldersByAssessment.html)
+ [GetEvidenceFoldersByAssessmentControl](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceFoldersByAssessmentControl.html)
## Preços
Não haverá nenhum custo adicional por essa configuração de integração, seja você um fornecedor ou um cliente. Os clientes são cobrados pelas evidências coletadas no Audit Manager. Para saber mais sobre precificação, consulte [Precificação do AWS Audit Manager](https://aws.amazon.com/audit-manager/pricing/).
## Recursos adicionais
Você pode aprender mais sobre os conceitos apresentados neste tutorial analisando os seguintes atributos:
+ [Avaliações](https://docs.aws.amazon.com/audit-manager/latest/userguide/assessments.html): aprenda sobre os conceitos e as tarefas de gerenciamento de uma avaliação.
+ [Biblioteca de controle](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-library.html): aprenda sobre os conceitos e tarefas para gerenciar um controle personalizado.
+ [Biblioteca de frameworks](https://docs.aws.amazon.com/audit-manager/latest/userguide/framework-library.html): conheça os conceitos e as tarefas para gerenciar um framework personalizado.
+ [Localizador de evidências](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html) - Aprenda como exportar um arquivo CSV ou gerar um relatório de avaliação a partir dos resultados da consulta.
+ [Centro de downloads](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html) - Aprenda como baixar relatórios de avaliação e exportações de CSV do Audit Manager.