AWS Audit Manager 不再開放給新客戶。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[AWS Audit Manager 可用性變更](https://docs.aws.amazon.com/audit-manager/latest/userguide/audit-manager-availability-change.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 了解 如何 AWS Audit Manager 收集證據
中的每個作用中評估 AWS Audit Manager 會自動從各種資料來源收集證據。在每個評估中,您會定義哪些 AWS 帳戶 Audit Manager 會收集證據,而 Audit Manager 會管理哪些 AWS 服務 在範圍內。這些服務和帳戶都包含您擁有和使用的多個資源。Audit Manager 中的證據收集涉及對每個範圍內資源的評估。這稱為*資源評估*。
下列步驟說明 Audit Manager 如何為各資源評估收集證據:
**1. 從資料來源評估資源**
啟動收集證據時,Audit Manager 會從資料來源對範圍內的資源進行評估。它透過擷取組態快照、相關的合規檢查結果或使用者活動來執行此操作。然後執行分析,以判斷此資料支援哪個控制項。資源評估的結果將被保存,並轉換為證據。如需不同證據類型的詳細資訊,請參閱本指南的*AWS Audit Manager 概念和術語*一節[](concepts.md#evidence)中的 。
**2. 將評估結果轉換為證據**
資源評估的結果包含從該資源擷取的原始資料,以及指出資料支援的控制中繼資料。Audit Manager 會將原始資料轉換為適合稽核程式的格式。接著,轉換後的資料和中繼資料會儲存為 Audit Manager 證據,再附加至控制項。
**3. 將證據附加至相關控制項**
Audit Manager 會讀取證據中繼資料。然後會將儲存的證據附加至評估中的相關控制項。附加的證據會在 Audit Manager 中顯示。如此一來,就完成了資源評估的週期。
**注意**
視控制項組態而定,在某些情況下,相同的證據可以附加至來自多個 Audit Manager 評估的多個控制項。當相同的證據附加到多個控制項時,Audit Manager 只會測量一次資源評估。這是因為相同的證據只會收集一次。然而,Audit Manager 評估中的一個控制項可以有來自多個資料來源的多項證據。
## 證據收集頻率
證據收集程序為持續過程,會在您建立評估時開始。Audit Manager 會以不同的頻率從多個資料來源收集證據。因此,對於收集證據的頻率,沒有一種適合所有情況的標準答案。證據收集的頻率取決於證據類型及其資料來源,如下所述。
+ **合規檢查** — Audit Manager 會從 AWS Security Hub CSPM 和 收集此證據類型 AWS Config。
+ 針對 Security Hub CSPM,證據收集會遵循 Security Hub CSPM 檢查的排程。如需 Security Hub CSPM 檢查排程的詳細資訊,請參閱*AWS Security Hub CSPM 《 使用者指南*》中的[執行安全檢查的排程](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-schedule.html)。如需 Audit Manager 所支援 Security Hub CSPM 檢查的詳細資訊,請參閱 [AWS Security Hub CSPM 支援的控制項 AWS Audit Manager](control-data-sources-ash.md)。
+ 對於 AWS Config,證據收集遵循 AWS Config 規則中定義的觸發條件。如需有關 AWS Config 規則觸發的詳細資訊,請參閱 *AWS Config 使用指南*中的[觸發類型](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html#aws-config-rules-trigger-types)。如需 Audit Manager 支援 AWS Config 規則 之 的詳細資訊,請參閱 [AWS Config 規則 支援 AWS Audit Manager](control-data-sources-config.md)。
+ AWS Audit Manager 當無法進行自動化合規評估時, 會將證據標記為不確定。當您尚未啟用 AWS Config 或 AWS Security Hub CSPM時,即為關鍵資料來源時,就會發生這種情況。當透過 API 呼叫、 AWS CloudTrail 日誌或手動上傳直接從 AWS 服務收集證據時,也會發生這種情況。當沒有自動評估此證據的機制時, AWS Audit Manager 無法提供評估詳細資訊。因此,它會將證據標記為不確定。不確定的證據不表示失敗。反之,它會發出訊號,指出您需要手動評估證據以確保合規。
+ **使用者活動** — Audit Manager AWS CloudTrail 會持續從 收集此證據類型。這個頻率是連續的,因為使用者活動可以在一天中的任何時間發生。如需詳細資訊,請參閱[AWS CloudTrail 支援的事件名稱 AWS Audit Manager](control-data-sources-cloudtrail.md)。
+ **組態資料** — Audit Manager 會使用描述 API 呼叫來收集此證據類型, AWS 服務 例如 Amazon EC2、Amazon S3 或 IAM。您可以選擇要呼叫的 API 動作。您也可以在 Audit Manager 中將頻率設定為每日、每週或每月。您可以在控制項資源庫中建立或編輯控制項時,指定此頻率。如需關於編輯與建立控制項的說明,請參閱 [使用控制項程式庫管理 中的控制項 AWS Audit Manager](control-library.md)。如需 Audit Manager 支援之 API 呼叫的詳細資訊,請參閱 [AWS 支援的 API 呼叫 AWS Audit Manager](control-data-sources-api.md)。
無論資料來源的證據收集頻率為何,只要控制項和評估處於有效狀態,就會自動收集新證據。