name: 合规证据收集器 description: 从云提供商、身份系统和安全工具中自动收集跨合规框架的证据 allowed-tools:
- Bash
- Read
- Write
- Glob
- Grep
- WebFetch
合规证据收集器技能
目的
通过从云提供商、身份系统和安全工具中收集配置快照、访问控制证据、日志、策略和文档,实现跨多个合规框架的自动化证据收集。
能力
云配置证据
- 捕获 AWS、Azure、GCP 配置快照
- 记录 IAM 策略和角色配置
- 导出安全组和网络 ACL 设置
- 收集加密设置和密钥管理证据
- 截图云控制台配置
- 归档 CloudTrail、活动日志、审计日志
访问控制证据
- 导出用户和组列表
- 记录基于角色的访问控制配置
- 捕获特权访问审查
- 收集身份验证策略证据
- 记录 MFA 注册状态
- 归档访问权限配置/撤销记录
日志收集与验证
- 收集安全事件日志
- 验证日志保留合规性
- 记录日志完整性机制
- 导出 SIEM 关联规则
- 捕获告警配置
- 归档事件响应日志
策略文档管理
- 版本控制策略文档
- 跟踪策略审查和批准日期
- 记录策略确认情况
- 归档被取代的策略
- 生成策略合规性矩阵
截图自动化
- 为手动控制自动化证据截图
- 捕获基于 UI 的配置证据
- 记录工作流审批
- 截图培训完成记录
证据保管链
- 维护证据元数据和时间戳
- 跟踪证据收集日期
- 记录证据来源
- 生成证据清单
- 创建审计就绪包
证据类别
技术证据
- 系统配置
- 安全工具输出
- 漏洞扫描结果
- 渗透测试报告
- 代码分析结果
管理证据
- 政策和程序
- 培训记录
- 风险评估
- 事件报告
- 变更管理记录
物理证据
- 设施访问日志
- 访客记录
- 资产清单
- 环境控制文档
框架映射
| 框架 | 证据类型 |
|---|---|
| SOC 2 | 技术、管理、截图 |
| GDPR | 数据处理、同意、隐私 |
| HIPAA | ePHI、保障措施、BAA |
| PCI DSS | CDE、网络、ASV 扫描 |
| ISO 27001 | ISMS、控制、风险 |
| NIST | 安全控制、风险管理 |
| FedRAMP | 云安全、持续监控 |
集成
- AWS: Config、CloudTrail、IAM、Security Hub
- Azure: Policy、Activity Log、Azure AD、Defender
- GCP: Cloud Asset Inventory、Audit Logs、IAM
- 身份提供商: Okta、Azure AD、Google Workspace
- SIEM 系统: Splunk、Elastic、Sentinel、Chronicle
- 安全工具: 各种漏洞扫描器、EDR
目标流程
- 所有合规审计流程
- 持续合规监控
- 审计准备
- 控制验证
输入模式
{
"type": "object",
"properties": {
"frameworks": {
"type": "array",
"items": {
"type": "string",
"enum": ["SOC2", "GDPR", "HIPAA", "PCI-DSS", "ISO27001", "NIST", "FedRAMP"]
},
"description": "目标合规框架"
},
"evidenceTypes": {
"type": "array",
"items": {
"type": "string",
"enum": ["cloud-config", "access-control", "logs", "policies", "screenshots", "network", "encryption"]
}
},
"cloudProviders": {
"type": "array",
"items": {
"type": "string",
"enum": ["AWS", "Azure", "GCP"]
}
},
"dateRange": {
"type": "object",
"properties": {
"startDate": { "type": "string", "format": "date" },
"endDate": { "type": "string", "format": "date" }
}
},
"controlIds": {
"type": "array",
"items": { "type": "string" },
"description": "要收集证据的特定控制 ID"
},
"outputPath": {
"type": "string",
"description": "证据存储的基础路径"
}
},
"required": ["frameworks", "evidenceTypes"]
}
输出模式
{
"type": "object",
"properties": {
"collectionId": {
"type": "string"
},
"collectionDate": {
"type": "string",
"format": "date-time"
},
"frameworks": {
"type": "array"
},
"evidenceSummary": {
"type": "object",
"properties": {
"totalItems": { "type": "integer" },
"collected": { "type": "integer" },
"failed": { "type": "integer" },
"pending": { "type": "integer" }
}
},
"evidenceInventory": {
"type": "array",
"items": {
"type": "object",
"properties": {
"evidenceId": { "type": "string" },
"controlId": { "type": "string" },
"type": { "type": "string" },
"source": { "type": "string" },
"collectionTimestamp": { "type": "string" },
"filePath": { "type": "string" },
"hash": { "type": "string" },
"status": { "type": "string" }
}
}
},
"chainOfCustody": {
"type": "object",
"properties": {
"collector": { "type": "string" },
"collectionMethod": { "type": "string" },
"integrityVerification": { "type": "string" }
}
},
"gaps": {
"type": "array",
"items": {
"type": "object",
"properties": {
"controlId": { "type": "string" },
"missingEvidence": { "type": "string" },
"reason": { "type": "string" }
}
}
},
"auditPackage": {
"type": "object",
"properties": {
"basePath": { "type": "string" },
"indexFile": { "type": "string" },
"totalSize": { "type": "string" }
}
}
}
}
使用示例
skill: {
name: 'compliance-evidence-collector',
context: {
frameworks: ['SOC2', 'ISO27001'],
evidenceTypes: ['cloud-config', 'access-control', 'logs'],
cloudProviders: ['AWS', 'Azure'],
dateRange: {
startDate: '2024-01-01',
endDate: '2024-12-31'
}
}
}