🚀 快速安装
复制以下命令并运行,立即安装此 Skill:
clawhub install afrexai-soc2-evidence-collector
💡 提示:需要提前安装 clawhub CLI
SOC2 证据收集器
为 SOC2 Type I 和 Type II 审计,在所有 5 项信任服务标准中自动化证据收集。
何时使用
- 为即将到来的 SOC2 审计(Type I 或 Type II)做准备
- 构建持续合规证据流水线
- 审计员要求提供证据,需要快速收集
- 新客户需要 SOC2 合规证明
- 年度证据更新周期
- 在聘请审计公司之前进行差距分析
输入信息
在生成之前向用户收集以下信息:
必需
- 审计类型:Type I(时间点)或 Type II(一段时间,通常为 3-12 个月)
- 范围内的信任服务标准:安全性(CC — 始终必需),以及以下任一项:可用性、处理完整性、保密性、隐私性
- 云服务提供商:AWS、GCP、Azure、多云、本地部署、混合云
- 主要技术栈:语言、框架、CI/CD、基础设施即代码工具
- 团队规模:工程 + 运维人员数量
可选
- 当前合规认证(ISO 27001, HIPAA, PCI-DSS 等)
- 审计公司名称和时间表
- 之前的审计发现或差距
- 已映射的特定控制框架(NIST 800-53, CIS 等)
- 单点登录/身份提供商(Okta, Azure AD, Google Workspace 等)
证据类别
CC — 通用标准(安全性) — 始终在范围内
CC1:控制环境
| 证据 |
来源 |
收集方法 |
| 带有安全角色的组织架构图 |
人力资源系统 / Confluence |
每季度手动导出 |
| 安全策略文档 |
策略仓库 / 维基 |
显示年度审查的 Git 日志 |
| 行为准则确认书 |
人力资源系统 |
导出已签署的确认书 |
| 董事会/管理层关于安全的会议纪要 |
日历 + 笔记 |
截图 + 议程导出 |
| 风险评估文档 |
治理、风险与合规工具 / 电子表格 |
导出当前风险登记册 |
CC2:沟通与信息
| 证据 |
来源 |
收集方法 |
| 安全意识培训记录 |
学习管理系统 / 培训平台 |
导出完成报告 |
| 入职安全清单 |
人力资源系统 |
模板 + 完成日志 |
| 事件沟通程序 |
运行手册 / 维基 |
带有审查历史的版本控制文档 |
| 外部沟通政策 |
策略仓库 |
Git 日志 + 批准记录 |
CC3:风险评估
| 证据 |
来源 |
收集方法 |
| 年度风险评估报告 |
治理、风险与合规工具 |
带有签核的 PDF 导出 |
| 供应商风险评估 |
供应商管理工具 |
导出评估记录 |
| 渗透测试报告 |
安全供应商 |
带有修复跟踪的 PDF 报告 |
| 漏洞扫描结果 |
扫描器(Qualys, Nessus 等) |
每月自动导出 |
CC4:监控活动
| 证据 |
来源 |
收集方法 |
| 安全信息和事件管理仪表板和警报配置 |
Datadog / Splunk / CloudWatch |
截图 + 配置导出 |
| 正常运行时间监控证据 |
Pingdom / Datadog / UptimeRobot |
每月正常运行时间报告 |
| 日志保留配置 |
云服务提供商控制台 |
配置导出 / 基础设施即代码片段 |
| 异常检测规则 |
安全信息和事件管理 / 监控工具 |
带有更改日志的规则导出 |
CC5:控制活动
| 证据 |
来源 |
收集方法 |
| 访问控制矩阵 |
身份提供商 / IAM 控制台 |
导出用户-角色映射 |
| 多因素认证强制证据 |
身份提供商管理控制台 |
策略配置截图 |
| 防火墙 / 安全组规则 |
云控制台 / 基础设施即代码 |
terraform state 或控制台导出 |
| 静态加密配置 |
云控制台 / 基础设施即代码 |
显示已启用加密的配置导出 |
| 传输中加密(TLS) |
负载均衡器 / CDN 配置 |
证书 + 配置导出 |
CC6:逻辑和物理访问控制
| 证据 |
来源 |
收集方法 |
| 用户访问审查(季度) |
身份提供商 + 电子表格 |
审查会议记录 + 更新的访问列表 |
| 离职用户权限解除 |
身份提供商审计日志 |
显示及时停用的导出 |
| SSH 密钥 / 凭证轮换日志 |
密钥管理器 |
轮换事件日志 |
| 物理访问日志(如适用) |
楼宇管理系统 |
门禁卡访问报告 |
CC7:系统操作
| 证据 |
来源 |
收集方法 |
| 变更管理记录 |
Jira / GitHub 拉取请求 |
导出已合并的带有批准的拉取请求 |
| CI/CD 流水线配置 |
GitHub Actions / CircleCI |
从仓库导出的配置文件 |
| 部署审批流程 |
拉取请求审查设置 |
分支保护规则截图 |
| 事件响应日志 |
PagerDuty / Opsgenie |
事件时间线导出 |
| 备份配置和测试结果 |
云控制台 / 基础设施即代码 |
备份策略 + 恢复测试日志 |
CC8:变更管理
| 证据 |
来源 |
收集方法 |
| 拉取请求审查要求 |
GitHub / GitLab 设置 |
分支保护配置 |
| 代码审查证据 |
GitHub 拉取请求历史 |
导出带有审查评论的拉取请求 |
| 发布说明 / 更新日志 |
仓库 |
带有版本历史的 CHANGELOG.md |
| 回滚程序 |
运行手册 |
带有测试证据的文档化程序 |
CC9:风险缓解
| 证据 |
来源 |
收集方法 |
| 业务连续性计划 |
策略仓库 |
带有年度审查证据的文档 |
| 灾难恢复测试结果 |
灾难恢复运行手册 |
测试执行日志 + 结果 |
| 保险证书 |
财务 / 法务 |
当前证书副本 |
| 子处理器协议 |
法务 / 合同管理 |
已签署的数据处理协议 + 供应商列表 |
A — 可用性(如果在范围内)
| 证据 |
来源 |
收集方法 |
| SLA 定义和监控 |
产品文档 + 监控 |
SLA 文档 + 正常运行时间仪表板导出 |
| 容量规划文档 |
架构文档 |
季度容量审查记录 |
| 自动扩展配置 |
云控制台 / 基础设施即代码 |
配置导出 |
| 事件响应 SLA 达成率 |
PagerDuty / 事件跟踪器 |
响应时间报告 |
| 冗余 / 故障转移配置 |
云架构 |
架构图 + 故障转移测试日志 |
PI — 处理完整性(如果在范围内)
| 证据 |
来源 |
收集方法 |
| 数据验证规则 |
应用程序代码 / 配置 |
代码片段 + 测试结果 |
| 质量保证 / 测试程序 |
CI/CD 流水线 |
测试套件配置 + 通过/失败报告 |
| 错误处理和纠正程序 |
运行手册 / 代码 |
错误处理文档 + 事件示例 |
| 数据核对报告 |
应用程序日志 / 报告 |
每月核对输出 |
C — 保密性(如果在范围内)
| 证据 |
来源 |
收集方法 |
| 数据分类政策 |
策略仓库 |
带有审查历史的文档 |
| 保密协议 / 保密协议 |
法务 / 人力资源 |
已签署的协议副本 |
| 数据保留和处置政策 |
策略仓库 |
政策文档 + 处置日志 |
| 数据防泄漏工具配置 |
数据防泄漏工具管理 |
配置导出 + 警报样本 |
P — 隐私性(如果在范围内)
| 证据 |
来源 |
收集方法 |
| 隐私政策(公开) |
网站 |
URL + 版本历史 |
| 数据处理协议 |
法务 |
已签署的数据处理协议 |
| 同意管理记录 |
同意管理平台 / 应用程序 |
同意日志导出 |
| 数据主体请求程序 |
策略仓库 / 工单系统 |
程序文档 + 数据主体请求工单样本 |
| 隐私影响评估 |
治理、风险与合规工具 / 文档 |
高风险处理的隐私影响评估报告 |
自动化脚本
识别用户的技术栈后,生成用于自动化证据收集的 Shell 脚本:
AWS 证据收集(示例)
#!/bin/bash
# SOC2 证据收集器 — AWS
# 由 AfrexAI SOC2 证据收集技能生成
set -euo pipefail
EVIDENCE_DIR="soc2-evidence/$(date +%Y-%m-%d)"
mkdir -p "$EVIDENCE_DIR"/{iam,network,encryption,logging,compute}
echo "=== CC5: 访问控制 ==="
aws iam get-account-summary > "$EVIDENCE_DIR/iam/account-summary.json"
aws iam generate-credential-report && sleep 5
aws iam get-credential-report --output text --query Content | base64 -d > "$EVIDENCE_DIR/iam/credential-report.csv"
aws iam list-users --output json > "$EVIDENCE_DIR/iam/users.json"
aws iam list-policies --scope Local --output json > "$EVIDENCE_DIR/iam/custom-policies.json"
echo "=== CC5: 静态加密 ==="
aws rds describe-db-instances --query 'DBInstances[*].{ID:DBInstanceIdentifier,Encrypted:StorageEncrypted,KmsKey:KmsKeyId}' > "$EVIDENCE_DIR/encryption/rds-encryption.json"
aws s3api list-buckets --query 'Buckets[*].Name' --output text | tr '\t' '\n' | while read bucket; do
aws s3api get-bucket-encryption --bucket "$bucket" >> "$EVIDENCE_DIR/encryption/s3-encryption.json" 2>/dev/null || echo "{\"bucket\":\"$bucket\",\"encryption\":\"NONE\"}" >> "$EVIDENCE_DIR/encryption/s3-encryption.json"
done
echo "=== CC4: 日志记录 ==="
aws cloudtrail describe-trails > "$EVIDENCE_DIR/logging/cloudtrail-config.json"
aws cloudwatch describe-alarms --state-value ALARM > "$EVIDENCE_DIR/logging/active-alarms.json"
echo "=== CC5: 网络安全 ==="
aws ec2 describe-security-groups > "$EVIDENCE_DIR/network/security-groups.json"
aws ec2 describe-vpcs > "$EVIDENCE_DIR/network/vpcs.json"
echo "=== CC6: MFA 状态 ==="
aws iam list-virtual-mfa-devices > "$EVIDENCE_DIR/iam/mfa-devices.json"
echo "证据已收集到 $EVIDENCE_DIR"
echo "在与审计员共享之前,请审查并编辑敏感值。"
GitHub 证据收集(示例)
#!/bin/bash
# SOC2 证据收集器 — GitHub
set -euo pipefail
ORG="${1:?Usage: $0 <github-org>}"
EVIDENCE_DIR="soc2-evidence/$(date +%Y-%m-%d)/github"
mkdir -p "$EVIDENCE_DIR"
echo "=== CC8: 分支保护 ==="
gh api "/orgs/$ORG/repos" --paginate --jq '.[].name' | while read repo; do
gh api "/repos/$ORG/$repo/branches/main/protection" 2>/dev/null > "$EVIDENCE_DIR/${repo}-branch-protection.json" || true
done
echo "=== CC7: 近期部署 ==="
gh api "/orgs/$ORG/repos" --paginate --jq '.[].name' | head -10 | while read repo; do
gh api "/repos/$ORG/$repo/deployments?per_page=10" > "$EVIDENCE_DIR/${repo}-deployments.json" 2>/dev/null || true
done
echo "=== CC8: 拉取请求审查证据 ==="
gh api "/orgs/$ORG/repos" --paginate --jq '.[].name' | head -10 | while read repo; do
gh pr list --repo "$ORG/$repo" --state merged --limit 20 --json number,title,mergedAt,reviewDecision > "$EVIDENCE_DIR/${repo}-merged-prs.json" 2>/dev/null || true
done
echo "=== CC5: 组织安全设置 ==="
gh api "/orgs/$ORG" --jq '{two_factor_requirement: .two_factor_requirement_enabled, default_permissions: .default_repository_permission}' > "$EVIDENCE_DIR/org-security.json"
echo "证据已收集到 $EVIDENCE_DIR"
输出格式
生成结构化的证据包:
soc2-evidence/
├── README.md # 概述、范围、期间、审计员信息
├── evidence-matrix.md # 完整检查清单,包含状态(已收集/待处理/不适用)
├── collection-scripts/
│ ├── collect-aws.sh
│ ├── collect-github.sh
│ ├── collect-idp.sh
│ └── collect-monitoring.sh
├── gap-analysis.md # 缺失证据 + 修复步骤
└── schedule.md # 证据收集时间表(何时刷新什么)
evidence-matrix.md 格式
| # | 控制点 | 证据 | 状态 | 来源 | 最后收集时间 | 备注 |
|---|---------|----------|--------|--------|---------------|-------|
| CC1.1 | 组织架构图 | org-chart-2026-Q1.pdf | ✅ 已收集 | 人力资源导出 | 2026-01-15 | |
| CC5.3 | MFA 强制 | mfa-config.json | ✅ 自动化 | 身份提供商 API | 2026-03-17 | 脚本:collect-idp.sh |
| CC3.2 | 渗透测试报告 | — | ⏳ 待处理 | 外部供应商 | — | 截止日期 2026-04-01 |
工作流程
- 收集输入信息(审计类型、范围、技术栈、团队规模)
- 为范围内的标准生成完整的证据矩阵
- 根据其技术栈标记已知证据来源
- 生成用于自动收集的收集脚本
- 识别差距并生成修复建议
- 创建证据收集时间表(每日/每周/每月/每季度)
- 输出完整的证据包
给用户的提示
- 在审计前 3-6 个月开始:填补证据差距需要时间
- 尽早自动化:每月运行的脚本可避免审计前的恐慌
- 对所有内容进行版本控制:审计员喜欢看到变更历史
- 不要伪造:缺失证据比伪造证据更好
- 持续性 > 时间点:Type II 需要审计期间的持续证据
- 标记证据:使用一致的命名,以便审计员可以自助服务
AfrexAI 备注
此技能生成框架和自动化脚手架。如需由托管 AI 智能体处理持续证据收集、监控和审计员协调的实战化 SOC2 审计准备 — 这正是 AfrexAI 的 AI 即服务所提供的。联系我们:hello@afrexai.com。
📄 原始文档
来源地址:
https://clawhub.com/skills/afrexai-soc2-evidence-collector
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
评论(0)