Abilitazione delle funzionalità consigliate e per Servizi AWSAWS Audit Manager

Ora che l'hai abilitata AWS Audit Manager, è il momento di configurare le funzionalità e le integrazioni consigliate per ottenere il massimo dal servizio.

Punti chiave

Per un'esperienza ottimale in Gestione audit, consigliamo di configurare e abilitare le seguenti funzionalità Servizi AWS.

Attività

• Imposta le funzionalità consigliate di Gestione audit

• Configura le integrazioni consigliate con altri Servizi AWS

  • Abilita e configura AWS Config

  • Abilita e configura AWS Security Hub

  • Abilita e configura AWS Organizations

Imposta le funzionalità consigliate di Gestione audit

Dopo aver abilitato Gestione audit, ti consigliamo di attivare la funzionalità di ricerca delle prove.

Evidence finder fornisce un modo efficace per cercare prove in Gestione audit. Invece di sfogliare cartelle di prove racchiuse in profondità, per trovare ciò che stai cercando puoi utilizzare evidence finder per interrogare rapidamente le prove. Se utilizzi evidence finder come amministratore delegato, puoi cercare prove in tutti gli account dei membri della tua organizzazione.

Utilizzando una combinazione di filtri e raggruppamenti, è possibile restringere progressivamente l'ambito della query di ricerca. Ad esempio, se desideri una visione di alto livello dello stato del sistema, esegui una ricerca ampia e filtra per valutazione, intervallo di date e conformità delle risorse. Se il tuo obiettivo è correggere una risorsa specifica, puoi eseguire una ricerca ristretta per individuare le prove relative a un controllo o a un ID di risorsa specifico. Dopo aver definito i filtri, puoi raggruppare e visualizzare in anteprima i risultati di ricerca corrispondenti prima di creare un rapporto di valutazione.

Configura le integrazioni consigliate con altri Servizi AWS

Per un'esperienza ottimale in Audit Manager, ti consigliamo vivamente di abilitare quanto segue Servizi AWS:

• AWS Organizations: è possibile utilizzare Organizations per eseguire le valutazioni di Gestione audit su più account e consolidare le prove in un account amministratore delegato.

• AWS Security Hube AWS Config— Audit Manager si affida a queste fonti Servizi AWS come fonti di dati per la raccolta delle prove. Quando si abilita AWS Config Security Hub, Audit Manager può operare con tutte le sue funzionalità, raccogliendo prove complete e riportando accuratamente i risultati dei controlli di conformità direttamente da questi servizi.

Importante

Se non abiliti AWS Config e configuri Security Hub, non sarai in grado di raccogliere le prove previste per molti controlli nelle tue valutazioni di Audit Manager. Di conseguenza, si rischia che la raccolta delle prove sia incompleta o fallita per determinati controlli. Più specificamente:

• Se Audit Manager tenta di utilizzare AWS Config come fonte di dati di controllo, ma le AWS Config regole richieste non sono abilitate, non verrà raccolta alcuna prova per tali controlli.

• Allo stesso modo, se Audit Manager tenta di utilizzare Security Hub come fonte di dati di controllo, ma gli standard richiesti non sono abilitati in Security Hub, non verrà raccolta alcuna prova per tali controlli.

Per mitigare questi rischi e garantire una raccolta completa delle prove, segui i passaggi in questa pagina per abilitare AWS Config e configurare Security Hub prima di creare le valutazioni di Audit Manager.

Abilita e configura AWS Config

Molti controlli in Audit Manager richiedono AWS Config un tipo di origine dati. Per supportare questi controlli, è necessario abilitarli AWS Config su tutti gli account in ognuno dei Regione AWS quali è abilitato Audit Manager.

Audit Manager non gestisce AWS Config per te. Puoi seguire queste fasi per abilitare AWS Config e configurare le impostazioni.

Importante

L'abilitazione AWS Config è una raccomandazione facoltativa. Tuttavia, se abiliti AWS Config, sono necessarie le seguenti impostazioni. Se Audit Manager tenta di raccogliere prove per i controlli utilizzati AWS Config come tipo di origine dati e non AWS Config è impostato come descritto di seguito, non viene raccolta alcuna evidenza per tali controlli.

Attività da integrare AWS Config con Audit Manager

• Fase 1: Abilita AWS Config

• Fase 2: Configurare AWS Config le impostazioni per l'utilizzo con Audit Manager

Fase 1: Abilita AWS Config

È possibile abilitare AWS Config utilizzando la AWS Config console o l'API. Per istruzioni, consulta Nozioni di base con AWS Config nella Guida per gli sviluppatori di AWS Config .

Fase 2: Configurare AWS Config le impostazioni per l'utilizzo con Audit Manager

Dopo l'attivazione AWS Config, assicurati di abilitare anche AWS Config le regole o di distribuire un pacchetto di conformità per lo standard di conformità correlato al tuo audit. Questa fase garantisce che Gestione audit possa importare i risultati per le regole AWS Config che hai abilitato.

Dopo aver abilitato una AWS Config regola, ti consigliamo di esaminarne i parametri. Quindi, convalida tali parametri in base ai requisiti del framework di conformità prescelto. Se necessario, puoi aggiornare i parametri di una regola in AWS Configper assicurarti che sia in linea con i requisiti del framework. Ciò contribuirà a garantire che le valutazioni raccolgano le prove di verifica della conformità corrette per un determinato framework.

Ad esempio, supponiamo che tu stia creando una valutazione per CIS v1.2.0. Questo framework ha un controllo denominato 1.4: assicurati che le chiavi di accesso vengano ruotate ogni 90 giorni o meno. In AWS Config, la access-keys-rotatedregola ha un maxAccessKeyAge parametro con un valore predefinito di 90 giorni. Di conseguenza, la regola è conforme ai requisiti di controllo. Se non utilizzate il valore predefinito, assicuratevi che il valore che state utilizzando sia uguale o superiore ai 90 giorni richiesti dal CIS v1.2.0.

Puoi trovare i dettagli dei parametri predefiniti per ogni regola gestita nella documentazione AWS Config. Per istruzioni su come configurare una regola, consulta Working with AWS Config Managed Rules.

Abilita e configura AWS Config

Molti controlli in Audit Manager richiedono AWS Config un tipo di origine dati. Per supportare questi controlli, è necessario abilitarli AWS Config su tutti gli account in ognuno dei Regione AWS quali è abilitato Audit Manager.

Audit Manager non gestisce AWS Config per te. Puoi seguire queste fasi per abilitare AWS Config e configurare le impostazioni.

Importante

L'abilitazione AWS Config è una raccomandazione facoltativa. Tuttavia, se abiliti AWS Config, sono necessarie le seguenti impostazioni. Se Audit Manager tenta di raccogliere prove per i controlli utilizzati AWS Config come tipo di origine dati e non AWS Config è impostato come descritto di seguito, non viene raccolta alcuna evidenza per tali controlli.

Attività da integrare AWS Config con Audit Manager

• Fase 1: Abilita AWS Config

• Fase 2: Configurare AWS Config le impostazioni per l'utilizzo con Audit Manager

Fase 1: Abilita AWS Config

È possibile abilitare AWS Config utilizzando la AWS Config console o l'API. Per istruzioni, consulta Nozioni di base con AWS Config nella Guida per gli sviluppatori di AWS Config .

Fase 2: Configurare AWS Config le impostazioni per l'utilizzo con Audit Manager

Dopo l'attivazione AWS Config, assicurati di abilitare anche AWS Config le regole o di distribuire un pacchetto di conformità per lo standard di conformità correlato al tuo audit. Questa fase garantisce che Gestione audit possa importare i risultati per le regole AWS Config che hai abilitato.

Dopo aver abilitato una AWS Config regola, ti consigliamo di esaminarne i parametri. Quindi, convalida tali parametri in base ai requisiti del framework di conformità prescelto. Se necessario, puoi aggiornare i parametri di una regola in AWS Configper assicurarti che sia in linea con i requisiti del framework. Ciò contribuirà a garantire che le valutazioni raccolgano le prove di verifica della conformità corrette per un determinato framework.

Ad esempio, supponiamo che tu stia creando una valutazione per CIS v1.2.0. Questo framework ha un controllo denominato 1.4: assicurati che le chiavi di accesso vengano ruotate ogni 90 giorni o meno. In AWS Config, la access-keys-rotatedregola ha un maxAccessKeyAge parametro con un valore predefinito di 90 giorni. Di conseguenza, la regola è conforme ai requisiti di controllo. Se non utilizzate il valore predefinito, assicuratevi che il valore che state utilizzando sia uguale o superiore ai 90 giorni richiesti dal CIS v1.2.0.

Puoi trovare i dettagli dei parametri predefiniti per ogni regola gestita nella documentazione AWS Config. Per istruzioni su come configurare una regola, consulta Working with AWS Config Managed Rules.

Abilita e configura AWS Security Hub

Molti controlli in Audit Manager richiedono Security Hub come tipo di origine dati. Per supportare questi controlli, occorre abilitare Security Hub su tutti gli account in ogni regione in cui è abilitato Gestione audit.

Gestione audit non gestisce Security Hub per te. Puoi seguire queste fasi per abilitare Security Hub e configurarne le impostazioni.

Importante

L'attivazione di Security Hub è un consiglio facoltativo. Tuttavia, se abiliti Security Hub, sono necessarie le seguenti impostazioni. Se Audit Manager tenta di raccogliere prove per i controlli che utilizzano Security Hub come tipo di origine dati e Security Hub non è impostato come descritto di seguito, non viene raccolta alcuna prova per tali controlli.

Attività da integrare AWS Security Hub con Audit Manager

• Fase 1: Abilita AWS Security Hub

• Fase 2: configurazione delle impostazioni Security Hub da utilizzare con Gestione audit

• Fase 3: Configurare le impostazioni Organizations per la propria organizzazione

Fase 1: Abilita AWS Security Hub

Puoi abilitare Security Hub utilizzando sia la console che l'API. Per istruzioni, consulta Configurazione di AWS Security Hubnella Guida per l'utente AWS Security Hub .

Fase 2: configurazione delle impostazioni Security Hub da utilizzare con Gestione audit

Dopo aver abilitato Security Hub, assicurati di eseguire anche la seguente procedura:

• Abilita AWS Config e configura la registrazione delle risorse: Security Hub utilizza AWS Config regole collegate ai servizi per eseguire la maggior parte dei controlli di sicurezza. Per supportare questi controlli, AWS Config deve essere abilitato e configurato per registrare le risorse necessarie per i controlli abilitati in ogni standard abilitato.

• Abilita tutti gli standard di sicurezza: questo passaggio garantisce che Audit Manager possa importare i risultati per tutti gli standard di conformità supportati.

• Attiva l'impostazione dei risultati del controllo consolidato nel Security Hub: questa impostazione è attivata per impostazione predefinita se abiliti Security Hub a partire dal 23 febbraio 2023.

  Nota

  Quando abiliti i risultati consolidati, Security Hub produce un singolo risultato per ogni controllo di sicurezza (anche quando lo stesso controllo viene utilizzato su più standard). Ogni risultato Security Hub viene raccolto come un'unica valutazione delle risorse in Gestione audit. Di conseguenza, i risultati consolidati comportano una diminuzione delle valutazioni totali delle risorse uniche eseguite da Gestione audit per i risultati Security Hub. Per tale motivo, l'utilizzo di risultati consolidati può spesso portare a una riduzione dei costi di utilizzo di Gestione audit. Per ulteriori informazioni sull'utilizzo Security Hub come tipo di origine dati, consulta AWS Security Hub controlli supportati da AWS Audit Manager. Per ulteriori informazioni sui prezzi di Gestione audit, consulta Prezzi di AWS Audit Manager.

Fase 3: Configurare le impostazioni Organizations per la propria organizzazione

Se utilizzi AWS Organizations e desideri raccogliere prove di Security Hub dagli account dei tuoi membri, devi anche eseguire i seguenti passaggi in Security Hub.

Per configurare le impostazioni Security Hub

1. Accedi a AWS Management Console e apri la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

2. Utilizzando il tuo account di AWS Organizations gestione, designa un account come amministratore delegato per Security Hub. Per ulteriori informazioni, consulta Designazione di un account amministratore Security Hub nella Guida per l'utente di AWS Security Hub .

   Nota

   Assicurati che l'account amministratore delegato che designi nel Security Hub sia lo stesso che utilizzi in Gestione audit.

3. Utilizzando il tuo account amministratore delegato Organizations, vai a Impostazioni, Account, seleziona tutti gli account, quindi aggiungili come membri selezionando Registrazione automatica. Per maggiori informazioni, consulta Abilitazione di un account membro nell'organizzazione nella Guida per l'utente di AWS Security Hub .

4. Abilita AWS Config per ogni account membro dell'organizzazione. Per maggiori informazioni, consulta Abilitazione di un account membro nell'organizzazione nella Guida per l'utente di AWS Security Hub .

5. Abilita lo standard di sicurezza PCI DSS per ogni account membro dell'organizzazione. Lo standard AWS CIS Foundations Benchmark e lo standard AWS Foundational Best Practices sono già abilitati per impostazione predefinita. Per ulteriori informazioni, consulta Abilitazione di uno standard di sicurezza nella Guida per l'utente AWS Security Hub .

Abilita e configura AWS Security Hub

Molti controlli in Audit Manager richiedono Security Hub come tipo di origine dati. Per supportare questi controlli, occorre abilitare Security Hub su tutti gli account in ogni regione in cui è abilitato Gestione audit.

Gestione audit non gestisce Security Hub per te. Puoi seguire queste fasi per abilitare Security Hub e configurarne le impostazioni.

Importante

L'attivazione di Security Hub è un consiglio facoltativo. Tuttavia, se abiliti Security Hub, sono necessarie le seguenti impostazioni. Se Audit Manager tenta di raccogliere prove per i controlli che utilizzano Security Hub come tipo di origine dati e Security Hub non è impostato come descritto di seguito, non viene raccolta alcuna prova per tali controlli.

Attività da integrare AWS Security Hub con Audit Manager

• Fase 1: Abilita AWS Security Hub

• Fase 2: configurazione delle impostazioni Security Hub da utilizzare con Gestione audit

• Fase 3: Configurare le impostazioni Organizations per la propria organizzazione

Fase 1: Abilita AWS Security Hub

Puoi abilitare Security Hub utilizzando sia la console che l'API. Per istruzioni, consulta Configurazione di AWS Security Hubnella Guida per l'utente AWS Security Hub .

Fase 2: configurazione delle impostazioni Security Hub da utilizzare con Gestione audit

Dopo aver abilitato Security Hub, assicurati di eseguire anche la seguente procedura:

• Abilita AWS Config e configura la registrazione delle risorse: Security Hub utilizza AWS Config regole collegate ai servizi per eseguire la maggior parte dei controlli di sicurezza. Per supportare questi controlli, AWS Config deve essere abilitato e configurato per registrare le risorse necessarie per i controlli abilitati in ogni standard abilitato.

• Abilita tutti gli standard di sicurezza: questo passaggio garantisce che Audit Manager possa importare i risultati per tutti gli standard di conformità supportati.

• Attiva l'impostazione dei risultati del controllo consolidato nel Security Hub: questa impostazione è attivata per impostazione predefinita se abiliti Security Hub a partire dal 23 febbraio 2023.

  Nota

  Quando abiliti i risultati consolidati, Security Hub produce un singolo risultato per ogni controllo di sicurezza (anche quando lo stesso controllo viene utilizzato su più standard). Ogni risultato Security Hub viene raccolto come un'unica valutazione delle risorse in Gestione audit. Di conseguenza, i risultati consolidati comportano una diminuzione delle valutazioni totali delle risorse uniche eseguite da Gestione audit per i risultati Security Hub. Per tale motivo, l'utilizzo di risultati consolidati può spesso portare a una riduzione dei costi di utilizzo di Gestione audit. Per ulteriori informazioni sull'utilizzo Security Hub come tipo di origine dati, consulta AWS Security Hub controlli supportati da AWS Audit Manager. Per ulteriori informazioni sui prezzi di Gestione audit, consulta Prezzi di AWS Audit Manager.

Fase 3: Configurare le impostazioni Organizations per la propria organizzazione

Se utilizzi AWS Organizations e desideri raccogliere prove di Security Hub dagli account dei tuoi membri, devi anche eseguire i seguenti passaggi in Security Hub.

Per configurare le impostazioni Security Hub

1. Accedi a AWS Management Console e apri la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

2. Utilizzando il tuo account di AWS Organizations gestione, designa un account come amministratore delegato per Security Hub. Per ulteriori informazioni, consulta Designazione di un account amministratore Security Hub nella Guida per l'utente di AWS Security Hub .

   Nota

   Assicurati che l'account amministratore delegato che designi nel Security Hub sia lo stesso che utilizzi in Gestione audit.

3. Utilizzando il tuo account amministratore delegato Organizations, vai a Impostazioni, Account, seleziona tutti gli account, quindi aggiungili come membri selezionando Registrazione automatica. Per maggiori informazioni, consulta Abilitazione di un account membro nell'organizzazione nella Guida per l'utente di AWS Security Hub .

4. Abilita AWS Config per ogni account membro dell'organizzazione. Per maggiori informazioni, consulta Abilitazione di un account membro nell'organizzazione nella Guida per l'utente di AWS Security Hub .

5. Abilita lo standard di sicurezza PCI DSS per ogni account membro dell'organizzazione. Lo standard AWS CIS Foundations Benchmark e lo standard AWS Foundational Best Practices sono già abilitati per impostazione predefinita. Per ulteriori informazioni, consulta Abilitazione di uno standard di sicurezza nella Guida per l'utente AWS Security Hub .

Abilita e configura AWS Organizations

Audit Manager supporta più account tramite l'integrazione con AWS Organizations. Gestione audit può eseguire le valutazioni su più account e consolidare le prove in un account amministratore delegato. L'amministratore delegato dispone delle autorizzazioni per creare e gestire le risorse Gestione audit con l'organizzazione come zona di attendibilità. Solo l'account di gestione può designare un amministratore delegato.

Importante

L'abilitazione AWS Organizations è una raccomandazione facoltativa. Tuttavia, se si abilita AWS Organizations, sono necessarie le seguenti impostazioni.

Attività da integrare AWS Organizations con Audit Manager

• Fase 1: Creazione o adesione a un'organizzazione

• Fase 2: abilitazione di tutte le caratteristiche nell'organizzazione

• Fase 3: specificare un amministratore delegato per Gestione audit

Fase 1: Creazione o adesione a un'organizzazione

Se Account AWS non fai parte di un'organizzazione, puoi creare o entrare a far parte di un'organizzazione. Per istruzioni, consulta Creazione e configurazione di un'organizzazione nella Guida per l'utente di AWS Organizations .

Fase 2: abilitazione di tutte le caratteristiche nell'organizzazione

Quindi, abilita tutte le funzionalità nell'organizzazione. Per le istruzioni, consulta la sezione Abilitazione di tutte le funzionalità nell'organizzazione nella Guida per l'utente di AWS Organizations .

Fase 3: specificare un amministratore delegato per Gestione audit

Si consiglia di abilitare Gestione audit utilizzando un account di gestione Organizations e quindi di specificare un amministratore delegato. Successivamente, è possibile utilizzare l'account amministratore delegato per accedere ed eseguire le valutazioni. Come best practice, consigliamo di creare valutazioni solo utilizzando l'account amministratore delegato anziché l'account di gestione.

Per aggiungere o modificare un amministratore delegato dopo aver abilitato Audit Manager, vedere Aggiungere un amministratore delegato eModifica di un amministratore delegato.

Abilita e configura AWS Organizations

Audit Manager supporta più account tramite l'integrazione con AWS Organizations. Gestione audit può eseguire le valutazioni su più account e consolidare le prove in un account amministratore delegato. L'amministratore delegato dispone delle autorizzazioni per creare e gestire le risorse Gestione audit con l'organizzazione come zona di attendibilità. Solo l'account di gestione può designare un amministratore delegato.

Importante

L'abilitazione AWS Organizations è una raccomandazione facoltativa. Tuttavia, se si abilita AWS Organizations, sono necessarie le seguenti impostazioni.

Attività da integrare AWS Organizations con Audit Manager

• Fase 1: Creazione o adesione a un'organizzazione

• Fase 2: abilitazione di tutte le caratteristiche nell'organizzazione

• Fase 3: specificare un amministratore delegato per Gestione audit

Fase 1: Creazione o adesione a un'organizzazione

Se Account AWS non fai parte di un'organizzazione, puoi creare o entrare a far parte di un'organizzazione. Per istruzioni, consulta Creazione e configurazione di un'organizzazione nella Guida per l'utente di AWS Organizations .

Fase 2: abilitazione di tutte le caratteristiche nell'organizzazione

Quindi, abilita tutte le funzionalità nell'organizzazione. Per le istruzioni, consulta la sezione Abilitazione di tutte le funzionalità nell'organizzazione nella Guida per l'utente di AWS Organizations .

Fase 3: specificare un amministratore delegato per Gestione audit

Si consiglia di abilitare Gestione audit utilizzando un account di gestione Organizations e quindi di specificare un amministratore delegato. Successivamente, è possibile utilizzare l'account amministratore delegato per accedere ed eseguire le valutazioni. Come best practice, consigliamo di creare valutazioni solo utilizzando l'account amministratore delegato anziché l'account di gestione.

Per aggiungere o modificare un amministratore delegato dopo aver abilitato Audit Manager, vedere Aggiungere un amministratore delegato eModifica di un amministratore delegato.

Passaggi successivi

Ora che hai configurato Audit Manager con le impostazioni consigliate, sei pronto per iniziare a utilizzare il servizio.

• Per iniziare con la prima valutazione, consultaTutorial per i proprietari degli audit: creazione di una valutazione.

• Per aggiornare le impostazioni in futuro, consultaRevisione e configurazione delle impostazioni AWS Audit Manager.