Ativando os recursos recomendados e Serviços da AWS para AWS Audit Manager - AWS Audit Manager
Principais pontos Recursos recomendadosIntegrações recomendadasPróximas etapas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Ativando os recursos recomendados e Serviços da AWS para AWS Audit Manager

Agora que você ativou AWS Audit Manager, é hora de configurar os recursos e integrações recomendados para aproveitar ao máximo o serviço.

Principais pontos

Para uma experiência ideal no Audit Manager, recomendamos que você configure os seguintes atributos e habilite o seguinte Serviços da AWS.

Tarefas

Configurar os atributos recomendados do Audit Manager

Depois de habilitar o Audit Manager, recomendamos que você habilite o atributo de localização de evidências.

Localizador de evidências fornece uma maneira poderosa de pesquisar evidências no Audit Manager. Em vez de navegar em pastas de evidências profundamente aninhadas para encontrar o que está procurando, você pode usar o localizador de evidências para consultar rapidamente suas evidências. Se usar o localizador de evidências como administrador delegado, poderá pesquisar evidências em todas as contas membros da sua organização.

Ao usar uma combinação de filtros e agrupamentos, você pode restringir progressivamente o escopo da sua consulta de pesquisa. Por exemplo, se quiser uma visão de alto nível da integridade do sistema, faça uma pesquisa ampla e filtre por avaliação, intervalo de datas e conformidade de atributos. Se sua meta for remediar um atributo específico, você pode realizar uma pesquisa restrita para direcionar evidências de um controle ou ID de atributo específico. Depois de definir seus filtros, você pode agrupar e visualizar os resultados da correspondentes antes de criar um relatório de avaliação.

Configure integrações recomendadas com outros Serviços da AWS

Para uma experiência ideal no Audit Manager, é altamente recomendável que você habilite o seguinte Serviços da AWS:

  • AWS Organizations — Você pode usar o Organizations para executar avaliações do Audit Manager em várias contas e consolidar evidências em uma conta de administrador delegado.

  • AWS Security Hube AWS Config— Quando você os ativa Serviços da AWS, eles podem ser usados como um tipo de fonte de dados para os controles em suas avaliações do Audit Manager. O Audit Manager pode então relatar os resultados das verificações de conformidade diretamente desses serviços.

Importante

Habilitar AWS Config, Security Hub e Organizations é uma recomendação opcional. No entanto, se você habilitar esses serviços, a configuração a seguir será necessária.

Muitos controles no Audit Manager são usados AWS Config como um tipo de fonte de dados. Para oferecer suporte a esses controles, você deve habilitar AWS Config em todas as contas em cada uma em Região da AWS que o Audit Manager esteja ativado. Se o Audit Manager tentar coletar evidências para controles usados AWS Config como tipo de fonte de dados e as AWS Config regras relacionadas não estiverem habilitadas, nenhuma evidência será coletada para esses controles.

O Audit Manager não AWS Config gerencia para você. Você pode seguir estas etapas para habilitar AWS Config e definir suas configurações.

Importante

Ativar AWS Config é uma recomendação opcional. No entanto, se você habilitar AWS Config, as seguintes configurações serão necessárias.

Tarefas para integrar AWS Config com o Audit Manager

Etapa 1: Ativar AWS Config

Você pode habilitar AWS Config usando o AWS Config console ouAPI. Para obter instruções, consulte Conceitos básicos de AWS Config no Guia do Desenvolvedor do AWS Config .

Etapa 2: Definir suas AWS Config configurações para uso com o Audit Manager

Depois de habilitar AWS Config, certifique-se de também habilitar AWS Config as regras ou implantar um pacote de conformidade para o padrão de conformidade relacionado à sua auditoria. Essa etapa garante que o Audit Manager possa importar descobertas para as regras AWS Config que você habilitou.

Depois de habilitar uma AWS Config regra, recomendamos que você revise os parâmetros dessa regra. Em seguida, você deve validar esses parâmetros em relação aos requisitos do framework de conformidade escolhido. Se necessário, você pode atualizar os parâmetros de uma regra AWS Config para garantir que ela esteja alinhada aos requisitos do framework. Isso ajudará a garantir que suas avaliações coletem as evidências corretas de verificação de conformidade para um determinado framework.

Por exemplo, suponha que você esteja criando uma avaliação para a CIS versão 1.2.0. Esse framework tem um controle chamado 1.4 — Garanta que as chaves de acesso sejam alternadas a cada 90 dias ou menos. Em AWS Config, a access-keys-rotatedregra tem um maxAccessKeyAge parâmetro com um valor padrão de 90 dias. Como resultado, a regra se alinha aos requisitos de controle. Se você não estiver usando o valor padrão, verifique se o valor que você está usando é igual ou maior que o requisito de 90 dias da CIS versão 1.2.0.

Você pode encontrar os detalhes do parâmetro padrão para cada regra gerenciada na documentação AWS Config. Para obter instruções sobre como configurar uma regra, consulte Como trabalhar com regras AWS Config gerenciadas.

Muitos controles no Audit Manager usam o Security Hub como um tipo de fonte de dados. Para oferecer suporte a esses controles, você deve habilitar o Security Hub em todas as contas em cada região onde o Audit Manager estiver habilitado. Se o Audit Manager tentar coletar evidências para controles que usem o Security Hub como um tipo de fonte de dados e os padrões relacionados não estiverem habilitados, nenhuma evidência será coletada para esses controles.

O Audit Manager não gerencia o Security Hub para você. Você pode seguir estas etapas para habilitar o Security Hub e definir suas configurações.

Importante

Habilitar o Security Hub é uma recomendação opcional. No entanto, se habilitar o Security Hub, as seguintes configurações serão necessárias.

Tarefas para integrar AWS Security Hub com o Audit Manager

Etapa 1: Ativar AWS Security Hub

Você pode habilitar o Security Hub usando o console ou API o. Para obter instruções, consulte Configurando AWS Security Hub no Guia do Usuário AWS Security Hub .

Etapa 2: Definir as configurações do Security Hub para uso com o Audit Manager

Depois de habilitar o Security Hub, certifique-se de também fazer o seguinte:

  • Habilitar AWS Config e configurar a gravação de recursos — O Security Hub usa AWS Config regras vinculadas a serviços para realizar a maioria das verificações de segurança dos controles. Para oferecer suporte a esses controles, AWS Config devem estar habilitados e configurados para registrar os recursos necessários para os controles que você ativou em cada padrão habilitado.

  • Habilitar todos os padrões de segurança — Essa etapa garante que o Audit Manager possa importar descobertas para todos os padrões de conformidade compatíveis.

  • Ativar a configuração de descobertas de controle consolidadas no Security Hub - Essa configuração será ativada por padrão se você habilitar o Security Hub em ou após 23 de fevereiro de 2023.

    nota

    Quando você habilita descobertas consolidadas, o Security Hub produz uma única descoberta para cada verificação de segurança (mesmo que a mesma verificação seja usada em vários padrões). Cada descoberta do Security Hub é coletada como uma avaliação de recurso exclusiva no Audit Manager. Como resultado, as descobertas consolidadas resultam em uma diminuição do total de avaliações exclusivas de atributos que o Audit Manager desempenha para as descobertas do Security Hub. Por esse motivo, o uso de descobertas consolidadas geralmente pode resultar em uma redução nos custos de uso do Audit Manager. Para obter mais informações sobre como usar o Security Hub como um tipo de fonte de dados, consulte AWS Security Hub controles suportados por AWS Audit Manager. Para obter mais informações sobre precificação do Audit Manager, consulte Precificação AWS Audit Manager.

Etapa 3: Definir as configurações de Organizations para sua organização

Se você usa AWS Organizations e deseja coletar evidências do Security Hub de suas contas de membros, você também deve executar as seguintes etapas no Security Hub.

Para definir as configurações do Security Hub

  1. Faça login no AWS Management Console e abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

  2. Usando sua conta AWS Organizations de gerenciamento, designe uma conta como administrador delegado do Security Hub. Para obter mais informações, consulte Designando uma conta de administrador do Security Hub no Guia do Usuário AWS Security Hub .

    nota

    Certifique-se de que a conta de administrador delegado designada no Security Hub é a mesma que você usa no Audit Manager.

  3. Usando sua conta de administrador delegado do Organizations, acesse Configurações, Contas, selecione todas as contas e adicione-as como membros selecionando Inscrição automática. Para obter mais informações, consulte Como habilitar contas de membro na sua organização no Guia do usuário AWS Security Hub .

  4. Habilite AWS Config para cada conta de membro da organização. Para obter mais informações, consulte Como habilitar contas de membro na sua organização no Guia do usuário AWS Security Hub .

  5. Ative o padrão de PCI DSS segurança para cada conta de membro da organização. O padrão AWS CIS Foundations Benchmark e o padrão AWS Foundational Best Practices já estão habilitados por padrão. Para obter mais informações, consulte Habilitando um padrão de segurança no Guia do Usuário AWS Security Hub .

O Audit Manager suporta várias contas por meio da integração com AWS Organizations. O Audit Manager pode executar avaliações em várias contas e consolidar evidências em uma conta de administrador delegado. O administrador delegado tem permissões para criar e gerenciar atributos do Audit Manager com a organização como zona de confiança. Somente a conta de gerenciamento pode designar um administrador delegado.

Importante

Ativar AWS Organizations é uma recomendação opcional. No entanto, se você ativar AWS Organizations, as seguintes configurações serão necessárias.

Tarefas para integrar AWS Organizations com o Audit Manager

Etapa 1: criar ou participar de uma organização

Se você Conta da AWS não faz parte de uma organização, você pode criar ou participar de uma organização. Para obter instruções, consulte Criando e gerenciando uma organização no Guia do Usuário AWS Organizations .

Etapa 2: habilitar todos os recursos na sua organização

Em seguida, você deve habilitar todos os recursos da sua organização. Para obter instruções, consulte Habilitando todos os recursos da sua organização no Guia do Usuário AWS Organizations .

Etapa 3: especificar um administrador delegado para o Audit Manager

Recomendamos que habilite o Audit Manager usando uma conta de gerenciamento do Organizations e, em seguida, especifique um administrador delegado. Depois disso, você pode usar a conta de administrador delegado para fazer login e executar avaliações. É uma prática recomendada criar avaliações usando apenas a conta de administrador delegado em vez da conta de gerenciamento.

Para adicionar ou alterar um administrador delegado depois de ativar o Audit Manager, consulte Adicionar um administrador delegado e. Alterando um administrador delegado

Próximas etapas

Agora que você configurou o Audit Manager com as configurações recomendadas, você está pronto para começar a usar o serviço.