Habilitar o Security Hub - AWSSecurity Hub
Habilitar o Security Hub para uma AWS organizaçãoHabilitação do Security Hub em uma conta autônoma

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitar o Security Hub

É possível habilitar o Security Hub para qualquer Conta da AWS. Esta seção da documentação descreve todas as etapas necessárias para habilitar o Security Hub para uma AWS organização ou uma conta independente.

Habilitar o Security Hub para uma AWS organização

Esta seção inclui três etapas:

  • Na Etapa 1, a conta de gerenciamento AWS da organização designa um administrador delegado para sua AWS organização, cria a política de administrador delegado e, opcionalmente, ativa o Security Hub para sua própria conta.

  • Na Etapa 2, o administrador delegado da organização habilita o Security Hub para sua própria conta.

  • Na Etapa 3, o administrador delegado da organização configura todas as contas dos membros na organização, para o Security Hub e outros serviços de segurança compatíveis.

Etapa 1. Delegar uma conta de administrador e, opcionalmente, habilitar o Security Hub na conta de gerenciamento da AWS organização

nota

Essa etapa só precisa ser concluída em uma região da conta de gerenciamento da organização.

Ao atribuir a conta de administrador delegado para o Security Hub, a conta que você pode escolher para seu administrador delegado dependerá de como você configurou um administrador delegado para o CSPM do Security Hub. Se você configurou um administrador delegado para o CSPM do Security Hub e essa conta não é a conta de gerenciamento da organização, essa conta será automaticamente definida como administrador delegado do Security Hub e uma conta diferente não poderá ser escolhida. Se a conta de administrador delegado do CSPM do Security Hub estiver definida como a conta de gerenciamento da organização ou não estiver definida, você poderá escolher qual conta será sua conta de administrador delegado do Security Hub, exceto a conta de gerenciamento da organização.

Para obter informações sobre como designar um administrador delegado no Security Hub, consulte Designação de uma conta de administrador delegado no Security Hub. Para obter informações sobre como criar a política de administrador delegado no Security Hub, consulte Criação da política de administrador delegado no Security Hub.

Para designar um administrador para o Security Hub

  1. Faça login na sua AWS conta com as credenciais da conta de gerenciamento da AWS organização. Abra o console do Security Hub em https://console.aws.amazon.com/securityhub/v2/home.

  2. Na página inicial do Security Hub, selecione Security Hub e escolha Começar.

  3. Na seção Administrador delegado, escolha uma conta de administrador com base nas opções fornecidas. Como prática recomendada, sugerimos que você use o mesmo administrador delegado em todos os serviços de segurança para uma governança consistente.

  4. Escolha a caixa de seleção Acesso confiável. A escolha dessa opção concede à sua conta de administrador delegado a capacidade de configurar determinados recursos, como a Proteção contra GuardDuty Malware, nas contas dos membros. Se você desmarcar essa opção, o Security Hub não poderá habilitar esses recursos em seu nome e você precisará ativá-los diretamente por meio do serviço ao qual o recurso está associado.

  5. (Opcional) Em Ativação da conta, selecione a caixa para ativar o Security Hub para sua AWS conta.

  6. Para Política de administrador delegado, escolha uma das opções a seguir para adicionar a declaração de política.

    1. (Opção 1) Escolha Atualizar isso para mim. Selecione a caixa abaixo da declaração de política para confirmar que o Security Hub criará automaticamente uma política de delegação concedendo todas as permissões necessárias ao administrador delegado.

    2. (Opção 2) Escolha Quero anexar isso manualmente. Escolha Copiar e anexar. No AWS Organizations console, em Administrador delegado para AWS Organizations, escolha Delegar e cole a política de recursos no editor de política de delegação. Escolha Create Policy. Abra a guia em que você está no console do Security Hub.

  7. Selecione Configurar.

Etapa 2. Habilitação do Security Hub na conta de administrador delegado

A conta de administrador delegado conclui essa etapa. Depois que a conta de gerenciamento AWS da organização designa um administrador delegado para sua organização, o administrador delegado deve habilitar o Security Hub para sua própria conta antes de habilitar para toda a organização. AWS

Para habilitar o Security Hub na conta de administrador delegado

  1. Faça login na sua AWS conta com suas credenciais de administrador delegado. Abra o console do Security Hub em https://console.aws.amazon.com/securityhub/v2/home.

  2. Na página inicial do Security Hub, escolha Começar.

  3. A seção de recursos de segurança descreve os recursos que são ativados automaticamente e incluídos no preço base por recurso do Security Hub

  4. (Opcional) Em Tags, determine se deseja adicionar um par de chave-valor à configuração da conta.

  5. Escolha Ativar o Security Hub para concluir a ativação do Security Hub.

  6. (Recomendado) no pop-up, escolha Configurar minha organização e vá para a Etapa 3.

Depois de habilitar o Security Hub, uma função vinculada ao serviço chamada AWSServiceRoleForSecurityHubV2 e um gravador vinculado ao serviço são criados na sua conta. O gravador vinculado ao serviço é um tipo de AWS Config gravador gerenciado por um AWS serviço que pode registrar dados de configuração em recursos específicos do serviço. Com um gravador vinculado ao serviço, o Security Hub permite uma abordagem orientada por eventos para obter os itens de configuração de recursos necessários para cobertura de análise de exposição e geração de relatórios de inventário de recursos. Um gravador vinculado ao serviço é configurado por e. Conta da AWS Região da AWS Para tipos de recursos globais, um gravador adicional vinculado ao serviço é criado automaticamente na região de origem para registrar as alterações de configuração dos recursos globais, pois registra AWS Config somente os tipos de recursos globais na região de origem designada. Para obter mais informações, consulte Considerações sobre gravadores de configuração vinculados a serviços e recursos regionais e globais de gravação.

Etapa 3. Crie uma política que habilite o Security Hub em todas as contas de membros

Depois de habilitar o Security Hub na conta de administrador delegado de uma organização, você precisa criar uma política que defina quais serviços e recursos estão habilitados nas contas dos membros da organização. Para obter mais informações, consulte Habilitando uma configuração com um tipo de política.

Habilitação do Security Hub em uma conta autônoma

Esse procedimento descreve como habilitar o Security Hub em uma conta autônoma. Uma conta autônoma é Conta da AWS aquela que não habilitou AWS organizações.

Para habilitar o Security Hub em uma conta autônoma

  1. Faça login na sua AWS conta com as credenciais da sua conta. Abra o console do Security Hub em https://console.aws.amazon.com/securityhub/v2/home.

  2. Na página inicial do Security Hub, selecione Começar.

  3. Na seção Capacidades de segurança, faça o seguinte:

    1. (Opção 1) Escolha Ativar todos os recursos. Isso ativará todos os recursos essenciais do Security Hub, a análise de ameaças e recursos adicionais.

    2. (Opção 2) Escolha Personalizar recursos. Selecione a análise de ameaças e os recursos adicionais que devem ser ativados. Você não pode desmarcar nenhum recurso que faça parte dos recursos essenciais do plano do Security Hub.

  4. Na seção Regiões, escolha Ativar todas as regiões ou Ativar regiões específicas. Se você escolher Habilitar todas as regiões, poderá determinar se deseja habilitar automaticamente novas regiões. Se você escolher Ativar regiões específicas, deverá escolher quais regiões deseja ativar.

  5. (Opcional) Para tags de recursos, adicione tags como pares de valores-chave para ajudá-lo a identificar facilmente a configuração.

  6. Selecione Enable Security Hub (Habilitar o Security Hub).

Depois de habilitar o Security Hub, uma função vinculada ao serviço chamada AWSServiceRoleForSecurityHubV2 e um gravador vinculado ao serviço são criados na sua conta. O gravador vinculado ao serviço é um tipo de AWS Config gravador gerenciado por um AWS serviço que pode registrar dados de configuração em recursos específicos do serviço. Com um gravador vinculado ao serviço, o Security Hub permite uma abordagem orientada por eventos para obter os itens de configuração de recursos necessários para cobertura de análise de exposição e geração de relatórios de inventário de recursos. Um gravador vinculado ao serviço é configurado por e. Conta da AWS Região da AWS Para tipos de recursos globais, um gravador adicional vinculado ao serviço é criado automaticamente na região de origem para registrar as alterações de configuração dos recursos globais, pois registra AWS Config somente os tipos de recursos globais na região de origem designada. Para obter mais informações, consulte Considerações sobre gravadores de configuração vinculados a serviços e recursos regionais e globais de gravação.