Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Siapkan program manajemen kerentanan yang dapat diskalakan
Mempersiapkan untuk membangun program manajemen kerentanan yang dapat diskalakan melibatkan mendidik orang, mengembangkan proses, dan menerapkan teknologi yang tepat sesuai dengan praktik terbaik. Orang, proses, dan teknologi sama pentingnya untuk program manajemen kerentanan yang efektif, dan Anda harus mengintegrasikannya dengan erat untuk mengelola kerentanan dalam skala besar.
Bagian panduan ini mengulas tindakan dasar yang dapat Anda ambil untuk mempersiapkan program manajemen kerentanan yang dapat diskalakan. AWS
**Topics**
+ [Tentukan rencana manajemen kerentanan](vulnerability-management-plan.md)
+ [Mendistribusikan kepemilikan keamanan](distribute-ownership.md)
+ [Mengembangkan program pengungkapan kerentanan](disclosure-program.md)
+ [Persiapkan AWS lingkungan Anda](prepare-environment.md)
+ [Pantau buletin AWS keamanan](monitor-aws-security-bulletins.md)
+ [Konfigurasikan layanan AWS keamanan](configure-aws-security-services.md)
+ [Bersiaplah untuk menetapkan temuan keamanan](prepare-finding-assignments.md)
# Tentukan rencana manajemen kerentanan
Langkah pertama saat menyiapkan program manajemen kerentanan cloud Anda adalah menentukan rencana manajemen *kerentanan* Anda. Rencana ini mencakup kebijakan dan proses yang diikuti organisasi Anda. Rencana ini harus didokumentasikan dan dapat diakses oleh semua pemangku kepentingan. Rencana manajemen kerentanan adalah dokumen tingkat tinggi yang biasanya mencakup bagian-bagian berikut:
+ **Tujuan dan ruang lingkup** - Garis besar tujuan, fungsi, dan ruang lingkup manajemen kerentanan.
+ **Peran dan tanggung jawab** - Buat daftar pemangku kepentingan manajemen kerentanan dan detail tanggung jawab mereka.
+ **Tingkat keparahan kerentanan dan definisi prioritas** — Tentukan cara mengklasifikasikan tingkat keparahan kerentanan dan cara memprioritaskannya.
+ **Perjanjian tingkat layanan (SLAs)** **untuk remediasi** — Untuk setiap tingkat keparahan, tentukan jumlah waktu maksimum yang dimiliki pemilik remediasi untuk menyelesaikan temuan keamanan. Karena kepatuhan SLA merupakan bagian integral dari memiliki program manajemen kerentanan yang efektif dan terukur, pertimbangkan cara melacak apakah Anda memenuhi ini. SLAs
+ **Proses pengecualian** - Detail proses pengiriman, persetujuan, dan pembaruan pengecualian. Proses ini harus memastikan bahwa pengecualian sah, terikat waktu, dan dilacak.
+ **Sumber informasi kerentanan** — Daftar sumber atau alat yang menghasilkan temuan keamanan. Untuk informasi lebih lanjut tentang Layanan AWS itu bisa menjadi sumber untuk temuan keamanan, lihat [Konfigurasikan layanan AWS keamanan](configure-aws-security-services.md) di panduan ini.
Meskipun bagian ini umum di seluruh perusahaan dengan ukuran dan industri yang berbeda, rencana manajemen kerentanan masing-masing organisasi adalah unik. Anda perlu membangun rencana manajemen kerentanan yang paling sesuai untuk organisasi Anda. Berharap untuk mengulangi rencana Anda dari waktu ke waktu untuk menggabungkan pelajaran yang dipetik dan teknologi yang berkembang.
# Mendistribusikan kepemilikan keamanan
[Model tanggung jawab AWS bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) mendefinisikan bagaimana AWS dan pelanggannya berbagi tanggung jawab atas keamanan dan kepatuhan cloud. Dalam model ini, AWS mengamankan infrastruktur yang menjalankan semua layanan yang ditawarkan di AWS Cloud, dan AWS pelanggan bertanggung jawab untuk mengamankan data dan aplikasi mereka.
Anda dapat mencerminkan model ini di dalam organisasi Anda dan mendistribusikan tanggung jawab antara cloud dan tim aplikasi Anda. Ini membantu Anda menskalakan program keamanan cloud Anda secara lebih efektif karena tim aplikasi mengambil kepemilikan aspek keamanan tertentu dari aplikasi mereka. Interpretasi paling sederhana dari model tanggung jawab bersama adalah bahwa jika Anda memiliki akses untuk mengonfigurasi sumber daya, maka Anda bertanggung jawab atas keamanan sumber daya itu.
Bagian penting dari mendistribusikan tanggung jawab keamanan kepada tim aplikasi adalah membangun alat keamanan swalayan yang membantu tim aplikasi Anda mengotomatisasi. Awalnya, ini bisa menjadi upaya bersama. Tim keamanan dapat menerjemahkan persyaratan keamanan ke dalam alat pemindaian kode, dan kemudian tim aplikasi dapat menggunakan alat tersebut untuk membangun dan berbagi solusi dengan komunitas pengembang internal mereka. Ini berkontribusi pada efisiensi yang lebih besar di seluruh tim lain yang perlu memenuhi persyaratan keamanan serupa.
Tabel berikut menguraikan langkah-langkah untuk mendistribusikan kepemilikan ke tim aplikasi dan memberikan contoh.
****
| Langkah | Tindakan | Contoh |
| --- | --- | --- |
| 1 | Tentukan persyaratan keamanan Anda — Apa yang ingin Anda capai? Ini mungkin berasal dari standar keamanan atau persyaratan kepatuhan. | Contoh persyaratan keamanan adalah akses hak istimewa terkecil untuk identitas aplikasi. |
| 2 | Menghitung kontrol untuk persyaratan keamanan — Apa arti persyaratan ini sebenarnya dari perspektif kontrol? Apa yang harus saya lakukan untuk mencapai ini? | Untuk mencapai hak istimewa terkecil untuk identitas aplikasi, berikut ini adalah dua kontrol sampel:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/vulnerability-management/distribute-ownership.html) |
| 3 | Panduan dokumen untuk kontrol — Dengan kontrol ini, panduan apa yang dapat Anda berikan kepada pengembang untuk membantu mereka mematuhi kontrol? | Awalnya, Anda dapat memulai dengan mendokumentasikan kebijakan contoh sederhana, termasuk kebijakan IAM yang aman dan tidak aman serta kebijakan bucket Amazon Simple Storage Service (Amazon S3). [Selanjutnya, Anda dapat menyematkan solusi pemindaian kebijakan dalam pipeline integrasi berkelanjutan dan pengiriman berkelanjutan (CI/CD), seperti menggunakan aturan untuk evaluasi proaktif.AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html) |
| 4 | Kembangkan artefak yang dapat digunakan kembali — Dengan panduan ini, dapatkah Anda membuatnya lebih mudah dan mengembangkan artefak yang dapat digunakan kembali untuk pengembang? | Anda dapat membuat infrastruktur sebagai kode (IAc) untuk menerapkan kebijakan IAM yang mengikuti prinsip hak istimewa paling rendah. Anda dapat menyimpan artefak yang dapat digunakan kembali ini dalam repositori kode. |
Layanan mandiri mungkin tidak berfungsi untuk semua persyaratan keamanan, tetapi dapat berfungsi untuk skenario standar. Dengan mengikuti langkah-langkah ini, organisasi dapat memberdayakan tim aplikasi mereka untuk menangani lebih banyak tanggung jawab keamanan mereka sendiri dengan cara yang terukur. Secara keseluruhan, model tanggung jawab terdistribusi mengarah pada praktik keamanan yang lebih kolaboratif dalam banyak organisasi.
# Mengembangkan program pengungkapan kerentanan
Untuk [defense-in-depth](apg-gloss.md#glossary-defense-in-depth)pendekatan manajemen kerentanan, buat program pengungkapan kerentanan sehingga orang di dalam atau di luar organisasi Anda dapat melaporkan kerentanan atau risiko keamanan.
Untuk orang-orang di dalam organisasi Anda, buat proses untuk mengirimkan risiko atau kerentanan. Ini dapat dilakukan melalui sistem tiket atau email. Terlepas dari proses yang Anda pilih, penting bagi karyawan Anda untuk mengetahui prosesnya dan dapat dengan mudah mengirimkan kerentanan atau risiko apa pun yang mereka hadapi.
Untuk orang-orang di luar organisasi Anda, buat halaman web eksternal untuk mengirimkan potensi kerentanan keamanan. Sebagai contoh, lihat halaman web [Pelaporan AWS Kerentanan](https://aws.amazon.com/security/vulnerability-reporting/). Halaman web ini juga harus berisi pedoman pengungkapan untuk membantu melindungi data dan aset organisasi Anda. Program pengungkapan kerentanan seharusnya tidak mendorong aktivitas yang berpotensi berbahaya, jadi penting bagi Anda untuk memiliki kebijakan yang jelas dengan pedoman. Membangun program pengungkapan yang matang dan bertanggung jawab adalah tujuan yang harus diperjuangkan saat Anda mematangkan program Anda. Sebagian besar tidak memulai dengan program pengungkapan eksternal, dan butuh waktu untuk melakukannya dengan benar.
# Persiapkan AWS lingkungan Anda
Sebelum menerapkan alat manajemen kerentanan apa pun, pastikan AWS lingkungan Anda dirancang untuk mendukung program manajemen kerentanan yang dapat diskalakan. Struktur kebijakan penandaan Anda Akun AWS dan organisasi Anda dapat menyederhanakan proses membangun program manajemen kerentanan yang dapat diskalakan.
## Kembangkan Akun AWS struktur
[AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)membantu mengelola dan mengatur AWS lingkungan secara terpusat saat bisnis Anda tumbuh dan meningkatkan sumber dayanya AWS . Sebuah *organisasi* dalam AWS Organizations mengkonsolidasikan Anda Akun AWS ke dalam kelompok logis, atau *unit organisasi*, sehingga Anda dapat mengelolanya sebagai satu unit. Anda mengelola AWS Organizations dari akun khusus, yang disebut *akun manajemen*. Untuk informasi lebih lanjut, lihat [AWS Organizations terminologi dan konsep](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html).
Kami menyarankan Anda mengelola lingkungan AWS multi-akun Anda di AWS Organizations. Ini membantu membuat inventaris lengkap akun dan sumber daya perusahaan Anda. Inventaris aset lengkap ini merupakan aspek penting dari manajemen kerentanan. Tim aplikasi tidak boleh menggunakan akun yang berada di luar organisasi.
[AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)membantu Anda mengatur dan mengatur lingkungan AWS multi-akun, mengikuti praktik terbaik preskriptif. Jika Anda belum membangun lingkungan multi-akun, AWS Control Tower adalah titik awal yang baik.
Sebaiknya gunakan [struktur akun khusus](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/dedicated-accounts.html) dan praktik terbaik yang dijelaskan dalam [Arsitektur Referensi AWS Keamanan (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/). [Akun Alat Keamanan](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html) harus berfungsi sebagai administrator yang didelegasikan untuk layanan keamanan Anda. Informasi lebih lanjut tentang mengonfigurasi alat manajemen kerentanan Anda di akun ini disediakan nanti dalam panduan ini. Host aplikasi di akun khusus di [unit organisasi Beban Kerja (OU)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/application.html). Ini menetapkan isolasi tingkat beban kerja yang kuat dan batasan keamanan eksplisit untuk setiap aplikasi. Untuk informasi tentang prinsip desain dan manfaat menggunakan pendekatan multi-akun, lihat [Mengatur AWS Lingkungan Anda Menggunakan Beberapa Akun](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/benefits-of-using-multiple-aws-accounts.html) (AWS whitepaper).
Memiliki struktur akun yang disengaja dan mengelola layanan keamanan secara terpusat dari akun khusus adalah aspek penting dari program manajemen kerentanan yang dapat diskalakan.
## Mendefinisikan, menerapkan, dan menegakkan tag
*Tag* adalah pasangan nilai kunci yang bertindak sebagai metadata untuk mengatur sumber daya Anda. AWS Untuk informasi selengkapnya, lihat [Menandai sumber daya AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html). Anda dapat menggunakan tag untuk menyediakan konteks bisnis, seperti unit bisnis, pemilik aplikasi, lingkungan, dan pusat biaya. Tabel berikut menunjukkan satu set tag sampel.
****
| Key | Nilai |
| --- | --- |
| BusinessUnit | HumanResources |
| CostCenter | CC101 |
| ApplicationTeam | HumanResourcesTechnology |
| Lingkungan | Produksi |
Tag dapat membantu Anda memprioritaskan temuan. Misalnya, ini dapat membantu Anda:
+ Identifikasi pemilik sumber daya yang bertanggung jawab untuk menambal kerentanan
+ Lacak aplikasi atau unit bisnis mana yang memiliki banyak temuan
+ Meningkatkan tingkat keparahan temuan untuk klasifikasi data tertentu, seperti data informasi identifikasi pribadi (PII) atau industri kartu pembayaran (PCI)
+ Mengidentifikasi jenis data di lingkungan, seperti data uji di lingkungan pengembangan tingkat rendah atau data produksi
Untuk membantu Anda mencapai penandaan yang efektif dalam skala besar, ikuti petunjuk dalam [Membangun strategi penandaan Anda](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/building-your-tagging-strategy.html) di *Praktik Terbaik untuk AWS Sumber Daya Penandaan* (AWS whitepaper).
# Pantau buletin AWS keamanan
Kami sangat menyarankan untuk memantau [buletin AWS keamanan](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinId&card-body.sort-order=desc&awsf.bulletins-flag=*all&awsf.bulletins-year=*all) secara teratur dan sering. Buletin keamanan dapat memberi tahu Anda tentang kerentanan terkait keamanan baru, layanan yang terpengaruh, dan pembaruan yang berlaku. Anda juga dapat berlangganan [umpan RSS](https://aws.amazon.com/security/security-bulletins/rss/feed/) untuk buletin keamanan dan membangun proses untuk menelan dan menangani buletin ini sebagai bagian dari program manajemen kerentanan Anda.
# Konfigurasikan layanan AWS keamanan
AWS menawarkan berbagai layanan keamanan yang dirancang untuk membantu melindungi AWS lingkungan Anda. Untuk program manajemen kerentanan Anda, kami sarankan Anda mengaktifkan yang berikut Layanan AWS di setiap akun:
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) membantu mendeteksi ancaman aktif di lingkungan Anda. GuardDutyTemuan dapat membantu Anda mengidentifikasi kerentanan yang tidak diketahui yang dieksploitasi di lingkungan Anda. Ini juga dapat membantu Anda memahami efek dari kerentanan yang belum ditambal.
+ [AWS Health](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html)memberikan visibilitas berkelanjutan ke kinerja sumber daya Anda dan ketersediaan akun Anda Layanan AWS .
+ [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)menganalisis kebijakan berbasis sumber daya di AWS lingkungan Anda untuk mengidentifikasi sumber daya yang dibagikan dengan entitas eksternal. Ini dapat membantu Anda mengidentifikasi kerentanan yang terkait dengan akses yang tidak diinginkan ke sumber daya dan data Anda. Untuk setiap instance sumber daya yang dibagikan di luar akun Anda, IAM Access Analyzer menghasilkan temuan.
+ [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) adalah layanan manajemen kerentanan yang terus memindai AWS beban kerja Anda untuk kerentanan perangkat lunak dan paparan jaringan yang tidak diinginkan.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)membantu Anda memeriksa AWS lingkungan Anda terhadap standar industri keamanan dan dapat mengidentifikasi risiko konfigurasi cloud. Ini juga memberikan pandangan komprehensif tentang keadaan AWS keamanan Anda dengan menggabungkan temuan dari layanan AWS keamanan lain dan alat keamanan pihak ketiga.
Bagian ini membahas cara mengaktifkan dan mengonfigurasi Amazon Inspector dan Security Hub CSPM untuk membantu Anda membuat program manajemen kerentanan yang dapat diskalakan.
# Menggunakan Amazon Inspector dalam program manajemen kerentanan Anda
[Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) adalah layanan manajemen kerentanan yang terus-menerus memindai image wadah Amazon Elastic Compute Cloud (Amazon EC2), instans Amazon Elastic Container Registry (Amazon ECR), dan berfungsi untuk kerentanan perangkat lunak dan eksposur jaringan yang tidak diinginkan. AWS Lambda Anda dapat menggunakan Amazon Inspector untuk mendapatkan visibilitas dan memprioritaskan resolusi kerentanan perangkat lunak di seluruh lingkungan Anda. AWS
Amazon Inspector terus menilai lingkungan Anda sepanjang siklus hidup sumber daya Anda. Ini secara otomatis memindai kembali sumber daya sebagai respons terhadap perubahan yang dapat memperkenalkan kerentanan baru. Misalnya, ini memindai ulang saat Anda menginstal paket baru pada instans EC2, saat Anda menginstal tambalan, atau ketika kerentanan dan eksposur umum baru (CVE) yang memengaruhi sumber daya dipublikasikan. Ketika Amazon Inspector mengidentifikasi kerentanan atau jalur jaringan terbuka, Amazon Inspector menghasilkan temuan yang dapat Anda selidiki. Temuan ini memberikan informasi komprehensif tentang kerentanan, termasuk yang berikut:
+ [Skor risiko Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-score.html)
+ [Skor Common Vulnerability Scoring System (CVSS)](https://www.first.org/cvss/calculator/3.1)
+ Sumber daya yang terpengaruh
+ Data intelijen kerentanan tentang CVE dari Amazon,, dan [https://www.recordedfuture.com/](https://www.recordedfuture.com/)
+ Rekomendasi remediasi
Untuk petunjuk cara menyiapkan Amazon Inspector, lihat [Memulai Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/getting_started_tutorial.html). Langkah *Activate Amazon Inspector* dalam tutorial ini menyediakan dua opsi konfigurasi: lingkungan akun mandiri dan lingkungan multi-akun. Sebaiknya gunakan opsi lingkungan multi-akun jika Anda ingin memantau beberapa Akun AWS anggota organisasi. AWS Organizations
Saat menyiapkan Amazon Inspector untuk lingkungan multi-akun, Anda menetapkan akun di organisasi untuk menjadi administrator yang didelegasikan Amazon Inspector. Administrator yang didelegasikan dapat mengelola temuan dan beberapa pengaturan untuk anggota organisasi. Misalnya, administrator yang didelegasikan dapat melihat detail temuan agregat untuk semua akun anggota, mengaktifkan atau menonaktifkan pemindaian untuk akun anggota, dan meninjau sumber daya yang dipindai. AWS SRA merekomendasikan agar Anda membuat [akun Security Tooling](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html) dan menggunakannya sebagai administrator yang didelegasikan Amazon Inspector.
# Menggunakan AWS Security Hub CSPM dalam program manajemen kerentanan Anda
Membangun program manajemen kerentanan yang dapat diskalakan AWS melibatkan pengelolaan perangkat lunak tradisional dan kerentanan jaringan selain risiko konfigurasi cloud. [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)membantu Anda memeriksa AWS lingkungan Anda terhadap standar industri keamanan dan dapat mengidentifikasi risiko konfigurasi cloud. Security Hub CSPM juga memberikan pandangan komprehensif tentang status keamanan Anda AWS dengan menggabungkan temuan keamanan dari layanan keamanan lain dan alat AWS keamanan pihak ketiga.
Di bagian berikut, kami memberikan praktik dan rekomendasi terbaik untuk menyiapkan CSPM Security Hub untuk mendukung program manajemen kerentanan Anda:
+ [Menyiapkan Security Hub CSPM](#setting-up-security-hub)
+ [Mengaktifkan standar CSPM Security Hub](#enabling-security-hub-standards)
+ [Mengelola temuan CSPM Security Hub](#managing-security-hub-findings)
+ [Menggabungkan temuan dari layanan dan alat keamanan lainnya](#aggregating-findings-from-other-security-services-and-tools)
## Menyiapkan Security Hub CSPM
Untuk petunjuk penyiapan, lihat [Menyiapkan AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html). Untuk menggunakan Security Hub CSPM, Anda harus mengaktifkan. [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) Untuk informasi selengkapnya, lihat [Mengaktifkan dan mengonfigurasi AWS Config dalam dokumentasi](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html) CSPM Security Hub.
Jika Anda terintegrasi dengan AWS Organizations, dari akun manajemen organisasi, Anda menetapkan akun untuk menjadi administrator delegasi CSPM Security Hub. Untuk petunjuknya, lihat [Menunjuk administrator yang didelegasikan CSPM Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html#designate-admin-overview). AWS SRA merekomendasikan agar Anda membuat [akun Security Tooling](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html) dan menggunakannya sebagai administrator yang didelegasikan CSPM Security Hub.
Administrator yang didelegasikan secara otomatis memiliki akses untuk mengonfigurasi CSPM Security Hub untuk semua akun anggota di organisasi dan untuk melihat temuan yang terkait dengan akun tersebut. Kami menyarankan Anda mengaktifkan AWS Config Security Hub CSPM di semua Wilayah AWS dan semua Anda. Akun AWS Anda dapat mengonfigurasi CSPM Security Hub untuk secara otomatis memperlakukan akun organisasi baru sebagai akun anggota CSPM Security Hub. Untuk petunjuk, lihat [Mengelola akun anggota milik organisasi](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-accounts-orgs.html).
## Mengaktifkan standar CSPM Security Hub
Security Hub CSPM menghasilkan temuan dengan menjalankan pemeriksaan keamanan otomatis dan berkelanjutan terhadap kontrol *keamanan*. Kontrol dikaitkan dengan satu atau lebih *standar keamanan*. Kontrol membantu Anda menentukan apakah persyaratan dalam suatu standar terpenuhi.
Ketika Anda mengaktifkan standar di Security Hub CSPM, Security Hub CSPM secara otomatis mengaktifkan kontrol yang berlaku untuk standar. Security Hub CSPM menggunakan AWS Config [aturan](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) untuk melakukan sebagian besar pemeriksaan keamanannya untuk kontrol. Anda dapat mengaktifkan atau menonaktifkan standar CSPM Security Hub kapan saja. Untuk informasi selengkapnya, lihat [Kontrol dan standar keamanan di AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards.html). Untuk daftar lengkap standar, lihat Referensi standar [CSPM Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-reference.html).
Jika organisasi Anda belum memiliki standar keamanan pilihan, sebaiknya gunakan standar [AWS Foundational Security Best Practices (FSBP)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html). Standar ini dirancang untuk mendeteksi kapan Akun AWS dan sumber daya menyimpang dari praktik terbaik keamanan. AWS mengkurasi standar ini dan memperbaruinya secara teratur untuk mencakup fitur dan layanan baru. Setelah memuji temuan FSBP, pertimbangkan untuk mengaktifkan standar lain.
## Mengelola temuan CSPM Security Hub
Security Hub CSPM menyediakan beberapa fitur yang membantu Anda mengatasi sejumlah besar temuan dari seluruh organisasi Anda dan memahami keadaan keamanan lingkungan Anda AWS . Untuk membantu Anda mengelola temuan, sebaiknya aktifkan dua fitur CSPM Security Hub berikut:
+ Gunakan [agregasi lintas wilayah](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) untuk mengumpulkan temuan, menemukan pembaruan, wawasan, mengontrol status kepatuhan, dan skor keamanan dari beberapa Wilayah AWS ke satu Wilayah agregasi.
+ Gunakan [temuan kontrol terkonsolidasi](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings) untuk mengurangi kebisingan temuan dengan menghapus temuan duplikat. Ketika temuan kontrol konsolidasi diaktifkan di akun Anda, Security Hub CSPM menghasilkan satu temuan baru atau menemukan pembaruan untuk setiap pemeriksaan keamanan kontrol, bahkan jika kontrol berlaku untuk beberapa standar yang diaktifkan.
## Menggabungkan temuan dari layanan dan alat keamanan lainnya
Selain menghasilkan temuan keamanan, Anda dapat menggunakan Security Hub CSPM untuk mengumpulkan data pencarian dari beberapa Layanan AWS solusi keamanan pihak ketiga yang didukung. Bagian ini berfokus pada pengiriman temuan keamanan ke Security Hub CSPM. Bagian selanjutnya[Bersiaplah untuk menetapkan temuan keamanan](prepare-finding-assignments.md), membahas bagaimana Anda dapat mengintegrasikan Security Hub CSPM dengan produk yang dapat menerima temuan dari Security Hub CSPM.
Ada banyak Layanan AWS, produk pihak ketiga, dan solusi sumber terbuka yang tersedia yang dapat Anda integrasikan dengan Security Hub CSPM. Jika Anda baru memulai, kami sarankan untuk melakukan hal berikut:
1. **Aktifkan terintegrasi Layanan AWS** — Sebagian besar Layanan AWS integrasi yang mengirimkan temuan ke Security Hub CSPM diaktifkan secara otomatis setelah Anda mengaktifkan CSPM Security Hub dan layanan terintegrasi. Untuk program manajemen kerentanan Anda, sebaiknya aktifkan Amazon Inspector, GuardDuty AWS Health Amazon, dan IAM Access Analyzer di setiap akun. Layanan ini secara otomatis mengirimkan temuan mereka ke Security Hub CSPM. Untuk daftar lengkap Layanan AWS integrasi yang didukung, lihat [Layanan AWS yang mengirimkan temuan ke Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-internal-providers.html).
**catatan**
AWS Health mengirimkan temuan ke Security Hub CSPM jika salah satu dari kondisi berikut terpenuhi:
Temuan ini terkait dengan layanan AWS keamanan
**Typecode** temuan berisi kata-kata`security`,, `abuse` atau `certificate`
AWS Health Layanan pencarian adalah `risk` atau `abuse`
1. **Menyiapkan integrasi pihak ketiga** — Untuk daftar integrasi yang saat ini didukung, lihat Integrasi [produk mitra pihak ketiga yang tersedia](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html). Pilih alat tambahan yang dapat mengirim temuan ke atau menerima temuan dari Security Hub CSPM. Anda mungkin sudah memiliki beberapa alat pihak ketiga ini. Ikuti petunjuk produk untuk mengonfigurasi integrasi dengan Security Hub CSPM.
# Bersiaplah untuk menetapkan temuan keamanan
Di bagian ini, Anda menyiapkan alat yang digunakan tim Anda untuk mengelola dan menetapkan temuan keamanan. Bagian ini mencakup opsi berikut:
+ [Kelola temuan di alat dan alur kerja yang ada](existing-tools.md)— Opsi ini terintegrasi AWS Security Hub CSPM dengan sistem yang ada yang digunakan tim Anda untuk mengelola tugas sehari-hari mereka, seperti backlog produk. Opsi ini direkomendasikan untuk tim yang telah membuat alat untuk mengelola alur kerja mereka.
+ [Mengelola temuan di Security Hub CSPM](manage-findings-in-security-hub.md)— Opsi ini mengonfigurasi pemberitahuan untuk peristiwa CSPM Security Hub sehingga tim yang sesuai menerima peringatan dan dapat mengatasi temuan di Security Hub CSPM.
Tentukan alur kerja mana yang paling cocok untuk tim Anda, dan pastikan bahwa temuan keamanan dapat membuatnya segera kepada pemiliknya masing-masing.
# Kelola temuan di alat dan alur kerja yang ada
Kami merekomendasikan integrasi CSPM Security Hub tambahan untuk organisasi perusahaan yang telah menetapkan alat yang digunakan tim untuk mengelola atau melakukan tugas sehari-hari mereka. Anda dapat mengimpor data pencarian CSPM Security Hub ke beberapa platform teknologi. Contohnya termasuk:
+ [Sistem informasi keamanan dan manajemen acara (SIEM)](apg-gloss.md#glossary-siem) membantu tim keamanan melakukan triase peristiwa keamanan operasional. Sistem SIEM menyediakan analisis real-time dari peringatan keamanan yang dihasilkan oleh aplikasi dan perangkat keras jaringan.
+ Sistem [tata kelola, risiko, dan kepatuhan (GRC)](https://aws.amazon.com/what-is/grc/) membantu tim kepatuhan dan tata kelola memantau dan melaporkan data manajemen risiko. Alat GRC adalah aplikasi perangkat lunak yang dapat digunakan bisnis untuk mengelola kebijakan, menilai risiko, mengontrol akses pengguna, dan merampingkan kepatuhan. Anda dapat menggunakan alat GRC untuk mengintegrasikan proses bisnis, mengurangi biaya, dan meningkatkan efisiensi.
+ Sistem backlog dan tiket produk membantu tim aplikasi dan cloud mengelola fitur dan memprioritaskan tugas pengembangan. [https://www.atlassian.com/software/jira](https://www.atlassian.com/software/jira)dan [https://learn.microsoft.com/en-us/azure/devops/user-guide/what-is-azure-devops](https://learn.microsoft.com/en-us/azure/devops/user-guide/what-is-azure-devops)merupakan contoh dari sistem ini.
Mengintegrasikan temuan CSPM Security Hub secara langsung dengan sistem perusahaan yang ada ini dapat meningkatkan mean time to recovery (MTTR) dan hasil keamanan karena alur kerja operasional harian tidak harus berubah. Tim dapat merespons dan belajar dari temuan keamanan lebih cepat karena mereka tidak harus menggunakan alur kerja dan alat yang terpisah. Integrasi menjadikan pengalamatan temuan keamanan sebagai bagian dari alur kerja standar yang normal.
Security Hub CSPM terintegrasi dengan beberapa produk mitra pihak ketiga. Untuk daftar lengkap dan petunjuk, lihat [Integrasi produk mitra pihak ketiga yang tersedia di dokumentasi](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html) CSPM Security Hub. Integrasi umum termasuk [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-atlassian-jira-service-management](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-atlassian-jira-service-management), [terintegrasi dua arah AWS Security Hub CSPM dengan Jira perangkat lunak](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/bidirectionally-integrate-aws-security-hub-with-jira-software.html), dan. [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-servicenow-itsm](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-servicenow-itsm) Diagram berikut menunjukkan bagaimana Anda dapat mengonfigurasi Amazon Inspector untuk mengirim temuan ke Security Hub CSPM dan kemudian mengonfigurasi CSPM Security Hub untuk mengirim semua temuan. Jira
![\[Kirim Amazon Inspector dan AWS Security Hub CSPM temuannya ke Jira\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/vulnerability-management/images/jira-integration-security-hub.png)
# Mengelola temuan di Security Hub CSPM
Anda dapat membuat sistem notifikasi berbasis cloud untuk temuan CSPM Security Hub dengan menggunakan [aturan](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) Amazon EventBridge dan topik Simple Notification Service Amazon (Amazon SNS). Sistem ini memberi tahu tim yang sesuai tentang temuan saat dibuat. Untuk pendekatan ini, strategi multi-akun yang dijelaskan dalam [Kembangkan Akun AWS struktur](prepare-environment.md#account-structure) sangat penting karena aplikasi dipisahkan menjadi akun khusus. Ini membantu Anda memberi tahu tim yang tepat untuk setiap temuan.
Tim keamanan atau cloud mungkin memilih untuk menerima acara dari semua Akun AWS. Dalam hal ini, buat EventBridge aturan dalam akun administrator yang didelegasikan CSPM Security Hub dan berlangganan topik Amazon SNS yang memberi tahu tim ini. Untuk tim aplikasi, konfigurasikan EventBridge aturan dan topik SNS dalam akun aplikasi masing-masing. Ketika temuan CSPM Security Hub terjadi dalam akun aplikasi, tim yang bertanggung jawab akan diberitahu tentang temuan tersebut.
Security Hub CSPM telah secara otomatis mengirimkan semua temuan baru dan semua pembaruan temuan yang ada ke Temuan **CSPM EventBridge Security Hub** - Peristiwa yang diimpor. Setiap Temuan **CSPM Security Hub - Acara yang diimpor berisi satu temuan**. Anda dapat menerapkan filter pada EventBridge aturan sehingga temuan memulai aturan hanya jika temuan cocok dengan filter. Untuk petunjuk, lihat [Mengonfigurasi EventBridge aturan untuk temuan yang dikirim secara otomatis](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cwe-all-findings.html). Untuk informasi selengkapnya tentang membuat dan berlangganan topik Amazon SNS, [lihat Mengonfigurasi Amazon](https://docs.aws.amazon.com/sns/latest/dg/sns-configuring.html) SNS.
Pertimbangkan hal berikut saat menggunakan pendekatan ini:
+ Untuk tim aplikasi, buat EventBridge aturan di masing-masing Akun AWS dan Wilayah AWS di mana aplikasi di-host.
+ Untuk tim keamanan dan cloud, buat EventBridge aturan di akun administrator yang didelegasikan CSPM Security Hub. Ini memberi tahu tim tentang semua temuan di akun anggota.
+ Amazon SNS mengirimkan pemberitahuan setiap hari jika status temuan keamanan adalah. `NEW` Jika Anda ingin mematikan notifikasi harian, Anda dapat membuat AWS Lambda fungsi khusus yang mengubah status temuan dari `NEW` menjadi `NOTIFIED` setelah pelanggan Amazon SNS menerima notifikasi.