As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Ativando os recursos recomendados e Serviços da AWS para AWS Audit Manager
Agora que você ativou AWS Audit Manager, é hora de configurar os recursos e integrações recomendados para aproveitar ao máximo o serviço.
Principais pontos
Para uma experiência ideal no Audit Manager, recomendamos que você configure os seguintes atributos e habilite o seguinte Serviços da AWS.
Tarefas
Configurar os atributos recomendados do Audit Manager
Depois de habilitar o Audit Manager, recomendamos que você habilite o atributo de localização de evidências.
Localizador de evidências fornece uma maneira poderosa de pesquisar evidências no Audit Manager. Em vez de navegar em pastas de evidências profundamente aninhadas para encontrar o que está procurando, você pode usar o localizador de evidências para consultar rapidamente suas evidências. Se usar o localizador de evidências como administrador delegado, poderá pesquisar evidências em todas as contas membros da sua organização.
Ao usar uma combinação de filtros e agrupamentos, você pode restringir progressivamente o escopo da sua consulta de pesquisa. Por exemplo, se quiser uma visão de alto nível da integridade do sistema, faça uma pesquisa ampla e filtre por avaliação, intervalo de datas e conformidade de atributos. Se sua meta for remediar um atributo específico, você pode realizar uma pesquisa restrita para direcionar evidências de um controle ou ID de atributo específico. Depois de definir seus filtros, você pode agrupar e visualizar os resultados da correspondentes antes de criar um relatório de avaliação.
Configure integrações recomendadas com outros Serviços da AWS
Para uma experiência ideal no Audit Manager, é altamente recomendável que você habilite o seguinte Serviços da AWS:
-
AWS Organizations: você pode usar o Organizations para executar avaliações do Audit Manager em várias contas e consolidar evidências em uma conta de administrador delegado.
-
AWS Security Hub CSPMe AWS Config— O Audit Manager confia neles Serviços da AWS como fontes de dados para coleta de evidências. Quando você ativa o AWS Config Security Hub CSPM, o Audit Manager pode operar com toda a sua funcionalidade, coletando evidências abrangentes e relatando com precisão os resultados das verificações de conformidade diretamente desses serviços.
Importante
Se você não habilitar AWS Config e configurar o CSPM do Security Hub, não poderá coletar a evidência pretendida para muitos controles em suas avaliações do Audit Manager. Como resultado, você corre o risco de uma coleta de evidências incompleta ou malsucedida para determinados controles. Mais especificamente:
-
Se o Audit Manager tentar usar AWS Config como fonte de dados de controle, mas as AWS Config regras necessárias não estiverem habilitadas, nenhuma evidência será coletada para esses controles.
-
Da mesma forma, se o Audit Manager tentar usar o CSPM do Security Hub como fonte de dados de controle, mas os padrões necessários não estiverem habilitados no CSPM do Security Hub, nenhuma evidência será coletada para esses controles.
Para mitigar esses riscos e garantir uma coleta abrangente de evidências, siga as etapas nesta página para ativar AWS Config e configurar o CSPM do Security Hub antes de criar suas avaliações do Audit Manager.
Muitos controles no Audit Manager exigem AWS Config um tipo de fonte de dados. Para suportar esses controles, você deve habilitar AWS Config em todas as contas em cada uma em Região da AWS que o Audit Manager esteja ativado.
O Audit Manager não AWS Config gerencia para você. Você pode seguir estas etapas para habilitar AWS Config e definir suas configurações.
Importante
Ativar AWS Config é uma recomendação opcional. No entanto, se você habilitar AWS Config, as seguintes configurações serão necessárias. Se o Audit Manager tentar coletar evidências para controles usados AWS Config como tipo de fonte de dados e não AWS Config estiver configurado conforme descrito abaixo, nenhuma evidência será coletada para esses controles.
Tarefas para integrar AWS Config com o Audit Manager
Etapa 1: ativar AWS Config
Você pode ativar AWS Config usando o AWS Config console ou a API. Para obter instruções, consulte Conceitos básicos de AWS Config no Guia do Desenvolvedor do AWS Config .
Etapa 2: Definir suas AWS Config configurações para uso com o Audit Manager
Depois de habilitar AWS Config, certifique-se de também habilitar AWS Config as regras ou implantar um pacote de conformidade para o padrão de conformidade relacionado à sua auditoria. Essa etapa garante que o Audit Manager possa importar descobertas para as regras do AWS Config que você habilitou.
Depois de habilitar uma AWS Config regra, recomendamos que você revise os parâmetros dessa regra. Em seguida, você deve validar esses parâmetros em relação aos requisitos do framework de conformidade escolhido. Se necessário, você pode atualizar os parâmetros de uma regra do AWS Config para garantir que ela esteja alinhada aos requisitos do framework. Isso ajudará a garantir que suas avaliações coletem as evidências corretas de verificação de conformidade para um determinado framework.
Por exemplo, suponha que você esteja criando uma avaliação para o CIS v1.2.0. Esse framework tem um controle chamado 1.4: garanta que as chaves de acesso sejam alternadas a cada 90 dias ou menos. Em AWS Config, a access-keys-rotatedregra tem um maxAccessKeyAge parâmetro com um valor padrão de 90 dias. Como resultado, a regra se alinha aos requisitos de controle. Se você não estiver usando o valor padrão, verifique se o valor que está usando é igual ou maior que o requisito de 90 dias do CIS v1.2.0.
Você pode encontrar os detalhes do parâmetro padrão para cada regra gerenciada na documentação AWS Config. Para obter instruções sobre como configurar uma regra, consulte Como trabalhar com regras AWS Config gerenciadas.
Muitos controles no Audit Manager exigem o CSPM do Security Hub como um tipo de fonte de dados. Para oferecer suporte a esses controles, você deve habilitar o CSPM do Security Hub em todas as contas em cada região em que o Audit Manager está ativado.
O Audit Manager não gerencia o CSPM do Security Hub para você. Você pode seguir estas etapas para habilitar o CSPM do Security Hub e definir suas configurações.
Importante
Habilitar o CSPM do Security Hub é uma recomendação opcional. No entanto, se você habilitar o CSPM do Security Hub, as seguintes configurações serão necessárias. Se o Audit Manager tentar coletar evidências para controles que usam o CSPM do Security Hub como um tipo de fonte de dados e o CSPM do Security Hub não estiver configurado conforme descrito abaixo, nenhuma evidência será coletada para esses controles.
Tarefas para integrar AWS Security Hub CSPM com o Audit Manager
Etapa 1: ativar AWS Security Hub CSPM
Você pode ativar o CSPM do Security Hub usando o console ou a API. Para obter instruções, consulte Configurando AWS Security Hub CSPM no Guia do Usuário AWS Security Hub CSPM .
Etapa 2: Definir as configurações de CSPM do Security Hub para uso com o Audit Manager
Depois de habilitar o Security Hub CSPM, certifique-se de também fazer o seguinte:
-
Habilitar AWS Config e configurar a gravação de recursos — O Security Hub CSPM usa AWS Config regras vinculadas a serviços para realizar a maioria de suas verificações de segurança para controles. Para oferecer suporte a esses controles, AWS Config devem estar habilitados e configurados para registrar os recursos necessários para os controles que você ativou em cada padrão habilitado.
-
Habilitar todos os padrões de segurança - Essa etapa garante que o Audit Manager possa importar descobertas para todos os padrões de conformidade compatíveis.
-
Ative a configuração de descobertas de controle consolidadas no CSPM do Security Hub - Essa configuração será ativada por padrão se você habilitar o CSPM do Security Hub em ou após 23 de fevereiro de 2023.
nota
Quando você habilita descobertas consolidadas, o Security Hub CSPM produz uma única descoberta para cada verificação de segurança (mesmo quando a mesma verificação é usada em vários padrões). Cada descoberta do CSPM do Security Hub é coletada como uma avaliação de recurso exclusiva no Audit Manager. Como resultado, as descobertas consolidadas resultam em uma diminuição do total de avaliações exclusivas de recursos que o Audit Manager realiza para as descobertas do CSPM do Security Hub. Por esse motivo, o uso de descobertas consolidadas geralmente pode resultar em uma redução nos custos de uso do Audit Manager. Para obter mais informações sobre como usar o Security Hub CSPM como um tipo de fonte de dados, consulte. AWS Security Hub CSPM controles suportados por AWS Audit Manager Para obter mais informações sobre precificação do Audit Manager, consulte Precificação AWS Audit Manager
.
Etapa 3: definir as configurações do Organizations para sua organização
Se você usa AWS Organizations e deseja coletar evidências de CSPM do Security Hub de suas contas de membros, você também deve executar as seguintes etapas no CSPM do Security Hub.
Para definir as configurações de CSPM do Security Hub da sua organização
Faça login no Console de gerenciamento da AWS e abra o AWS Security Hub CSPM console em https://console.aws.amazon.com/securityhub/
. -
Usando sua conta AWS Organizations de gerenciamento, designe uma conta como administrador delegado do Security Hub CSPM. Para obter mais informações, consulte Designação de uma conta de administrador CSPM do Security Hub no Guia do AWS Security Hub CSPM Usuário.
nota
Certifique-se de que a conta de administrador delegado que você designa no CSPM do Security Hub seja a mesma que você usa no Audit Manager.
-
Usando sua conta de administrador delegado do Organizations, acesse Configurações, Contas, selecione todas as contas e adicione-as como membros selecionando Inscrição automática. Para obter mais informações, consulte Como habilitar contas de membro na sua organização no Guia do usuário AWS Security Hub CSPM .
-
Habilite AWS Config para cada conta de membro da organização. Para obter mais informações, consulte Como habilitar contas de membro na sua organização no Guia do usuário AWS Security Hub CSPM .
-
Habilitar o padrão de segurança PCI DSS para cada conta de membro da organização. O padrão AWS CIS Foundations Benchmark e o padrão AWS Foundational Best Practices já estão habilitados por padrão. Para obter mais informações, consulte Habilitando um padrão de segurança no Guia do Usuário AWS Security Hub CSPM .
O Audit Manager suporta várias contas por meio da integração com AWS Organizations. O Audit Manager pode executar avaliações em várias contas e consolidar evidências em uma conta de administrador delegado. O administrador delegado tem permissões para criar e gerenciar atributos do Audit Manager com a organização como zona de confiança. Somente a conta de gerenciamento pode designar um administrador delegado.
Importante
Ativar AWS Organizations é uma recomendação opcional. No entanto, se você ativar AWS Organizations, as seguintes configurações serão necessárias.
Tarefas para integrar AWS Organizations com o Audit Manager
Etapa 1: criar ou participar de uma organização
Se você Conta da AWS não faz parte de uma organização, você pode criar ou participar de uma organização. Para obter instruções, consulte Criando e gerenciando uma organização no Guia do Usuário AWS Organizations .
Etapa 2: habilitar todos os recursos na sua organização
Em seguida, você deve habilitar todos os recursos da sua organização. Para obter instruções, consulte Habilitando todos os recursos da sua organização no Guia do Usuário do AWS Organizations .
Etapa 3: especificar um administrador delegado para o Audit Manager
Recomendamos que habilite o Audit Manager usando uma conta de gerenciamento do Organizations e, em seguida, especifique um administrador delegado. Depois disso, você pode usar a conta de administrador delegado para fazer login e executar avaliações. É uma prática recomendada criar avaliações usando apenas a conta de administrador delegado em vez da conta de gerenciamento.
Para adicionar ou alterar um administrador delegado depois de habilitar o Audit Manager, consulte Como adicionar um administrador delegado e Como alterar um administrador delegado.
Próximas etapas
Agora que você configurou o Audit Manager com as configurações recomendadas, está pronto para começar a usar o serviço.
-
Para começar sua primeira avaliação, consulte Tutorial para proprietários de auditoria: criando uma avaliação.
-
Para atualizar suas configurações futuramente, consulte Revisando e definindo suas configurações AWS Audit Manager.
