# Supressões de descobertas de auditoria Quando você executa uma auditoria, ela relata as descobertas de todos os recursos em não conformidade. Isso indica que seus relatórios de auditoria incluem descobertas de recursos em que você está trabalhando para mitigar problemas e também de recursos que são reconhecidamente não conformes, como dispositivos de teste ou danificados. A auditoria continuará relatando descobertas de recursos que permanecerem incompatíveis em sucessivas execuções de auditoria, o que pode adicionar informações indesejadas aos seus relatórios. As supressões de descobertas de auditoria permitem que você suprima ou filtre as descobertas por um período definido, até que o recurso seja corrigido, ou indefinidamente, para um recurso associado a um teste ou dispositivo danificado. **nota** As ações de mitigação não estarão disponíveis para descobertas de auditoria suprimidas. Para obter mais informações sobre as ações de mitigação, consulte [Ações de mitigação](dd-mitigation-actions.md). Para obter informações sobre cotas de supressão de descobertas de auditoria, consulte [endpoints e cotas do AWS IoT Device Defender](https://docs.aws.amazon.com/general/latest/gr/iot_device_defender.html). ## Como as supressões de descobertas de auditoria funcionam Quando você cria uma supressão de descoberta de auditoria para um recurso não conforme, seus relatórios e notificações de auditoria se comportam de forma diferente. Seus relatórios de auditoria incluirão uma nova seção que lista todas as descobertas suprimidas associadas ao relatório. As descobertas suprimidas não serão consideradas quando avaliarmos se uma verificação de auditoria está em conformidade ou não. Um número de recursos menor também retorna a cada verificação de auditoria quando você usa o comando [describe-audit-task](https://docs.aws.amazon.com/cli/latest/reference/iot/describe-audit-task.html) na interface de linha de comandos (CLI). Para notificações de auditoria, as descobertas suprimidas não serão consideradas quando avaliarmos se uma verificação de auditoria está em conformidade ou não. Um número de recursos menor também é incluído em cada notificação de verificação de auditoria que o AWS IoT Device Defender publica no Amazon CloudWatch e Amazon Simple Notification Service (Amazon SNS). ## Como usar supressões de descoberta de auditoria no console **Para suprimir uma descoberta de um relatório de auditoria** O procedimento a seguir mostra como criar uma supressão de descobertas de auditoria no console de AWS IoT. 1. No [console de AWS IoT](https://console.aws.amazon.com/iot), no painel de navegação, expanda **Defend**, escolha **Auditoria** e, em seguida, **Resultados**. 1. Selecione um relatório de auditoria que você gostaria de revisar. ![Tabela de resultados de auditoria do AWS IoT Device Defender mostrando o status de conformidade de várias auditorias em datas recentes, com a maioria das auditorias marcadas como não estando em conformidade.](http://docs.aws.amazon.com/pt_br/iot-device-defender/latest/devguide/images/audit-results.png) 1. Na seção **Verificações de não conformidade**, em **Nome da verificação**, escolha a verificação de auditoria na qual você está interessado. ![Relatório de auditoria mostrando uma verificação de não conformidade para o registro em log desabilitado e 13 verificações de conformidade nos níveis de gravidade crítico, alto e médio para um serviço da AWS.](http://docs.aws.amazon.com/pt_br/iot-device-defender/latest/devguide/images/audit-results-details.png) 1. Na tela de detalhes da verificação de auditoria, se houver descobertas que você não deseja ver, selecione o botão de opção ao lado da descoberta. Então, escolha **Ações** e, em seguida, escolha por quanto tempo você gostaria que a supressão das descobertas de auditoria persistisse. **nota** No console, você pode selecionar *1 semana*, *1 mês*, *3 meses*, *6 meses* ou *Indefinidamente* como datas de expiração para a supressão da descoberta de auditoria. Se você quiser definir uma data de expiração específica, poderá fazer isso somente na CLI ou na API. As supressões de descoberta de auditoria também podem ser canceladas a qualquer momento, independentemente da data de expiração. ![Descobertas da auditoria do AWS IoT Device Defender mostrando o registro em log desabilitado e uma conta que não está em conformidade com detalhes e mitigação.](http://docs.aws.amazon.com/pt_br/iot-device-defender/latest/devguide/images/non-compliant-check.png) 1. Confirme os detalhes da supressão e escolha **Ativar supressão**. ![Confirme a caixa de diálogo da supressão com o nome da verificação de registro em log desabilitado, o número das configurações da conta, o período de expiração de 3 meses e a data de expiração de 2020-10-28.](http://docs.aws.amazon.com/pt_br/iot-device-defender/latest/devguide/images/confirm-suppression.png) 1. Depois de criar a supressão de descoberta de auditoria, um banner aparece confirmando que sua supressão foi criada. ![Página de descobertas da auditoria do AWS IoT Device Defender mostrando uma conta que não está em conformidade com o registro em log desabilitado e com a etapa de mitigação para habilitar o CloudWatch Logs.](http://docs.aws.amazon.com/pt_br/iot-device-defender/latest/devguide/images/suppression-created-successfully.png) **Para visualizar as descobertas suprimidas em um relatório de auditoria** 1. No [console de AWS IoT](https://console.aws.amazon.com/iot), no painel de navegação, expanda **Defend**, escolha **Auditoria** e, em seguida, **Resultados**. 1. Selecione um relatório de auditoria que você gostaria de revisar. 1. Na seção **Descobertas suprimidas**, veja quais descobertas de auditoria foram suprimidas no relatório de auditoria escolhido. ![Relatório de auditoria do AWS IoT Device Defender mostrando verificações de conformidade com níveis de gravidade e resumo das descobertas.](http://docs.aws.amazon.com/pt_br/iot-device-defender/latest/devguide/images/audit-report-findings.png) **Para listar as supressões de descobertas de auditoria** + No [console de AWS IoT](https://console.aws.amazon.com/iot), no painel de navegação, expanda **Defend**, escolha **Auditoria** e, em seguida, **Supressões de descoberta**. ![Tabela de supressões de descobertas de auditoria do AWS IoT Device Defender com uma única supressão para a verificação “Registro em log desabilitado”, que expira em 28 de outubro de 2020.](http://docs.aws.amazon.com/pt_br/iot-device-defender/latest/devguide/images/list-suppressions.png) **Para editar as supressões de descobertas de auditoria** 1. No [console de AWS IoT](https://console.aws.amazon.com/iot), no painel de navegação, expanda **Defend**, escolha **Auditoria** e, em seguida, **Supressões de descoberta**. 1. Selecione o botão de opção ao lado da supressão de descobertas de auditoria que gostaria de editar. Em seguida, escolha **Ações**, **Editar**. 1. Na janela **Editar supressão de descoberta de auditoria**, você pode alterar a **Duração da supressão** ou **Descrição (opcional)**. ![Caixa de diálogo de “Editar supressão de descoberta de auditoria” com opções para suprimir a verificação “Registro em log desabilitado” para o recurso especificado por seis meses e o campo de descrição.](http://docs.aws.amazon.com/pt_br/iot-device-defender/latest/devguide/images/edit-suppression.png) 1. Depois de fazer as alterações, escolha **Salvar**. A janela **Supressões descoberta** será aberta. **Para excluir uma supressão de descoberta de auditoria** 1. No [console de AWS IoT](https://console.aws.amazon.com/iot), no painel de navegação, expanda **Defend**, escolha **Auditoria** e, em seguida, **Supressões de descoberta**. 1. Selecione o botão de opção ao lado da supressão de descoberta de auditoria que você deseja excluir e, em seguida, escolha **Ações**, **Excluir**. 1. Na janela **Excluir supressão de descoberta de auditoria**, insira `delete` na caixa de texto para confirmar a exclusão e escolha **Excluir**. A janela **Supressões descoberta** será aberta. ![Caixa de diálogo para excluir a supressão da descoberta de auditoria com campo de entrada para inserir “excluir” e o botão Excluir.](http://docs.aws.amazon.com/pt_br/iot-device-defender/latest/devguide/images/delete-suppression.png) ## Como usar supressões de descoberta de auditoria na CLI Você pode usar os comandos da CLI a seguir para criar e gerenciar supressões de descobertas de auditoria. + [create-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/create-audit-suppression.html) + [describe-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/describe-audit-suppression.html) + [update-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/update-audit-suppression.html) + [delete-audit-suppression](https://docs.aws.amazon.com/cli/latest/reference/iot/delete-audit-suppression.html) + [list-audit-suppressions](https://docs.aws.amazon.com/cli/latest/reference/iot/list-audit-suppressions.html) O `resource-identifier` inserido depende das descobertas para as quais o `check-name` está suprimindo. Os detalhes da tabela a seguir apresentam o que cada verificação exige de `resource-identifier` para criar e editar supressões. **nota** Os comandos de supressão não indicam a desativação de uma auditoria. As auditorias ainda serão executadas nos dispositivos de AWS IoT. As supressões são aplicáveis somente às descobertas de auditoria. | `check-name` | `resource-identifier` | | --- | --- | | AUTHENTICATE\_COGNITO\_ROLE\_OVERLY\_PERMISSIVE\_CHECK | cognitoIdentityPoolId | | CA\_CERT\_APPROACHING\_EXPIRATION\_CHECK | caCertificateId | | CA\_CERTIFICATE\_KEY\_QUALITY\_CHECK | caCertificateId | | CONFLICTING\_CLIENT\_IDS\_CHECK | clientId | | DEVICE\_CERT\_APPROACHING\_EXPIRATION\_CHECK | deviceCertificateId | | DEVICE\_CERTIFICATE\_KEY\_QUALITY\_CHECK | deviceCertificateId | | DEVICE\_CERTIFICATE\_SHARED\_CHECK | deviceCertificateId | | IOT\_POLICY\_OVERLY\_PERMISSIVE\_CHECK | policyVersionIdentifier | | IOT\_ROLE\_ALIAS\_ALLOWS\_ACCESS\_TO\_UNUSED\_SERVICES\_CHECK | roleAliasArn | | IOT\_ROLE\_ALIAS\_OVERLY\_PERMISSIVE\_CHECK | roleAliasArn | | LOGGING\_DISABLED\_CHECK | account | | REVOKED\_CA\_CERT\_CHECK | caCertificateId | | REVOKED\_DEVICE\_CERT\_CHECK | deviceCertificateId | | UNAUTHENTICATED\_COGNITO\_ROLE\_OVERLY\_PERMISSIVE\_CHECK | cognitoIdentityPoolId | **Para criar e aplicar uma supressão de descoberta de auditoria** O procedimento a seguir mostra como criar uma supressão de descobertas de auditoria na CLI da AWS. + Use o comando `create-audit-suppression` para criar uma supressão de descoberta de auditoria. O exemplo a seguir cria uma supressão de descoberta de auditoria para a Conta da AWS {{123456789012}} com base na verificação de **Registro em log desativada**. ``` aws iot create-audit-suppression \ --check-name {{LOGGING_DISABLED_CHECK}} \ --resource-identifier account={{123456789012}} \ --client-request-token {{28ac32c3-384c-487a-a368-c7bbd481f554}} \ --suppress-indefinitely \ --description "{{Suppresses logging disabled check because I don't want to enable logging for now.}}" ``` Não há saída para esse comando. ## APIs de supressões de descobertas de auditoria As seguintes APIs podem ser usadas para criar e gerenciar supressões de descobertas de auditoria. + [CreateAuditSuppression](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateAuditSuppression.html) + [DescribeAuditSuppression](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeAuditSuppression.html) + [UpdateAuditSuppression](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateAuditSuppression.html) + [DeleteAuditSuppression](https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteAuditSuppression.html) + [ListAuditSuppressions](https://docs.aws.amazon.com/iot/latest/apireference/API_ListAuditSuppressions.html) Para *filtrar* descobertas de auditoria específicos, você pode usar a API [ListAuditFindings](https://docs.aws.amazon.com/iot/latest/apireference/API_ListAuditFindings.html).