As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configurar serviços AWS de segurança
AWS oferece uma variedade de serviços de segurança projetados para ajudar a proteger seu AWS ambiente. Para seu programa de gerenciamento de vulnerabilidades, recomendamos que você habilite o seguinte Serviços da AWS em cada conta:
+ GuardDutyA [Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) ajuda a detectar ameaças ativas em seu ambiente. Uma GuardDuty descoberta pode ajudá-lo a identificar uma vulnerabilidade desconhecida que foi explorada em seu ambiente. Ela também ajuda a entender os efeitos de uma vulnerabilidade sem aplicação de patches.
+ [AWS Health](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html)fornece visibilidade contínua do desempenho de seus recursos e da disponibilidade de suas Serviços da AWS contas.
+ O [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) analisa as políticas baseadas em recursos em seu ambiente da AWS para identificar os recursos compartilhados com uma entidade externa. Isso ajuda a identificar vulnerabilidades associadas ao acesso não intencional aos seus recursos e dados. Para cada instância de um recurso compartilhado fora de sua conta, o IAM Access Analyzer gera uma descoberta.
+ [O Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) é um serviço de gerenciamento de vulnerabilidades que verifica continuamente suas AWS cargas de trabalho em busca de vulnerabilidades de software e exposição não intencional na rede.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)ajuda você a verificar seu AWS ambiente em relação aos padrões do setor de segurança e pode identificar riscos de configuração na nuvem. Ele também fornece uma visão abrangente do seu estado de AWS segurança ao agregar descobertas de outros serviços de AWS segurança e ferramentas de segurança de terceiros.
Esta seção discute como habilitar e configurar o Amazon Inspector e o CSPM do Security Hub para ajudá-lo a estabelecer um programa escalável de gerenciamento de vulnerabilidades.
# Uso do Amazon Inspector em seu programa de gerenciamento de vulnerabilidades
O [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) é um serviço de gerenciamento de vulnerabilidades que verifica continuamente as instâncias do Amazon Elastic Compute Cloud (Amazon EC2), imagens de contêiner do Amazon Elastic Container Registry (Amazon ECR) e funções do AWS Lambda em busca de vulnerabilidades de software e exposição não intencional da rede. Você pode usar o Amazon Inspector para obter visibilidade e priorizar a resolução de vulnerabilidades de software em seus ambientes. AWS
O Amazon Inspector avalia continuamente o ambiente durante todo o ciclo de vida dos seus recursos. Ele faz uma nova verificação automaticamente dos recursos em resposta às mudanças que podem introduzir uma nova vulnerabilidade. Por exemplo, ele faz uma nova verificação quando você instala um novo pacote em uma instância do EC2, quando você instala um patch ou quando novas vulnerabilidades e exposições comuns (CVE) que afetam o recurso são publicadas. Quando o Amazon Inspector identifica uma vulnerabilidade ou um caminho de rede aberto, ele gera uma descoberta que é possível de investigar. A descoberta fornece informações abrangentes sobre a vulnerabilidade, incluindo as seguinte:
+ [Pontuação de risco do Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-score.html)
+ [Pontuação do Sistema Comum de Pontuação de Vulnerabilidades (CVSS)](https://www.first.org/cvss/calculator/3.1)
+ Recurso afetado
+ Dados de inteligência de vulnerabilidades sobre CVE da Amazon, [https://www.recordedfuture.com/](https://www.recordedfuture.com/) e [https://www.cisa.gov/](https://www.cisa.gov/)
+ Recomendações de remediação
Para obter instruções sobre como configurar o Amazon Inspector, consulte [Getting started with Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/getting_started_tutorial.html). A etapa *Ativar o Amazon Inspector* neste tutorial fornece duas opções de configuração: um ambiente de conta independente e um ambiente de várias contas. Recomendamos usar a opção de ambiente de várias contas se você quiser monitorar várias pessoas Contas da AWS que são membros de uma organização em AWS Organizations.
Ao configurar o Amazon Inspector para um ambiente de várias contas, você designa uma conta na organização para ser o administrador delegado do Amazon Inspector. O administrador delegado pode gerenciar descobertas e algumas configurações para membros da organização. Por exemplo, o administrador delegado pode visualizar os detalhes das descobertas agregadas de todas as contas de membros, habilitar ou desabilitar as verificações das contas de membros e analisar os recursos verificados. A AWS SRA recomenda que você crie uma [conta do Security Tooling](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html) e a use como administrador delegado do Amazon Inspector.
# Usando AWS Security Hub CSPM em seu programa de gerenciamento de vulnerabilidades
A criação de um programa escalável de gerenciamento de vulnerabilidades AWS envolve o gerenciamento de vulnerabilidades tradicionais de software e rede, além dos riscos de configuração da nuvem. [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)ajuda você a verificar seu AWS ambiente em relação aos padrões do setor de segurança e pode identificar riscos de configuração na nuvem. O Security Hub CSPM também fornece uma visão abrangente do seu estado de segurança AWS ao agregar descobertas de segurança de outros serviços de segurança e ferramentas de AWS segurança de terceiros.
Nas seções a seguir, fornecemos as melhores práticas e recomendações para configurar o CSPM do Security Hub para dar suporte ao seu programa de gerenciamento de vulnerabilidades:
+ [Configurando o Security Hub CSPM](#setting-up-security-hub)
+ [Habilitando os padrões CSPM do Security Hub](#enabling-security-hub-standards)
+ [Gerenciando as descobertas do CSPM do Security Hub](#managing-security-hub-findings)
+ [Agregação de descobertas de outros serviços e ferramentas de segurança](#aggregating-findings-from-other-security-services-and-tools)
## Configurando o Security Hub CSPM
Para obter instruções de configuração, consulte [Configurar o AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html). Para usar o Security Hub CSPM, você deve habilitar. [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) Para obter mais informações, consulte [Habilitando e configurando AWS Config na documentação](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html) do CSPM do Security Hub.
Se você estiver integrado com AWS Organizations, a partir da conta de gerenciamento da organização, você designa uma conta para ser o administrador delegado do CSPM do Security Hub. Para obter instruções, consulte [Designação do administrador delegado CSPM do Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html#designate-admin-overview). O AWS SRA recomenda que você crie uma [conta do Security Tooling](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html) e a use como administrador delegado do CSPM do Security Hub.
O administrador delegado tem acesso automático para configurar o CSPM do Security Hub para todas as contas membros da organização e para visualizar as descobertas associadas a essas contas. Recomendamos que você habilite o CSPM do AWS Config Security Hub em todos Regiões da AWS os seus. Contas da AWS Você pode configurar o CSPM do Security Hub para tratar automaticamente as novas contas da organização como contas membros do CSPM do Security Hub. Para conferir as instruções, consulte [Managing member accounts that belong to an organization](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-accounts-orgs.html).
## Habilitando os padrões CSPM do Security Hub
O Security Hub CSPM gera descobertas executando verificações de segurança automatizadas e contínuas em relação aos controles *de segurança*. Os controles estão associados a um ou mais *padrões de segurança*. Os controles ajudam a determinar se os requisitos de um padrão estão sendo atendidos.
Quando você habilita um padrão no Security Hub CSPM, o Security Hub CSPM ativa automaticamente os controles que se aplicam ao padrão. O Security Hub CSPM usa AWS Config [regras](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) para realizar a maioria das verificações de segurança dos controles. Você pode ativar ou desativar os padrões CSPM do Security Hub a qualquer momento. Para obter mais informações, consulte [Controles e padrões de segurança em AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards.html). Para obter uma lista completa de padrões, consulte a referência de [padrões CSPM do Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-reference.html).
Se sua organização ainda não tiver um padrão de segurança preferencial, recomendamos usar o [padrão Práticas Recomendadas de Segurança Básica da AWS (FSBP)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html). Esse padrão foi projetado para detectar quando Contas da AWS um recurso se desvia das melhores práticas de segurança. AWS organiza esse padrão e o atualiza regularmente para abranger novos recursos e serviços. Depois de fazer a triagem das descobertas do FSBP, considere habilitar outros padrões.
## Gerenciando as descobertas do CSPM do Security Hub
O Security Hub CSPM fornece vários recursos que ajudam você a lidar com grandes volumes de descobertas de toda a organização e a entender o estado de segurança do seu AWS ambiente. Para ajudá-lo a gerenciar as descobertas, recomendamos habilitar os dois recursos CSPM do Security Hub a seguir:
+ Use a [agregação entre regiões](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) para agregar descobertas, encontrar atualizações, insights, controlar status de conformidade e pontuações de segurança de várias Regiões da AWS para uma única região de agregação.
+ Use o [controle consolidado de descobertas](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings) para reduzir o ruído das descobertas removendo as duplicadas. Quando as descobertas de controle consolidadas são ativadas em sua conta, o Security Hub CSPM gera uma única nova descoberta ou atualização de descoberta para cada verificação de segurança de um controle, mesmo que um controle se aplique a vários padrões habilitados.
## Agregação de descobertas de outros serviços e ferramentas de segurança
Além de gerar descobertas de segurança, você pode usar o Security Hub CSPM para agregar dados de localização de várias soluções de segurança Serviços da AWS de terceiros compatíveis. Esta seção se concentra no envio de descobertas de segurança para o Security Hub CSPM. A próxima seção,[Preparar para atribuir descobertas de segurança](prepare-finding-assignments.md), discute como você pode integrar o CSPM do Security Hub com produtos que podem receber descobertas do CSPM do Security Hub.
Há muitos Serviços da AWS produtos de terceiros e soluções de código aberto disponíveis que você pode integrar ao Security Hub CSPM. Se você estiver apenas começando, recomendamos fazer o seguinte:
1. **Habilitar integração Serviços da AWS— A maioria das AWS service (Serviço da AWS) integrações que enviam descobertas para o CSPM do Security Hub são ativadas automaticamente depois que você habilita o CSPM do Security Hub e o serviço integrado**. Para o seu programa de gerenciamento de vulnerabilidades, recomendamos habilitar o Amazon Inspector GuardDuty AWS Health, o Amazon e o IAM Access Analyzer em cada conta. Esses serviços enviam automaticamente suas descobertas para o Security Hub CSPM. Para obter uma lista completa das AWS service (Serviço da AWS) integrações suportadas, consulte a seção [Enviar descobertas para Serviços da AWS o Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-internal-providers.html).
**nota**
AWS Health envia as descobertas para o Security Hub CSPM se uma das seguintes condições for atendida:
A descoberta está associada a um serviço AWS de segurança
A descoberta **typeCode** contém as palavras `security`, `abuse` ou `certificate`.
O AWS Health serviço de busca é `risk` ou `abuse`
1. **Configurar integrações de terceiros**: para obter uma lista das integrações compatíveis atualmente, consulte [Available third-party partner product integrations](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html). Selecione qualquer ferramenta adicional que possa enviar ou receber descobertas do Security Hub CSPM. Talvez você já tenha algumas dessas ferramentas de terceiros. Siga as instruções do produto para configurar a integração com o CSPM do Security Hub.