As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Preparar seu programa escalável de gerenciamento de vulnerabilidades
<a name="prepare-program"></a>

A preparação para criar um programa escalável de gerenciamento de vulnerabilidades envolve educar as pessoas, desenvolver processos e implementar a tecnologia adequada de acordo com as práticas recomendadas. Pessoas, processos e tecnologia são igualmente importantes para um programa eficaz de gerenciamento de vulnerabilidades, e você deve integrá-los totalmente para gerenciar vulnerabilidades em grande escala.

Esta seção do guia analisa as ações fundamentais que você pode executar para preparar seu programa escalável de gerenciamento de vulnerabilidades na AWS.

**Topics**
+ [Definir um plano de gerenciamento de vulnerabilidades](vulnerability-management-plan.md)
+ [Distribuir propriedade de segurança](distribute-ownership.md)
+ [Desenvolver um programa de divulgação de vulnerabilidades.](disclosure-program.md)
+ [Prepare seu AWS ambiente](prepare-environment.md)
+ [Monitore boletins AWS de segurança](monitor-aws-security-bulletins.md)
+ [Configurar serviços AWS de segurança](configure-aws-security-services.md)
+ [Preparar para atribuir descobertas de segurança](prepare-finding-assignments.md)

# Definir um plano de gerenciamento de vulnerabilidades
<a name="vulnerability-management-plan"></a>

A primeira etapa ao preparar seu programa de gerenciamento de vulnerabilidades na nuvem é definir seu *plano de gerenciamento de vulnerabilidades*. Esse plano inclui as políticas e os processos que sua organização segue. Ele deve ser documentado e estar acessível a todas as partes interessadas. Um plano de gerenciamento de vulnerabilidades é um documento de alto nível que, normalmente, inclui as seguintes seções:
+ **Metas e escopo**: descreva as metas, as funções e o escopo do gerenciamento de vulnerabilidades.
+ **Perfis e responsabilidades**: liste as partes interessadas no gerenciamento de vulnerabilidades e detalhe suas responsabilidades.
+ **Definições de gravidade e priorização das vulnerabilidades**: determine como classificar a gravidade de uma vulnerabilidade e como priorizá-la.
+ **Acordos de nível de serviço (SLAs)** **para remediação** — Para cada nível de severidade, defina o tempo máximo que o proprietário da remediação tem para resolver uma descoberta de segurança. Como a conformidade com o SLA é parte integrante de um programa de gerenciamento de vulnerabilidades eficaz e escalável, considere como monitorar se você está cumprindo esses requisitos. SLAs
+ **Processo de exceções**: detalhe o processo de envio, aprovação e atualização de exceções. Esse processo deve garantir que as exceções sejam legítimas, com limite de tempo e rastreadas.
+ **Fontes de informações sobre vulnerabilidades**: liste as fontes ou ferramentas que geram descobertas de segurança. Para obter mais informações sobre Serviços da AWS essas fontes de descobertas de segurança, consulte [Configurar serviços AWS de segurança](configure-aws-security-services.md) este guia.

Embora essas seções sejam comuns para empresas de diferentes portes e setores, o plano de gerenciamento de vulnerabilidades de cada organização é único. Você precisa criar um plano de gerenciamento de vulnerabilidades que seja o mais eficiente para a sua organização. Planeje a iteração periódica do seu plano, a fim de incorporar as experiências adquiridas e as novas tecnologias.

# Distribuir propriedade de segurança
<a name="distribute-ownership"></a>

O [modelo de responsabilidade AWS compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) define como AWS seus clientes compartilham a responsabilidade pela segurança e conformidade na nuvem. Nesse modelo, AWS protege a infraestrutura que executa todos os serviços oferecidos no Nuvem AWS, e AWS os clientes são responsáveis por proteger seus dados e aplicativos.

Você pode espelhar esse modelo em sua organização e distribuir as responsabilidades entre suas equipes de nuvem e aplicações. Isso ajuda você a escalar seus programas de segurança na nuvem com mais eficiência, pois as equipes de aplicações assumem a propriedade de certos aspectos de segurança de suas aplicações. A interpretação mais simples do modelo de responsabilidade compartilhada é que, se você tiver acesso para configurar o recurso, será responsável pela segurança dele.

Uma parte fundamental da distribuição de responsabilidades de segurança às equipes de aplicações é criar ferramentas de segurança de autoatendimento que ajudem suas equipes de aplicações a se automatizarem. Inicialmente, isso pode ser um esforço conjunto. A equipe de segurança pode transformar os requisitos de segurança em ferramentas de verificação de código e, em seguida, as equipes de aplicações podem usar essas ferramentas para criar e compartilhar soluções com sua comunidade interna de desenvolvedores. Isso contribui para uma maior eficiência em outras equipes que precisam atender a requisitos de segurança semelhantes.

A tabela a seguir descreve as etapas da distribuição da propriedade para as equipes de aplicações e fornece exemplos.


****  

| Etapa | Ação | Exemplo | 
| --- | --- | --- | 
| 1 | Definir seus requisitos de segurança: o que você está tentando alcançar? Isso pode vir de um padrão de segurança ou de um requisito de conformidade. | Um exemplo de requisito de segurança é o acesso com privilégio mínimo para identidades de aplicações. | 
| 2 | Enumerar controles para um requisito de segurança: o que este requisito realmente significa do ponto de vista de controle? O que devo fazer para alcançar isso? | Para obter o privilégio mínimo para identidades de aplicações, veja dois exemplos de controles:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/vulnerability-management/distribute-ownership.html) | 
| 3 | Elaborar a documentação de orientações para os controles: com esses controles, que diretriz você pode fornecer a um desenvolvedor para ajudá-lo a cumprir o controle? | Inicialmente, você pode começar documentando exemplos simples de políticas, incluindo políticas do IAM seguras e não seguras e políticas de bucket do Amazon Simple Storage Service (Amazon S3). Em seguida, você pode incorporar soluções de verificação de políticas em pipelines de integração contínua e entrega contínua (CI/CD), como o uso de [regras do AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html) para uma avaliação proativa. | 
| 4 | Desenvolver artefatos reutilizáveis: com a diretriz, você pode facilitar ainda mais as coisas e desenvolver artefatos reutilizáveis para desenvolvedores? | É possível criar infraestrutura como código (IaC) para implantar políticas do IAM que sigam o princípio de privilégio mínimo. Você pode armazenar esses artefatos reutilizáveis em um repositório de código. | 

O autoatendimento pode não funcionar para todos os requisitos de segurança, mas pode funcionar para cenários padrão. Ao seguir essas etapas, as organizações podem capacitar suas equipes de aplicações para lidar com mais responsabilidades de segurança de forma escalável. No geral, o modelo de responsabilidade distribuída leva a práticas de segurança mais colaborativas em muitas organizações.

# Desenvolver um programa de divulgação de vulnerabilidades.
<a name="disclosure-program"></a>

Para uma [defense-in-depth](apg-gloss.md#glossary-defense-in-depth)abordagem ao gerenciamento de vulnerabilidades, crie um programa de divulgação de vulnerabilidades para que pessoas dentro ou fora da sua organização possam relatar vulnerabilidades ou riscos de segurança.

Para as pessoas da sua organização, estabeleça um processo para submeter riscos ou vulnerabilidades. Você pode fazer isso por meio de um sistema de geração de tíquetes ou e-mail. Independentemente do processo escolhido, é essencial que seus funcionários estejam cientes do processo e possam submeter facilmente quaisquer vulnerabilidades ou riscos que encontrarem.

Para pessoas fora da sua organização, estabeleça uma página da web externa para submeter possíveis vulnerabilidades de segurança. Como exemplo, consulte a página da web [AWS Vulnerability Reporting](https://aws.amazon.com/security/vulnerability-reporting/). Essa página da web também deve conter diretrizes de divulgação para ajudar a proteger os dados e ativos da sua organização. Um programa de divulgação de vulnerabilidades não deve incentivar atividades potencialmente prejudiciais, por isso é essencial que você tenha uma política clara com diretrizes. Criar um programa de divulgação maduro e responsável é uma meta a ser alcançada à medida que você aprimora seu programa. A maioria não começa com um programa externo de divulgação, e leva tempo para acertar.

# Prepare seu AWS ambiente
<a name="prepare-environment"></a>

Antes de implementar qualquer ferramenta de gerenciamento de vulnerabilidades, certifique-se de que seu ambiente da AWS seja arquitetado para ser compatível com um programa escalável de gerenciamento de vulnerabilidades. A estrutura das políticas de marcação de sua empresa Contas da AWS e da sua organização pode simplificar o processo de criação de um programa escalável de gerenciamento de vulnerabilidades.

## Desenvolva uma Conta da AWS estrutura
<a name="account-structure"></a>

[AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)ajuda a gerenciar e governar centralmente um AWS ambiente à medida que sua empresa cresce e expande seus AWS recursos. Uma *organização* AWS Organizations consolida você Contas da AWS em grupos lógicos, ou *unidades organizacionais*, para que você possa administrá-los como uma única unidade. Você gerencia o AWS Organizations em uma conta dedicada, denominada *conta gerencial*. Para obter mais informações, consulte [Terminologia e conceitos do AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html).

Recomendamos que você gerencie seu ambiente AWS de várias contas em AWS Organizations. Isso ajuda a criar um inventário completo das contas e recursos da sua empresa. Esse inventário completo de ativos é um aspecto essencial do gerenciamento de vulnerabilidades. As equipes de aplicações não devem usar contas de fora da organização.

[AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)ajuda você a configurar e administrar um ambiente AWS com várias contas, seguindo as melhores práticas prescritivas. Se você ainda não estabeleceu um ambiente com várias contas, AWS Control Tower é um bom ponto de partida.

Recomendamos usar a [estrutura de conta dedicada](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/dedicated-accounts.html) e as melhores práticas descritas na [Arquitetura AWS de Referência de Segurança (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/). A [conta do Security Tooling](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html) deve servir como seu administrador delegado para seus serviços de segurança. Posteriormente neste guia, serão fornecidas mais informações sobre como configurar suas ferramentas de gerenciamento de vulnerabilidades nessa conta. Hospede aplicações em contas dedicadas na [unidade organizacional (UO) de workload](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/application.html). Isso estabelece um forte isolamento no nível de workload e limites de segurança explícitos para cada aplicação. Para obter informações sobre os princípios de design e os benefícios do uso de uma abordagem de várias contas, consulte [Organizando seu AWS ambiente usando várias contas](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/benefits-of-using-multiple-aws-accounts.html) (AWS whitepaper).

Ter uma estrutura de contas intencional e gerenciar os serviços de segurança de forma centralizada em uma conta dedicada são aspectos essenciais de um programa escalável de gerenciamento de vulnerabilidades.

## Definir, implementar e aplicar tags.
<a name="define-implement-and-enforce-tags"></a>

As *tags* são pares de valores-chave que atuam como metadados para organizar seus recursos. AWS Para obter mais informações, consulte [Marcar seus recursos do AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html). Você pode usar tags para fornecer contexto empresarial, como unidade de negócios, proprietário da aplicação, ambiente e centro de custos. A tabela a seguir mostra um conjunto de exemplos de tags.


****  

| Chave | Valor | 
| --- | --- | 
| BusinessUnit | HumanResources | 
| CostCenter | CC101 | 
| ApplicationTeam | HumanResourcesTechnology | 
| Environment | Produção | 

As tags ajudam a priorizar as descobertas. Por exemplo, pode ajudar você a:
+ Identificar o proprietário de um recurso responsável por aplicar patches em uma vulnerabilidade.
+ Acompanhar quais aplicações ou unidades de negócios têm um grande número de descobertas.
+ Aumentar a gravidade das descobertas de determinadas classificações de dados, como informações de identificação pessoal (PII) ou dados do setor de cartões de pagamento (PCI).
+ Identificar o tipo de dados no ambiente, como dados de teste em um ambiente de desenvolvimento de nível inferior ou dados de produção.

Para ajudar você a obter uma marcação eficaz em grande escala, siga as instruções em Como [criar sua estratégia de marcação em Best Practices for Tagging AWS](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/building-your-tagging-strategy.html) *Resources* (AWS whitepaper).

# Monitore boletins AWS de segurança
<a name="monitor-aws-security-bulletins"></a>

É altamente recomendável monitorar os [boletins de segurança da AWS](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinId&card-body.sort-order=desc&awsf.bulletins-flag=*all&awsf.bulletins-year=*all) de forma regular e frequente. Os boletins de segurança podem notificar você sobre novas vulnerabilidades relacionadas à segurança, serviços afetados e atualizações aplicáveis. Você também pode assinar um [feed RSS](https://aws.amazon.com/security/security-bulletins/rss/feed/) para receber os boletins de segurança e criar um processo para ingerir e tratar esses boletins como parte do seu programa de gerenciamento de vulnerabilidades.

# Configurar serviços AWS de segurança
<a name="configure-aws-security-services"></a>

AWS oferece uma variedade de serviços de segurança projetados para ajudar a proteger seu AWS ambiente. Para seu programa de gerenciamento de vulnerabilidades, recomendamos que você habilite o seguinte Serviços da AWS em cada conta:
+  GuardDutyA [Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) ajuda a detectar ameaças ativas em seu ambiente. Uma GuardDuty descoberta pode ajudá-lo a identificar uma vulnerabilidade desconhecida que foi explorada em seu ambiente. Ela também ajuda a entender os efeitos de uma vulnerabilidade sem aplicação de patches.
+ [AWS Health](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html)fornece visibilidade contínua do desempenho de seus recursos e da disponibilidade de suas Serviços da AWS contas.
+ O [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) analisa as políticas baseadas em recursos em seu ambiente da AWS para identificar os recursos compartilhados com uma entidade externa. Isso ajuda a identificar vulnerabilidades associadas ao acesso não intencional aos seus recursos e dados. Para cada instância de um recurso compartilhado fora de sua conta, o IAM Access Analyzer gera uma descoberta.
+ [O Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) é um serviço de gerenciamento de vulnerabilidades que verifica continuamente suas AWS cargas de trabalho em busca de vulnerabilidades de software e exposição não intencional na rede.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)ajuda você a verificar seu AWS ambiente em relação aos padrões do setor de segurança e pode identificar riscos de configuração na nuvem. Ele também fornece uma visão abrangente do seu estado de AWS segurança ao agregar descobertas de outros serviços de AWS segurança e ferramentas de segurança de terceiros.

Esta seção discute como habilitar e configurar o Amazon Inspector e o CSPM do Security Hub para ajudá-lo a estabelecer um programa escalável de gerenciamento de vulnerabilidades.

# Uso do Amazon Inspector em seu programa de gerenciamento de vulnerabilidades
<a name="amazon-inspector"></a>

O [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) é um serviço de gerenciamento de vulnerabilidades que verifica continuamente as instâncias do Amazon Elastic Compute Cloud (Amazon EC2), imagens de contêiner do Amazon Elastic Container Registry (Amazon ECR) e funções do AWS Lambda em busca de vulnerabilidades de software e exposição não intencional da rede. Você pode usar o Amazon Inspector para obter visibilidade e priorizar a resolução de vulnerabilidades de software em seus ambientes. AWS 

O Amazon Inspector avalia continuamente o ambiente durante todo o ciclo de vida dos seus recursos. Ele faz uma nova verificação automaticamente dos recursos em resposta às mudanças que podem introduzir uma nova vulnerabilidade. Por exemplo, ele faz uma nova verificação quando você instala um novo pacote em uma instância do EC2, quando você instala um patch ou quando novas vulnerabilidades e exposições comuns (CVE) que afetam o recurso são publicadas. Quando o Amazon Inspector identifica uma vulnerabilidade ou um caminho de rede aberto, ele gera uma descoberta que é possível de investigar. A descoberta fornece informações abrangentes sobre a vulnerabilidade, incluindo as seguinte:
+ [Pontuação de risco do Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-score.html)
+ [Pontuação do Sistema Comum de Pontuação de Vulnerabilidades (CVSS)](https://www.first.org/cvss/calculator/3.1)
+ Recurso afetado
+ Dados de inteligência de vulnerabilidades sobre CVE da Amazon, [https://www.recordedfuture.com/](https://www.recordedfuture.com/) e [https://www.cisa.gov/](https://www.cisa.gov/)
+ Recomendações de remediação

Para obter instruções sobre como configurar o Amazon Inspector, consulte [Getting started with Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/getting_started_tutorial.html). A etapa *Ativar o Amazon Inspector* neste tutorial fornece duas opções de configuração: um ambiente de conta independente e um ambiente de várias contas. Recomendamos usar a opção de ambiente de várias contas se você quiser monitorar várias pessoas Contas da AWS que são membros de uma organização em AWS Organizations.

Ao configurar o Amazon Inspector para um ambiente de várias contas, você designa uma conta na organização para ser o administrador delegado do Amazon Inspector. O administrador delegado pode gerenciar descobertas e algumas configurações para membros da organização. Por exemplo, o administrador delegado pode visualizar os detalhes das descobertas agregadas de todas as contas de membros, habilitar ou desabilitar as verificações das contas de membros e analisar os recursos verificados. A AWS SRA recomenda que você crie uma [conta do Security Tooling](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html) e a use como administrador delegado do Amazon Inspector.

# Usando AWS Security Hub CSPM em seu programa de gerenciamento de vulnerabilidades
<a name="aws-security-hub"></a>

A criação de um programa escalável de gerenciamento de vulnerabilidades AWS envolve o gerenciamento de vulnerabilidades tradicionais de software e rede, além dos riscos de configuração da nuvem. [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)ajuda você a verificar seu AWS ambiente em relação aos padrões do setor de segurança e pode identificar riscos de configuração na nuvem. O Security Hub CSPM também fornece uma visão abrangente do seu estado de segurança AWS ao agregar descobertas de segurança de outros serviços de segurança e ferramentas de AWS segurança de terceiros.

Nas seções a seguir, fornecemos as melhores práticas e recomendações para configurar o CSPM do Security Hub para dar suporte ao seu programa de gerenciamento de vulnerabilidades:
+  [Configurando o Security Hub CSPM](#setting-up-security-hub)
+  [Habilitando os padrões CSPM do Security Hub](#enabling-security-hub-standards)
+  [Gerenciando as descobertas do CSPM do Security Hub](#managing-security-hub-findings)
+  [Agregação de descobertas de outros serviços e ferramentas de segurança](#aggregating-findings-from-other-security-services-and-tools)

## Configurando o Security Hub CSPM
<a name="setting-up-security-hub"></a>

Para obter instruções de configuração, consulte [Configurar o AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html). Para usar o Security Hub CSPM, você deve habilitar. [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) Para obter mais informações, consulte [Habilitando e configurando AWS Config na documentação](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html) do CSPM do Security Hub.

Se você estiver integrado com AWS Organizations, a partir da conta de gerenciamento da organização, você designa uma conta para ser o administrador delegado do CSPM do Security Hub. Para obter instruções, consulte [Designação do administrador delegado CSPM do Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html#designate-admin-overview). O AWS SRA recomenda que você crie uma [conta do Security Tooling](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html) e a use como administrador delegado do CSPM do Security Hub.

O administrador delegado tem acesso automático para configurar o CSPM do Security Hub para todas as contas membros da organização e para visualizar as descobertas associadas a essas contas. Recomendamos que você habilite o CSPM do AWS Config Security Hub em todos Regiões da AWS os seus. Contas da AWS Você pode configurar o CSPM do Security Hub para tratar automaticamente as novas contas da organização como contas membros do CSPM do Security Hub. Para conferir as instruções, consulte [Managing member accounts that belong to an organization](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-accounts-orgs.html).

## Habilitando os padrões CSPM do Security Hub
<a name="enabling-security-hub-standards"></a>

O Security Hub CSPM gera descobertas executando verificações de segurança automatizadas e contínuas em relação aos controles *de segurança*. Os controles estão associados a um ou mais *padrões de segurança*. Os controles ajudam a determinar se os requisitos de um padrão estão sendo atendidos.

Quando você habilita um padrão no Security Hub CSPM, o Security Hub CSPM ativa automaticamente os controles que se aplicam ao padrão. O Security Hub CSPM usa AWS Config [regras](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) para realizar a maioria das verificações de segurança dos controles. Você pode ativar ou desativar os padrões CSPM do Security Hub a qualquer momento. Para obter mais informações, consulte [Controles e padrões de segurança em AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards.html). Para obter uma lista completa de padrões, consulte a referência de [padrões CSPM do Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-reference.html).

Se sua organização ainda não tiver um padrão de segurança preferencial, recomendamos usar o [padrão Práticas Recomendadas de Segurança Básica da AWS (FSBP)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html). Esse padrão foi projetado para detectar quando Contas da AWS um recurso se desvia das melhores práticas de segurança. AWS organiza esse padrão e o atualiza regularmente para abranger novos recursos e serviços. Depois de fazer a triagem das descobertas do FSBP, considere habilitar outros padrões.

## Gerenciando as descobertas do CSPM do Security Hub
<a name="managing-security-hub-findings"></a>

O Security Hub CSPM fornece vários recursos que ajudam você a lidar com grandes volumes de descobertas de toda a organização e a entender o estado de segurança do seu AWS ambiente. Para ajudá-lo a gerenciar as descobertas, recomendamos habilitar os dois recursos CSPM do Security Hub a seguir:
+ Use a [agregação entre regiões](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) para agregar descobertas, encontrar atualizações, insights, controlar status de conformidade e pontuações de segurança de várias Regiões da AWS para uma única região de agregação.
+ Use o [controle consolidado de descobertas](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings) para reduzir o ruído das descobertas removendo as duplicadas. Quando as descobertas de controle consolidadas são ativadas em sua conta, o Security Hub CSPM gera uma única nova descoberta ou atualização de descoberta para cada verificação de segurança de um controle, mesmo que um controle se aplique a vários padrões habilitados.

## Agregação de descobertas de outros serviços e ferramentas de segurança
<a name="aggregating-findings-from-other-security-services-and-tools"></a>

Além de gerar descobertas de segurança, você pode usar o Security Hub CSPM para agregar dados de localização de várias soluções de segurança Serviços da AWS de terceiros compatíveis. Esta seção se concentra no envio de descobertas de segurança para o Security Hub CSPM. A próxima seção,[Preparar para atribuir descobertas de segurança](prepare-finding-assignments.md), discute como você pode integrar o CSPM do Security Hub com produtos que podem receber descobertas do CSPM do Security Hub.

Há muitos Serviços da AWS produtos de terceiros e soluções de código aberto disponíveis que você pode integrar ao Security Hub CSPM. Se você estiver apenas começando, recomendamos fazer o seguinte:

1. **Habilitar integração Serviços da AWS— A maioria das AWS service (Serviço da AWS) integrações que enviam descobertas para o CSPM do Security Hub são ativadas automaticamente depois que você habilita o CSPM do Security Hub e o serviço integrado**. Para o seu programa de gerenciamento de vulnerabilidades, recomendamos habilitar o Amazon Inspector GuardDuty AWS Health, o Amazon e o IAM Access Analyzer em cada conta. Esses serviços enviam automaticamente suas descobertas para o Security Hub CSPM. Para obter uma lista completa das AWS service (Serviço da AWS) integrações suportadas, consulte a seção [Enviar descobertas para Serviços da AWS o Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-internal-providers.html).
**nota**  
AWS Health envia as descobertas para o Security Hub CSPM se uma das seguintes condições for atendida:  
A descoberta está associada a um serviço AWS de segurança
A descoberta **typeCode** contém as palavras `security`, `abuse` ou `certificate`.
O AWS Health serviço de busca é `risk` ou `abuse`

1. **Configurar integrações de terceiros**: para obter uma lista das integrações compatíveis atualmente, consulte [Available third-party partner product integrations](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html). Selecione qualquer ferramenta adicional que possa enviar ou receber descobertas do Security Hub CSPM. Talvez você já tenha algumas dessas ferramentas de terceiros. Siga as instruções do produto para configurar a integração com o CSPM do Security Hub.

# Preparar para atribuir descobertas de segurança
<a name="prepare-finding-assignments"></a>

Nesta seção, configure as ferramentas que suas equipes usam para gerenciar e atribuir descobertas de segurança. Esta seção inclui as seguintes opções:
+ [Gerenciar descobertas em ferramentas e fluxos de trabalho existentes](existing-tools.md)— Essa opção se integra AWS Security Hub CSPM aos sistemas existentes que suas equipes usam para gerenciar suas tarefas diárias, como um backlog de produtos. Ela é recomendada para equipes que estabeleceram ferramentas para gerenciar seus fluxos de trabalho.
+ [Gerencie descobertas no Security Hub CSPM](manage-findings-in-security-hub.md)— Essa opção configura notificações para eventos CSPM do Security Hub para que a equipe apropriada receba um alerta e possa abordar a descoberta no CSPM do Security Hub.

Decida qual fluxo de trabalho funcionaria melhor para suas equipes e garanta que as descobertas de segurança cheguem prontamente aos respectivos proprietários.

# Gerenciar descobertas em ferramentas e fluxos de trabalho existentes
<a name="existing-tools"></a>

Recomendamos integrações adicionais de CSPM do Security Hub para organizações corporativas que estabeleceram ferramentas que as equipes usam para gerenciar ou realizar suas tarefas diárias. Você pode importar dados de localização do CSPM do Security Hub em várias plataformas de tecnologia. Os exemplos incluem:
+ Os [sistemas de gerenciamento de informações e eventos de segurança (SIEM)](apg-gloss.md#glossary-siem) ajudam as equipes de segurança a fazer a triagem de eventos de segurança operacional. Os sistemas SIEM fornecem análise em tempo real dos alertas de segurança gerados por aplicações e hardware de rede.
+ Os sistemas de [governança, risco e conformidade (GRC)](https://aws.amazon.com/what-is/grc/) ajudam as equipes de conformidade e governança a monitorar e relatar dados de gerenciamento de riscos. As ferramentas de GRC são aplicações de software que as empresas podem usar para gerenciar políticas, avaliar riscos, controlar o acesso dos usuários e otimizar a conformidade. Você pode usar ferramentas de GRC para integrar processos de negócios, reduzir custos e melhorar a eficiência.
+ Os sistemas de backlog e geração de tíquetes de produtos ajudam as equipes de aplicações e da nuvem a gerenciar recursos e priorizar as tarefas de desenvolvimento. O [https://www.atlassian.com/software/jira](https://www.atlassian.com/software/jira) e [https://learn.microsoft.com/en-us/azure/devops/user-guide/what-is-azure-devops](https://learn.microsoft.com/en-us/azure/devops/user-guide/what-is-azure-devops) são exemplos desses sistemas.

Integrar as descobertas do CSPM do Security Hub diretamente com esses sistemas corporativos existentes pode melhorar o tempo médio de recuperação (MTTR) e os resultados de segurança, pois o fluxo de trabalho operacional diário não precisa mudar. As equipes podem responder e aprender com as descobertas de segurança com muito mais rapidez porque não precisam usar ferramentas e fluxos de trabalho separados. A integração torna a resolução das descobertas de segurança parte do fluxo de trabalho normal e padrão.

O Security Hub CSPM se integra a vários produtos de parceiros terceirizados. Para obter uma lista completa e instruções, consulte [Integrações de produtos de parceiros terceirizados disponíveis na documentação](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html) do CSPM do Security Hub. As integrações comuns incluem [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-atlassian-jira-service-management](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-atlassian-jira-service-management)[integração bidirecional AWS Security Hub CSPM com Jira software e. [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-servicenow-itsm](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-servicenow-itsm)](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/bidirectionally-integrate-aws-security-hub-with-jira-software.html) O diagrama a seguir mostra como você pode configurar o Amazon Inspector para enviar descobertas para o Security Hub CSPM e, em seguida, configurar o Security Hub CSPM para enviar todas as descobertas. Jira



![\[Envie o Amazon Inspector e AWS Security Hub CSPM as descobertas para Jira\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/vulnerability-management/images/jira-integration-security-hub.png)


# Gerencie descobertas no Security Hub CSPM
<a name="manage-findings-in-security-hub"></a>

Você pode criar um sistema de notificação baseado em nuvem para as descobertas do CSPM do Security Hub usando [as regras](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) da Amazon EventBridge e os tópicos do Amazon Simple Notification Service (Amazon SNS). Esse sistema notifica a equipe apropriada sobre uma descoberta quando ela é criada. Para essa abordagem, a estratégia de várias contas descrita em [Desenvolva uma Conta da AWS estrutura](prepare-environment.md#account-structure) é fundamental porque as aplicações são separadas em contas dedicadas. Isso ajuda você a notificar as equipes corretas para cada descoberta.

As equipes de segurança ou de nuvem podem optar por receber eventos de todos Contas da AWS. Nesse caso, crie uma EventBridge regra na conta de administrador delegado do CSPM do Security Hub e assine um tópico do Amazon SNS que notifique essas equipes. Para equipes de aplicativos, configure uma EventBridge regra e um tópico do SNS em suas respectivas contas de aplicativos. Quando uma descoberta de CSPM do Security Hub ocorre em uma conta de aplicativo, a equipe responsável é notificada sobre a descoberta.

O Security Hub CSPM já envia automaticamente todas as novas descobertas e todas as atualizações das descobertas existentes EventBridge como eventos importados do **Security Hub CSPM Findings**. Cada evento **CSPM Findings - Imported do Security Hub contém uma única descoberta**. Você pode aplicar filtros nas EventBridge regras para que uma descoberta inicie a regra somente se a descoberta corresponder aos filtros. Para obter instruções, consulte [Configuração de uma EventBridge regra para descobertas enviadas automaticamente](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cwe-all-findings.html). Para obter mais informações sobre como criar e assinar tópicos do Amazon SNS, consulte, [Configuring Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-configuring.html).

Ao usar essa abordagem, considere o seguinte:
+ Para equipes de aplicativos, crie EventBridge regras dentro de cada uma Conta da AWS e Região da AWS onde o aplicativo está hospedado.
+ Para equipes de segurança e nuvem, crie EventBridge regras na conta de administrador delegado CSPM do Security Hub. Isso notifica as equipes sobre todas as descobertas nas contas descoberta membros.
+ O Amazon SNS enviará uma notificação todos os dias se o status da descoberta de segurança for `NEW`. Se quiser desativar as notificações diárias, você pode criar uma AWS Lambda função personalizada que altera o status da descoberta de `NEW` para `NOTIFIED` após o assinante do Amazon SNS receber a notificação.