As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitando o CSPM do Security Hub

Há duas maneiras de habilitar o AWS Security Hub Cloud Security Posture Management (CSPM), integrando com ou manualmente. AWS Organizations

É altamente recomendável fazer a integração com Organizations para ambientes com várias contas e várias regiões. Se você tiver uma conta independente, é necessário configurar o CSPM do Security Hub manualmente.

Verificação das permissões necessárias

Depois de se inscrever no Amazon Web Services (AWS), você deve habilitar o Security Hub CSPM para usar seus recursos e capacidades. Para habilitar o CSPM do Security Hub, primeiro você precisa configurar permissões que permitam acessar o console do CSPM do Security Hub e as operações da API. Você ou seu AWS administrador podem fazer isso usando AWS Identity and Access Management (IAM) para anexar a política AWS gerenciada chamada AWSSecurityHubFullAccess à sua identidade do IAM.

Para habilitar e gerenciar o Security Hub CSPM por meio da integração do Organizations, você também deve anexar a política AWS gerenciada chamada. AWSSecurityHubOrganizationsAccess

Para obter mais informações, consulte AWS políticas gerenciadas para o Security Hub.

Habilitando o Security Hub CSPM com integração com Organizations

Para começar a usar o CSPM do Security Hub com AWS Organizations, a conta AWS Organizations de gerenciamento da organização designa uma conta como a conta delegada do administrador do CSPM do Security Hub para a organização. O CSPM do Security Hub é habilitado automaticamente na conta de administrador delegado na região atual.

Escolha seu método preferido e siga as etapas para designar o administrador delegado.

Security Hub CSPM console

Para designar o administrador delegado do CSPM do Security Hub durante a integração

1. Abra o console do AWS Security Hub Cloud Security Posture Management (CSPM) em. https://console.aws.amazon.com/securityhub/

2. Escolha Ir para o Security Hub CSPM. Você será solicitado a fazer login na conta de gerenciamento do Organizations.

3. Na página Designar administrador delegado, na seção Conta de administrador delegado, especifique a conta de administrador delegado. Recomendamos escolher o mesmo administrador delegado que você definiu para outros serviços de segurança e conformidade da AWS .

4. Escolha Definir administrador delegado.

Security Hub CSPM API

Invoque a API EnableOrganizationAdminAccount da conta de gerenciamento do Organizations. Forneça o Conta da AWS ID da conta de administrador delegado CSPM do Security Hub.

AWS CLI

Execute o comando enable-organization-admin-account a partir da conta de gerenciamento do Organizations. Forneça o Conta da AWS ID da conta de administrador delegado CSPM do Security Hub.

Exemplo de comando:

aws securityhub enable-organization-admin-account --admin-account-id 777788889999

Para obter mais informações sobre a integração com o Organizations, consulte Integrando o Security Hub CSPM com AWS Organizations.

Configuração central

Ao integrar o Security Hub CSPM e o Organizations, você tem a opção de usar um recurso chamado configuração central para configurar e gerenciar o CSPM do Security Hub para sua organização. É altamente recomendável usar a configuração central, pois ela permite que o administrador personalize a cobertura de segurança para a organização. Quando apropriado, o administrador delegado pode permitir que uma conta-membro defina suas próprias configurações de cobertura de segurança.

A configuração central permite que o administrador delegado configure o CSPM do Security Hub em todas as contas e. OUs Regiões da AWS O administrador delegado configura o CSPM do Security Hub criando políticas de configuração. Em uma política de configuração, é possível especificar as configurações a seguir:

Como administrador delegado, você pode criar uma única política de configuração para toda a organização ou políticas de configuração diferentes para suas várias contas e. OUs Por exemplo, contas de teste e contas de produção podem usar políticas de configuração diferentes.

As contas dos membros OUs que usam uma política de configuração são gerenciadas centralmente e só podem ser configuradas pelo administrador delegado. O administrador delegado pode designar contas de membros específicas e OUs ser autogerenciadas para dar ao membro a capacidade de definir suas próprias configurações em uma base. Region-by-Region

Se você não usa a configuração central, deve configurar amplamente o CSPM do Security Hub separadamente em cada conta e região. Isso é chamado de configuração local. Na configuração local, o administrador delegado pode habilitar automaticamente o CSPM do Security Hub e um conjunto limitado de padrões de segurança em novas contas da organização na região atual. A configuração local não se aplica às contas existentes da organização ou a regiões que não sejam a região atual. A configuração local também não oferece suporte ao uso de políticas de configuração.

Habilitando o CSPM do Security Hub manualmente

Você deve habilitar o CSPM do Security Hub manualmente se tiver uma conta autônoma ou se não fizer integração com. AWS Organizations Contas autônomas não podem ser integradas AWS Organizations e devem usar a ativação manual.

Ao habilitar o CSPM do Security Hub manualmente, você designa uma conta de administrador do CSPM do Security Hub e convida outras contas para se tornarem contas membros. A relação administrador-membro é estabelecida quando uma conta-membro em potencial aceita o convite da conta.

Escolha seu método preferido e siga as etapas para ativar o CSPM do Security Hub. Ao habilitar o Security Hub CSPM a partir do console, você também tem a opção de ativar os padrões de segurança suportados.

Security Hub CSPM console

1. Abra o console do AWS Security Hub Cloud Security Posture Management (CSPM) em. https://console.aws.amazon.com/securityhub/

2. Ao abrir o console CSPM do Security Hub pela primeira vez, escolha Ir para o CSPM do Security Hub.

3. Na página de boas-vindas, a seção Padrões de segurança lista os padrões de segurança que o Security Hub CSPM suporta.

   Marque a caixa de seleção de um padrão para habilitá-lo e desmarque a caixa de seleção para desabilitá-lo.

   É possível habilitar ou desabilitar um padrão ou seus controles individuais a qualquer momento. Para obter mais informações sobre gerenciamento de padrões de segurança, consulte Entendendo os padrões de segurança no Security Hub CSPM.

4. Selecione Enable Security Hub (Habilitar o Security Hub).

Security Hub CSPM API

Invoque a API EnableSecurityHub. Quando você ativa o Security Hub CSPM a partir da API, ele ativa automaticamente os seguintes padrões de segurança padrão:

• AWS Melhores práticas básicas de segurança

• Referência de AWS fundamentos do Center for Internet Security (CIS) v1.2.0

Se você não quiser habilitar esses padrões, defina EnableDefaultStandards como false.

Você também pode usar o parâmetro Tags para atribuir valores de tag ao recurso do hub.

AWS CLI

Execute o comando enable-security-hub. Para ativar os padrões, inclua --enable-default-standards. Para não ativar os padrões, inclua --no-enable-default-standards. Os padrões de segurança padrão são os seguintes:

• AWS Melhores práticas básicas de segurança

• Referência de AWS fundamentos do Center for Internet Security (CIS) v1.2.0

aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]

Exemplo

aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'

Script de habilitação de várias contas

O script de habilitação de várias contas do Security Hub CSPM GitHub permite que você habilite o CSPM do Security Hub em todas as contas e regiões. O script também automatiza o processo de envio de convites para contas de membros e habilitação do AWS Config.

O script ativa automaticamente a gravação de AWS Config recursos para todos os recursos, incluindo recursos globais, em todas as regiões. Ele não limita o registro de recursos globais a uma única região. Para economizar custos, recomendamos registrar recursos globais somente em uma única região. Se você usa a configuração central ou a agregação entre regiões, essa deve ser sua região de origem. Para obter mais informações, consulte Recursos de gravação em AWS Config.

Há um script correspondente para desativar o CSPM do Security Hub em contas e regiões.

Próximas etapas: gerenciamento de postura e integrações

Depois de ativar o CSPM do Security Hub, recomendamos ativar os padrões e controles de segurança para monitorar sua postura de segurança. Depois de habilitar os controles, o Security Hub CSPM começa a executar verificações de segurança e a gerar descobertas de controle que ajudam a detectar configurações incorretas em seu ambiente. AWS Para receber descobertas de controle, você deve habilitar e configurar AWS Config o Security Hub CSPM. Para obter mais informações, consulte Habilitando e configurando o AWS Config Security Hub CSPM.

Depois de habilitar o CSPM do Security Hub, você também pode aproveitar as integrações entre o CSPM do Security Hub e outras soluções e de terceiros para ver suas Serviços da AWS descobertas no CSPM do Security Hub. O Security Hub CSPM agrega descobertas de diferentes fontes e as ingere em um formato consistente. Para obter mais informações, consulte Entendendo as integrações no Security Hub CSPM.