As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitação do CSPM do Security Hub

Há duas maneiras de habilitar o CSPM do AWS Security Hub: integrando com AWS Organizations ou manualmente.

É altamente recomendável fazer a integração com Organizations para ambientes com várias contas e várias regiões. Se você tiver uma conta autônoma, será necessário configurar o CSPM do Security Hub manualmente.

Verificação das permissões necessárias

Depois de se cadastrar na Amazon Web Services (AWS), será necessário habilitar o CSPM do Security Hub para usar suas capacidades e recursos. Para habilitar o CSPM do Security Hub, é preciso primeiramente configurar permissões que permitam seu acesso ao console do CSPM do Security Hub e às operações da API. Você ou seu AWS administrador podem fazer isso usando AWS Identity and Access Management (IAM) para anexar a política AWS gerenciada chamada AWSSecurityHubFullAccess à sua identidade do IAM.

Para habilitar e gerenciar o Security Hub CSPM por meio da integração do Organizations, você também deve anexar a política AWS gerenciada chamada. AWSSecurityHubOrganizationsAccess

Para obter mais informações, consulte AWSpolíticas gerenciadas para o Security Hub.

Habilitação do CSPM do Security Hub com a integração do Organizations

Para começar a usar o CSPM do Security Hub comAWS Organizations, a conta AWS Organizations de gerenciamento da organização designa uma conta como a conta delegada do administrador do CSPM do Security Hub para a organização. O CSPM do Security Hub é habilitado automaticamente na conta de administrador delegado na região atual.

Escolha seu método preferido e siga as etapas para designar o administrador delegado.

Security Hub CSPM console

Para designar o administrador delegado do CSPM do Security Hub durante a integração

1. Abra o console CSPM do AWS Security Hub em. https://console.aws.amazon.com/securityhub/

2. Escolha Ir para o CSPM do Security Hub. Você será solicitado a fazer login na conta gerencial do Organizations.

3. Na página Designar administrador delegado, na seção Conta de administrador delegado, especifique a conta de administrador delegado. Recomendamos escolher o mesmo administrador delegado que você definiu para outros serviços de segurança e conformidade da AWS.

4. Escolha Definir administrador delegado.

Security Hub CSPM API

Invoque a API EnableOrganizationAdminAccount da conta gerencial do Organizations. Forneça o ID da Conta da AWS da conta de administrador delegado do CSPM do Security Hub.

AWS CLI

Execute o comando enable-organization-admin-account a partir da conta gerencial do Organizations. Forneça o ID da Conta da AWS da conta de administrador delegado do CSPM do Security Hub.

Exemplo de comando:

aws securityhub enable-organization-admin-account --admin-account-id 777788889999

Para obter mais informações sobre a integração com o Organizations, consulte Integração do CSPM do Security Hub com o AWS Organizations.

Configuração central

Ao integrar o CSPM do Security Hub e o Organizations, você tem a opção de usar um recurso chamado configuração central para configurar e gerenciar o CSPM do Security Hub para sua organização. É altamente recomendável usar a configuração central, pois ela permite que o administrador personalize a cobertura de segurança para a organização. Quando apropriado, o administrador delegado pode permitir que uma conta de membro defina suas próprias configurações de cobertura de segurança.

A configuração central permite que o administrador delegado configure o CSPM do Security Hub em todas as contas e. OUs Regiões da AWS O administrador delegado configura o CSPM do Security Hub criando políticas de configuração. Em uma política de configuração, é possível especificar as configurações a seguir:

Como administrador delegado, você pode criar uma única política de configuração para toda a organização ou políticas de configuração diferentes para suas várias contas e. OUs Por exemplo, contas de teste e contas de produção podem usar políticas de configuração diferentes.

As contas dos membros OUs que usam uma política de configuração são gerenciadas centralmente e só podem ser configuradas pelo administrador delegado. O administrador delegado pode designar contas de membros específicas e OUs ser autogerenciadas para dar ao membro a capacidade de definir suas próprias configurações em uma base. Region-by-Region

Se você não usar a configuração central, deverá, em grande parte, configurar o CSPM do Security Hub separadamente em cada conta e região. Isso é chamado de configuração local. Na configuração local, o administrador delegado pode habilitar automaticamente o CSPM do Security Hub e um conjunto limitado de padrões de segurança em novas contas da organização na região atual. A configuração local não se aplica às contas existentes da organização ou a regiões que não sejam a região atual. A configuração local também não oferece suporte ao uso de políticas de configuração.

Habilitação do CSPM do Security Hub manualmente

Você deve habilitar o CSPM do Security Hub manualmente se tiver uma conta independente ou se não fizer integração com. AWS Organizations Contas autônomas não podem ser integradas AWS Organizations e devem usar a ativação manual.

Ao habilitar o CSPM do Security Hub manualmente, você designa uma conta de administrador do CSPM do Security Hub e convida outras contas para se tornarem contas de membro. A relação administrador-membro é estabelecida quando uma conta de membro em potencial aceita o convite da conta.

Escolha seu método preferido e siga as etapas para habilitar o CSPM do Security Hub. Ao habilitar o CSPM do Security Hub no console, você também tem a opção de habilitar os padrões de segurança com suporte.

Security Hub CSPM console

1. Abra o console CSPM do AWS Security Hub em. https://console.aws.amazon.com/securityhub/

2. Ao abrir o console do CSPM do Security Hub pela primeira vez, escolha Ir para o CSPM do Security Hub.

3. Na página de boas-vindas, a seção Padrões de segurança lista os padrões de segurança com suporte no CSPM do Security Hub.

   Marque a caixa de seleção de um padrão para habilitá-lo e desmarque a caixa de seleção para desabilitá-lo.

   É possível habilitar ou desabilitar um padrão ou seus controles individuais a qualquer momento. Para obter mais informações sobre gerenciamento de padrões de segurança, consulte Noções básicas dos padrões de segurança no CSPM do Security Hub.

4. Selecione Enable Security Hub (Habilitar o Security Hub).

Security Hub CSPM API

Invoque a API EnableSecurityHub. Ao habilitar o CSPM do Security Hub pela API, ele habilitará automaticamente os padrões de segurança padrão a seguir:

• AWSMelhores práticas básicas de segurança

• Referência de AWS fundamentos do Center for Internet Security (CIS) v1.2.0

Se você não quiser habilitar esses padrões, defina EnableDefaultStandards como false.

Também é possível usar o parâmetro Tags para atribuir valores de tag ao recurso do hub.

AWS CLI

Execute o comando enable-security-hub. Para ativar os padrões, inclua --enable-default-standards. Para não ativar os padrões, inclua --no-enable-default-standards. Os padrões de segurança padrão são os seguintes:

• AWSMelhores práticas básicas de segurança

• Referência de AWS fundamentos do Center for Internet Security (CIS) v1.2.0

aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]

Exemplo

aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'

Script de habilitação de várias contas

O script de habilitação de várias contas do Security Hub CSPM GitHub permite que você habilite o CSPM do Security Hub em contas e regiões. O script também automatiza o processo de envio de convites para contas de membros e habilitação do AWS Config.

O script ativa automaticamente a gravação de AWS Config recursos para todos os recursos, incluindo recursos globais, em todas as regiões. Ele não limita o registro de recursos globais a uma única região. Para economizar custos, recomendamos registrar recursos globais em uma única região apenas. Se você usa a configuração central ou a agregação entre regiões, essa deve ser sua região inicial. Para obter mais informações, consulte Registros de recursos no AWS Config.

Há um script correspondente para desabilitar o CSPM do Security Hub em todas as contas e regiões.

Próximas etapas: gerenciamento de postura e integrações

Depois de habilitar o CSPM do Security Hub, recomendamos habilitar os padrões e controles de segurança para monitorar sua postura de segurança. Depois de habilitar os controles, o Security Hub CSPM começa a executar verificações de segurança e a gerar descobertas de controle que ajudam a detectar configurações incorretas em seu ambiente. AWS Para receber descobertas de controle, você deve habilitar e configurar AWS Config o Security Hub CSPM. Para obter mais informações, consulte Habilitação e configuração do CSPM do AWS Config Security Hub.

Depois de ativar o CSPM do Security Hub, você também pode aproveitar as integrações entre o CSPM do Security Hub e outras soluções e de terceiros para ver suas Serviços da AWS descobertas no CSPM do Security Hub. O CSPM do Security Hub agrega descobertas de diferentes origens e as ingere em um formato consistente. Para obter mais informações, consulte Noções básicas sobre as integrações no CSPM do Security Hub.