As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Habilitação do CSPM do Security Hub
Há duas maneiras de habilitar o CSPM do AWS Security Hub: integrando com AWS Organizations ou manualmente.
É altamente recomendável fazer a integração com Organizations para ambientes com várias contas e várias regiões. Se você tiver uma conta autônoma, será necessário configurar o CSPM do Security Hub manualmente.
## Verificação das permissões necessárias
Depois de se cadastrar na Amazon Web Services (AWS), será necessário habilitar o CSPM do Security Hub para usar suas capacidades e recursos. Para habilitar o CSPM do Security Hub, é preciso primeiramente configurar permissões que permitam seu acesso ao console do CSPM do Security Hub e às operações da API. Você ou seu AWS administrador podem fazer isso usando AWS Identity and Access Management (IAM) para anexar a política AWS gerenciada chamada `AWSSecurityHubFullAccess` à sua identidade do IAM.
Para habilitar e gerenciar o Security Hub CSPM por meio da integração do Organizations, você também deve anexar a política AWS gerenciada chamada. `AWSSecurityHubOrganizationsAccess`
Para obter mais informações, consulte [AWS políticas gerenciadas para o Security Hub](security-iam-awsmanpol.md).
## Habilitação do CSPM do Security Hub com a integração do Organizations
Para começar a usar o CSPM do Security Hub com AWS Organizations, a conta AWS Organizations de gerenciamento da organização designa uma conta como a conta delegada do administrador do CSPM do Security Hub para a organização. O CSPM do Security Hub é habilitado automaticamente na conta de administrador delegado na região atual.
Escolha seu método preferido e siga as etapas para designar o administrador delegado.
------
#### [ Security Hub CSPM console ]
**Para designar o administrador delegado do CSPM do Security Hub durante a integração**
1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Escolha **Ir para o CSPM do Security Hub**. Você será solicitado a fazer login na conta gerencial do Organizations.
1. Na página **Designar administrador delegado**, na seção **Conta de administrador delegado**, especifique a conta de administrador delegado. Recomendamos escolher o mesmo administrador delegado que você definiu para outros serviços de segurança e conformidade da AWS .
1. Escolha **Definir administrador delegado**.
------
#### [ Security Hub CSPM API ]
Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html) da conta gerencial do Organizations. Forneça o ID da Conta da AWS da conta de administrador delegado do CSPM do Security Hub.
------
#### [ AWS CLI ]
Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html) a partir da conta gerencial do Organizations. Forneça o ID da Conta da AWS da conta de administrador delegado do CSPM do Security Hub.
**Exemplo de comando:**
```
aws securityhub enable-organization-admin-account --admin-account-id 777788889999
```
------
Para obter mais informações sobre a integração com o Organizations, consulte [Integrando o Security Hub CSPM com AWS Organizations](designate-orgs-admin-account.md).
### Configuração central
Ao integrar o CSPM do Security Hub e o Organizations, você tem a opção de usar um recurso chamado [configuração central](central-configuration-intro.md) para configurar e gerenciar o CSPM do Security Hub para sua organização. É altamente recomendável usar a configuração central, pois ela permite que o administrador personalize a cobertura de segurança para a organização. Quando apropriado, o administrador delegado pode permitir que uma conta de membro defina suas próprias configurações de cobertura de segurança.
A configuração central permite que o administrador delegado configure o CSPM do Security Hub em todas as contas e. OUs Regiões da AWS O administrador delegado configura o CSPM do Security Hub criando políticas de configuração. Em uma política de configuração, é possível especificar as configurações a seguir:
+ Se o CSPM do Security Hub está habilitado ou desabilitado
+ Quais padrões de segurança são habilitados e desabilitados
+ Quais controles de segurança são habilitados e desabilitados
+ Se os parâmetros devem ser personalizados para selecionar controles
Como administrador delegado, você pode criar uma única política de configuração para toda a organização ou políticas de configuração diferentes para suas várias contas e. OUs Por exemplo, contas de teste e contas de produção podem usar políticas de configuração diferentes.
As contas dos membros OUs que usam uma política de configuração são *gerenciadas centralmente* e só podem ser configuradas pelo administrador delegado. O administrador delegado pode designar contas de membros específicas e OUs ser *autogerenciadas* para dar ao membro a capacidade de definir suas próprias configurações em uma base. Region-by-Region
Se você não usar a configuração central, deverá, em grande parte, configurar o CSPM do Security Hub separadamente em cada conta e região. Isso é chamado de [configuração local](local-configuration.md). Na configuração local, o administrador delegado pode habilitar automaticamente o CSPM do Security Hub e um conjunto limitado de padrões de segurança em novas contas da organização na região atual. A configuração local não se aplica às contas existentes da organização ou a regiões que não sejam a região atual. A configuração local também não oferece suporte ao uso de políticas de configuração.
## Habilitação do CSPM do Security Hub manualmente
Você deve habilitar o CSPM do Security Hub manualmente se tiver uma conta independente ou se não fizer integração com. AWS Organizations Contas autônomas não podem ser integradas AWS Organizations e devem usar a ativação manual.
Ao habilitar o CSPM do Security Hub manualmente, você designa uma conta de administrador do CSPM do Security Hub e convida outras contas para se tornarem contas de membro. A relação administrador-membro é estabelecida quando uma conta de membro em potencial aceita o convite da conta.
Escolha seu método preferido e siga as etapas para habilitar o CSPM do Security Hub. Ao habilitar o CSPM do Security Hub no console, você também tem a opção de habilitar os padrões de segurança com suporte.
------
#### [ Security Hub CSPM console ]
1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Ao abrir o console do CSPM do Security Hub pela primeira vez, escolha **Ir para o CSPM do Security Hub**.
1. Na página de boas-vindas, a seção **Padrões de segurança** lista os padrões de segurança com suporte no CSPM do Security Hub.
Marque a caixa de seleção de um padrão para habilitá-lo e desmarque a caixa de seleção para desabilitá-lo.
É possível habilitar ou desabilitar um padrão ou seus controles individuais a qualquer momento. Para obter mais informações sobre gerenciamento de padrões de segurança, consulte [Noções básicas dos padrões de segurança no CSPM do Security Hub](standards-view-manage.md).
1. Selecione **Enable Security Hub** (Habilitar o Security Hub).
------
#### [ Security Hub CSPM API ]
Invoque a API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html). Ao habilitar o CSPM do Security Hub pela API, ele habilitará automaticamente os padrões de segurança padrão a seguir:
+ AWS Melhores práticas básicas de segurança
+ Referência de AWS fundamentos do Center for Internet Security (CIS) v1.2.0
Se você não quiser habilitar esses padrões, defina `EnableDefaultStandards` como `false`.
Também é possível usar o parâmetro `Tags` para atribuir valores de tag ao recurso do hub.
------
#### [ AWS CLI ]
Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html). Para ativar os padrões, inclua `--enable-default-standards`. Para não ativar os padrões, inclua `--no-enable-default-standards`. Os padrões de segurança padrão são os seguintes:
+ AWS Melhores práticas básicas de segurança
+ Referência de AWS fundamentos do Center for Internet Security (CIS) v1.2.0
```
aws securityhub enable-security-hub [--tags {{}}] [--enable-default-standards | --no-enable-default-standards]
```
**Exemplo**
```
aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'
```
------
### Script de habilitação de várias contas
**nota**
Em vez desse script, recomendamos usar a configuração central para habilitar e configurar o CSPM do Security Hub em várias contas e regiões.
O [script de habilitação de várias contas do Security Hub CSPM GitHub permite que você habilite o CSPM do Security Hub em](https://github.com/awslabs/aws-securityhub-multiaccount-scripts) contas e regiões. O script também automatiza o processo de envio de convites para contas de membros e habilitação do AWS Config.
O script ativa automaticamente a gravação de AWS Config recursos para todos os recursos, incluindo recursos globais, em todas as regiões. Ele não limita o registro de recursos globais a uma única região. Para economizar custos, recomendamos registrar recursos globais em uma única região apenas. Se você usa a configuração central ou a agregação entre regiões, essa deve ser sua região inicial. Para obter mais informações, consulte [Recursos de gravação em AWS Config](securityhub-setup-prereqs.md#config-resource-recording).
Há um script correspondente para desabilitar o CSPM do Security Hub em todas as contas e regiões.
## Próximas etapas: gerenciamento de postura e integrações
Depois de habilitar o CSPM do Security Hub, recomendamos habilitar os padrões e controles de segurança para monitorar sua postura de segurança. Depois de habilitar os controles, o Security Hub CSPM começa a executar verificações de segurança e a gerar descobertas de controle que ajudam a detectar configurações incorretas em seu ambiente. AWS Para receber descobertas de controle, você deve habilitar e configurar AWS Config o Security Hub CSPM. Para obter mais informações, consulte [Habilitando e configurando o AWS Config Security Hub CSPM](securityhub-setup-prereqs.md).
Depois de ativar o CSPM do Security Hub, você também pode aproveitar as integrações entre o CSPM do Security Hub e outras soluções e de terceiros para ver suas Serviços da AWS descobertas no CSPM do Security Hub. O CSPM do Security Hub agrega descobertas de diferentes origens e as ingere em um formato consistente. Para obter mais informações, consulte [Noções básicas sobre as integrações no CSPM do Security Hub](securityhub-findings-providers.md).