启用推荐的功能 AWS 服务 和 AWS Audit Manager - Amazon Audit Manager
关键点 推荐的功能推荐的集成后续步骤

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用推荐的功能 AWS 服务 和 AWS Audit Manager

现在您已经启用了 AWS Audit Manager,是时候设置推荐的功能和集成以充分利用该服务了。

关键点

为在 Audit Manager 中获得最佳体验,我们建议您设置以下功能并启用以下 AWS 服务。

任务

设置推荐的 Audit Manager 功能

在启用 Audit Manager 之后,我们建议您启用证据查找器功能。

证据查找器 提供了一种在 Audit Manager 中搜索证据的强大功能。您可以使用证据查找器快速查询证据,而不必通过浏览嵌套程度很高的证据文件夹来查找所需内容。如果您以委派管理员的身份使用证据查找器,则可以在组织中的所有成员账户中搜索证据。

使用筛选条件和分组的组合,可以逐步缩小搜索查询的范围。例如,如果您想从高层次查看系统运行状况,请进行广泛搜索并按评测、日期范围以及资源合规性进行筛选。如果您的目标是修复特定资源,则可以执行狭窄搜索,以瞄准特定控件或资源 ID 的证据。定义筛选条件后,您可分组并预览匹配的搜索结果,然后再创建评测报告。

设置与其他集成的推荐集成 AWS 服务

为了在 Audit Manager 中获得最佳体验,我们强烈建议您启用以下选项 AWS 服务:

  • AWS Organizations - 您可以使用组织对多个账户运行 Audit Manager 评测,并将证据整合到委托管理员账户中。

  • AWS Security Hub CSPM而且 AWS Config— Audit Manager 依靠这些数据 AWS 服务 作为证据收集的数据源。启用 AWS Config 和 Security Hub CSPM 后,Audit Manager 可以利用其全部功能运行,直接从这些服务收集全面证据并准确报告合规检查结果。

重要

如果您不启用 AWS Config 和配置 Security Hub CSPM,则将无法在 Audit Manager 评估中收集许多控制措施的预期证据。因此,您可能会面临某些控件的证据收集不完整或失败的风险。更具体地说:

  • 如果 Audit Manager 尝试 AWS Config 用作控制数据源,但未启用所需的 AWS Config 规则,则不会为这些控制收集任何证据。

  • 同样,如果 Audit Manager 尝试使用 Security Hub CSPM 作为控制数据源,但未在 Security Hub CSPM 中启用所需的标准,则不会为这些控制收集任何证据。

要降低这些风险并确保全面收集证据,请在创建 Audit Manager 评估之前,按照本页上的步骤启用 AWS Config 和配置 Security Hub CSPM。

Audit Manager 中的许多控件都要求 AWS Config 作为数据源类型。要支持这些控制,您必须在每个启用 AWS Config Audit Manager AWS 区域 的账户中启用所有帐户。

Audit Manager 不 AWS Config 为你管理。您可以按照以下步骤启用 AWS Config 并配置其设置。

重要

启用 AWS Config 是一项可选建议。但是,如果您启用 AWS Config,则以下设置是必需的。如果 A AWS Config udit Manager 尝试为 AWS Config 用作数据源类型的控件收集证据,但未按下文所述进行设置,则不会为这些控制收集任何证据。

与 Aud AWS Config it Manager 集成的任务

步骤 1:启用 AWS Config

您可以使用 AWS Config 控制台或 API 启 AWS Config 用。有关说明,请参阅 AWS Config 开发人员指南AWS Config入门

步骤 2:配置您的 AWS Config 设置以与 Audit Manager 配合使用

启用后 AWS Config,请确保同时启用 AWS Config 规则部署与审计相关的合规性标准的合规包。此步骤可确保 Audit Manager 可以导入所启用的 AWS Config 规则的调查发现。

启用 AWS Config 规则后,我们建议您查看该规则的参数。然后,您应根据所选合规性框架的要求验证这些参数。如果需要,您可以更新 AWS Config中规则的参数,以确保其符合框架要求。这将有助于确保您的评测收集给定框架的正确合规性检查证据。

例如,假设您正在为 CIS v1.2.0 创建评测。该框架有一个名为 1.4 - 确保访问密钥每 90 天或更短时间轮换一次的控件。在中 AWS Config,该access-keys-rotated规则的maxAccessKeyAge参数的默认值为 90 天。因此,该规则与控件要求保持一致。如果您未使用默认值,请确保使用的值大于等于 CIS v1.2.0 中要求的 90 天。

您可在 AWS Config 文档中找到每条托管规则的默认参数详细信息。有关如何配置规则的说明,请参阅使用 AWS Config 托管规则

Audit Manager 中的许多控件都要求将 Security Hub CSPM 作为数据源类型。要支持这些控制,您必须在启用了 Audit Manager 的每个区域的所有账户上启用 Security Hub CSPM。

Audit Manager 不为你管理 Security Hub CSPM。您可以按照以下步骤启用 Security Hub CSPM 并配置其设置。

重要

启用 Security Hub CSPM 是一项可选建议。但是,如果您启用了 Security Hub CSPM,则需要进行以下设置。如果 Audit Manager 尝试为使用 Security Hub CSPM 作为数据源类型的控制收集证据,但未按下述方式设置 Security Hub CSPM,则不会为这些控制收集任何证据。

与 Aud AWS Security Hub CSPM it Manager 集成的任务

步骤 1:启用 AWS Security Hub CSPM

您可以使用控制台或 API 启用 Security Hub CSPM。有关说明,请参阅 AWS Security Hub CSPM 用户指南中的设置 AWS Security Hub CSPM

步骤 2:配置您的 Security Hub CSPM 设置以与 Audit Manager 配合使用

启用 Security Hub CSPM 后,请确保还要执行以下操作:

  • 启用 AWS Config 和配置资源记录 — Security Hub CSPM 使用与服务相关的 AWS Config 规则来执行其大部分安全控制检查。要支持这些控件, AWS Config 必须启用并配置为记录您在每个启用的标准中启用的控件所需的资源。

  • 启用所有安全标准 - 此步骤可确保 Audit Manager 可以导入所有支持的合规标准的调查发现。

  • 在 Security Hub CSPM 中开启合并控制结果设置 ——如果你在 2023 年 2 月 23 当天或之后启用 Security Hub CSPM,则此设置默认处于开启状态。

    注意

    启用合并调查结果时,Security Hub CSPM 会为每项安全检查生成一个查找结果(即使在多个标准中使用相同的检查结果也是如此)。Security Hub CSPM 的每项发现都作为一项独特的资源评估收集在 Audit Manager 中。因此,合并的调查结果会减少审计经理对Security Hub CSPM调查结果执行的唯一资源评估总数。因此,使用合并的调查发现通常可以降低您的 Audit Manager 使用成本。有关使用 Security Hub CSPM 作为数据源类型的更多信息,请参阅。AWS Security Hub CSPM 支持的控件 AWS Audit Manager有关 Audit Manager 定价的更多信息,请参阅 AWS Audit Manager 定价

第 3 步:为贵组织配置 Organizations 设置

如果您使用 AWS Organizations 并想从您的成员账户中收集 Security Hub CSPM 证据,则还必须在 Security Hub CSPM 中执行以下步骤。

设置组织的 Security Hub CSPM 设置

  1. 登录 AWS 管理控制台 并打开 AWS Security Hub CSPM 控制台,网址为https://console.aws.amazon.com/securityhub/

  2. 使用您的 AWS Organizations 管理账户,将一个账户指定为 Security Hub CSPM 的委托管理员。有关更多信息,请参阅《用户指南》中的 “指定 Security Hub CSPM 管理员帐户”AWS Security Hub CSPM 。

    注意

    确保您在 Security Hub CSPM 中指定的委派管理员帐户与您在 Audit Manager 中使用的授权管理员帐户相同。

  3. 使用您的组织委托管理员账户,转到设置、账户,选择所有账户,然后通过选择自动注册将其添加为成员。有关更多信息,请参阅 AWS Security Hub CSPM 用户指南中的启用组织中的成员账户

  4. AWS Config 为组织的每个成员帐户启用。有关更多信息,请参阅 AWS Security Hub CSPM 用户指南中的启用组织中的成员账户

  5. 为组织的每个成员账户启用 PCI DSS 安全标准。默认情况下, AWS CIS 基金会基准标准和 AWS 基础最佳实践标准已启用。有关更多信息,请参阅 AWS Security Hub CSPM 用户指南中的启用安全标准

Audit Manager 通过与的集成支持多个账户 AWS Organizations。Audit Manager 可跨多个账户运行评测,将证据合并至委托管理员账户。委托管理员有权以组织作为信任区域创建和管理 Audit Manager 资源。只有管理账户才能指定委托管理员。

重要

启用 AWS Organizations 是一项可选建议。但是,如果您启用 AWS Organizations,则需要进行以下设置。

与 Aud AWS Organizations it Manager 集成的任务

步骤 1:创建或加入组织

如果您 AWS 账户 不是组织的成员,则可以创建或加入组织。有关更多说明,请参阅 AWS Organizations 用户指南中的创建并管理组织

步骤 2:启用组织中的所有功能。

接下来,您必须启用组织中的所有功能。有关更多说明,请参阅 AWS Organizations 用户指南中的启用组织中的所有功能

步骤 3:为 Audit Manager 指定委托管理员

我们建议您使用组织管理账户启用 Audit Manager,然后指定委托管理员。之后,您可以使用委托管理员账户登录并运行评测。作为最佳做法,我们建议您仅使用委托管理员账户而不是管理账户创建评测。

要在启用 Audit Manager 后添加或更改委派管理员,请参阅添加委派管理员更改委派管理员

后续步骤

既然您已经使用推荐的设置完成了 Audit Manager 的设置,那么就可以开始使用这项服务了。