# Leitfaden für Audits
<a name="audit-tutorial"></a>

Dieses Tutorial enthält Anweisungen zur Konfiguration eines wiederkehrenden Audits, zur Einrichtung von Alarmen, zur Überprüfung der Prüfungsergebnisse und zur Behebung von Prüfungsproblemen.

**Topics**
+ [Voraussetzungen](#audit-tutorial-prerequisites)
+ [Aktivieren von Auditprüfungen](#audit-tutorial-enable-checks)
+ [Anzeigen von Prüfungsergebnissen](#audit-tutorial-view-audit)
+ [Erstellen von Abhilfemaßnahmen für Audits](#audit-tutorial-mitigation)
+ [Anwenden von Abhilfemaßnahmen auf Ihre Prüfungsergebnisse](#apply-mitigation-actions)
+ [Erstellen einer AWS IoT Device Defender Audit-IAM-Rolle (optional)](#audit-iam)
+ [Aktivieren von SNS-Benachrichtigungen (optional)](#audit-tutorial-enable-sns)
+ [Konfigurieren von Berechtigungen für kundenseitig verwaltete Schlüssel (optional)](#audit-tutorial-cmk-permissions)
+ [Aktivieren der Protokollierung (optional)](#enable-logging)

## Voraussetzungen
<a name="audit-tutorial-prerequisites"></a>

Zum Durcharbeiten dieses Tutorials ist Folgendes erforderlich:
+ Ein(e) AWS-Konto. Wenn Sie darüber noch nicht verfügen, finden Sie unter [Einrichten](https://docs.aws.amazon.com/iot/latest/developerguide/dd-setting-up.html) weitere Informationen.

## Aktivieren von Auditprüfungen
<a name="audit-tutorial-enable-checks"></a>

Im folgenden Verfahren aktivieren Sie Auditprüfungen, bei denen Konto- und Geräteeinstellungen sowie Richtlinien geprüft werden, um sicherzustellen, dass Sicherheitsmaßnahmen getroffen wurden. In diesem Tutorial weisen wir Sie an, alle Auditprüfungen zu aktivieren; Sie können die Prüfungen jedoch nach Belieben auswählen.

Die Prüfungspreise beziehen sich auf die Anzahl der Geräte pro Monat (mit AWS IoT verbundenen Flottengeräte). Daher hat das Hinzufügen oder Entfernen von Auditprüfungen keine Auswirkungen auf Ihre monatliche Rechnung, wenn Sie diese Funktion verwenden.

1. Öffnen Sie die [AWS IoT-Konsole](https://console.aws.amazon.com/iot). Wählen Sie im Navigationsbereich **Sicherheit** und dann **Einführung**.

1. Wählen Sie **AWS IoT Sicherheitsüberprüfung automatisieren**. Auditprüfungen sind automatisch aktiviert.

1. Erweitern Sie **Audit**, und wählen Sie **Einstellungen**, um Ihre Auditprüfungen einzusehen. Wählen Sie einen Namen für die Auditprüfung aus, um zu erfahren, was die Auditprüfung bewirkt. Weitere Informationen zu Auditprüfungen finden Sie unter [Auditprüfungen](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-audit-checks.html).

1. (Optional) Wenn Sie bereits über eine Rolle verfügen, die Sie verwenden möchten, wählen Sie **Dienstberechtigungen verwalten**, wählen Sie die Rolle aus der Liste, und klicken Sie dann auf **Aktualisieren**.

## Anzeigen von Prüfungsergebnissen
<a name="audit-tutorial-view-audit"></a>

Nachstehend wird veranschaulicht, wie Sie Ihre Prüfungsergebnisse einsehen können. In diesem Tutorial sehen Sie die Prüfungsergebnisse der Auditprüfungen, die im [Aktivieren von Auditprüfungen](#audit-tutorial-enable-checks) Tutorial eingerichtet wurden.

**So zeigen Sie die Prüfungsergebnisse an**

1. Öffnen Sie die [AWS IoT-Konsole](https://console.aws.amazon.com/iot). Erweitern Sie im Navigationsbereich die Optionen **Sicherheit**, **Audit**, und wählen Sie dann **Ergebnisse**.

1. Wählen Sie den **Namen** des Prüfplans aus, den Sie untersuchen möchten.

1. Wählen Sie unter **Nichtkonforme Prüfungen** unter **Abhilfe** die Informationsschaltflächen aus, um Informationen darüber zu erhalten, warum der Vorgang nicht konform ist. Hinweise darüber, wie Sie Ihre nicht konformen Prüfungen regelkonform gestalten können, finden Sie unter [Auditprüfungen](device-defender-audit-checks.md).

## Erstellen von Abhilfemaßnahmen für Audits
<a name="audit-tutorial-mitigation"></a>

Im folgenden Verfahren erstellen Sie eine AWS IoT Device Defender-Abhilfemaßnahme für Prüfungen, um die AWS IoT-Protokollierung zu aktivieren. Jeder Auditprüfung sind Abhilfemaßnahmen zugeordnet, die sich darauf auswirken, welchen **Aktionstyp** Sie für die Prüfung wählen, die Sie korrigieren möchten. Weitere Informationen finden Sie unter [Abhilfemaßnahmen](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-mitigation-actions.html#defender-audit-apply-mitigation-actions.html).

**So verwenden Sie die AWS IoT-Konsole zum Erstellen von Abhilfemaßnahmen**

1. Öffnen Sie die [AWS IoT-Konsole](https://console.aws.amazon.com/iot). Erweitern Sie im Navigationsbereich die Optionen **Sicherheit**, **Erkennen**, und wählen Sie dann **Abhilemaßnahmen**.

1. Wählen Sie auf der Seite **Abhilfemaßnahmen** die Option **Erstellen**.

1. Geben Sie Ihrer Abhilfemaßnahme auf der Seite **Neue Abhilfemaßnahme erstellen** unter **Aktionsname** einen eindeutigen Namen, wie beispielsweise *EnableErrorLoggingAction*.

1. Wählen Sie als **Aktionstyp** die Option **AWS IoT-Protokollierung aktivieren**.

1. Wählen Sie unter **Berechtigungen** die Option **Rolle erstellen**. Verwenden Sie als **Rollenname** *IoTMitigationActionErrorLoggingRole*. Wählen Sie dann die Option **Erstellen**.

1. Wählen Sie unter **Parameter** unter **Rolle für die Protokollierung** die Option `IoTMitigationActionErrorLoggingRole`. Wählen Sie als **Protokollebene** die Option `Error`.

1. Wählen Sie **Erstellen**.

## Anwenden von Abhilfemaßnahmen auf Ihre Prüfungsergebnisse
<a name="apply-mitigation-actions"></a>

Nachstehend wird veranschaulicht, wie Sie Abhilfemaßnahmen auf Ihre Prüfungsergebnisse anwenden können.

**So wirken Sie nicht konformen Prüfungsergebnissen entgegen**

1. Öffnen Sie die [AWS IoT-Konsole](https://console.aws.amazon.com/iot). Erweitern Sie im Navigationsbereich die Optionen **Sicherheit**, **Audit**, und wählen Sie dann **Ergebnisse**.

1. Wählen Sie ein Prüfergebnis aus, auf das Sie reagieren möchten.

1. Überprüfen Sie Ihre Ergebnisse.

1. Wählen Sie **Abhilfemaßnahmen starten**.

1. Wählen Sie für **Protokollierung deaktiviert** die Abhilfemaßnahme, die Sie zuvor erstellt haben, `EnableErrorLoggingAction`. Sie können für jedes nicht konforme Ergebnis die entsprechenden Maßnahmen auswählen, um die Probleme zu beheben.

1. Wählen Sie unter **Ursachencodes auswählen** den Ursachencode aus, der bei der Prüfung zurückgegeben wurde.

1. Wählen Sie **Aufgabe starten**. Die Ausführung der Abhilfemaßnahmen kann einige Minuten dauern.

**So überprüfen Sie, ob die Abhilfemaßnahme funktioniert hat**

1. Wählen Sie im Navigationsbereich der AWS IoT-Konsole die Option **Einstellungen**.

1. Vergewissern Sie sich im **Dienstprotokoll**, dass die **Protokollebene** `Error (least verbosity)` ist.

## Erstellen einer AWS IoT Device Defender Audit-IAM-Rolle (optional)
<a name="audit-iam"></a>

Im folgenden Verfahren erstellen Sie eine AWS IoT Device Defender Audit-IAM-Rolle, die AWS IoT Device Defender-Lesezugriff auf AWS IoT bietet.

**So erstellen Sie eine Servicerolle für AWS IoT Device Defender (IAM-Konsole)**

1. Melden Sie sich bei der AWS-Managementkonsole an, und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Klicken Sie im Navigationsbereich der IAM-Konsole auf **Rollen**, und wählen Sie dann **Rolle erstellen**.

1. Wählen Sie den Rollentyp **AWS-Service**.

1. Wählen Sie unter **Anwendungsfälle für andere AWS Dienste verwenden** die Option **AWS IoT**. Wählen Sie dann **IoT — Device Defender Audit**.

1. Wählen Sie **Weiter**.

1. (Optional) Legen Sie eine [Berechtigungsgrenze](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) fest. Dies ist ein erweitertes Feature, das für Servicerollen verfügbar ist, aber nicht für servicegebundene Rollen. 

   Öffnen Sie den Abschnitt **Permissions boundary** (Berechtigungsgrenze) und wählen Sie **Use a permissions boundary to control the maximum role permissions** (Eine Berechtigungsgrenze verwenden, um die maximalen Rollen-Berechtigungen zu steuern). IAM enthält eine Liste der von AWS verwalteten und vom Kunden verwaltete Richtlinien in Ihrem Konto. Wählen Sie die Richtlinie aus, die für die Berechtigungsgrenze verwendet werden soll, oder wählen **Create policy (Richtlinie erstellen)**, um eine neue Registerkarte im Browser zu öffnen und eine vollständig neue Richtlinie zu erstellen. Weitere Informationen finden Sie unter [Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) im *IAM-Benutzerhandbuch*. Nachdem Sie die Richtlinie erstellt haben, schließen Sie die Registerkarte und kehren zur ursprünglichen Registerkarte zurück, um die Richtlinie auszuwählen, die für die Berechtigungsgrenze verwendet werden soll.

1. Wählen Sie **Weiter** aus.

1. Geben Sie unter Rollenname einen Rollennamen ein, der Ihnen hilft, den Zweck dieser Rolle zu identifizieren. Rollennamen müssen innerhalb Ihres eindeutig sein AWS-Konto. Es wird hierbei nicht zwischen Groß- und Kleinschreibung unterschieden. z. B. können Sie keine Rollen erstellen, die **PRODROLE** bzw. **prodrole** heißen. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung nicht bearbeitet werden.

1. (Optional) Geben Sie unter **Description** (Beschreibung) eine Beschreibung für die neue Rolle ein.

1. Wählen Sie in den Abschnitten **Step 1: Select trusted entities** (Schritt 1: Vertrauenswürdige Entitäten auswählen) oder **Step 2: Add permissions** (Schritt 2: Berechtigungen hinzufügen) die Option **Edit** (Bearbeiten), um die Anwendungsfälle und Berechtigungen für die Rolle zu bearbeiten. 

1. (Optional) Fügen Sie dem Benutzer Metadaten hinzu, indem Sie Markierungen als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter [Markieren von IAM-Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) im *IAM-Benutzerhandbuch*.

1. Prüfen Sie die Rolle und klicken Sie dann auf **Rolle erstellen**.

## Aktivieren von SNS-Benachrichtigungen (optional)
<a name="audit-tutorial-enable-sns"></a>

Im folgenden Verfahren aktivieren Sie Amazon SNS (SNS)-Benachrichtigungen, die Sie darüber benachrichtigen, wenn bei Ihren Audits nicht-konforme Ressourcen identifiziert werden. In diesem Tutorial richten Sie Benachrichtigungen für die im [Aktivieren von Auditprüfungen](#audit-tutorial-enable-checks)-Tutorial aktivierten Auditprüfungen ein.

1. Falls Sie dies noch nicht getan haben, fügen Sie eine Richtlinie hinzu, die den Zugriff auf SNS über AWS-Managementkonsole ermöglicht. Folgen Sie dazu den Anweisungen unter [Anhängen einer Richtlinie an eine IAM-Benutzergruppe](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_attach-policy.html) im *IAM-Benutzerhandbuch* und wählen Sie die Richtlinie **AWSIoTDeviceDefenderPublishFindingsToSNSMitigationAction** aus.

1. Öffnen Sie die [AWS IoT-Konsole](https://console.aws.amazon.com/iot). Erweitern Sie im Navigationsbereich die Optionen **Sicherheit**, **Audit**, und wählen Sie dann **Einstellungen**.

1. Wählen Sie unten auf der Seite mit den **Device Defender-Überwachungseinstellungen** die Option **SNS-Benachrichtigungen aktivieren**.

1. Wählen Sie **Aktiviert**.

1. Wählen Sie **Themen** und danach **Neues Thema erstellen**. Geben Sie dem Thema den Namen *IoTDDNotifications* und wählen Sie **Erstellen**. Wählen Sie für **Role** die Rolle aus, die Sie in [Erstellen einer AWS IoT Device Defender Audit-IAM-Rolle (optional)](#audit-iam) erstellt haben.

1. Wählen Sie **Aktualisieren**.

1. Wenn Sie E-Mails oder Textnachrichten auf Ihren Ops-Plattformen über Amazon SNS erhalten möchten, finden Sie weitere Informationen unter [Verwenden von Amazon Simple Notification Service für Benutzerbenachrichtigungen](https://docs.aws.amazon.com/sns/latest/dg/sns-user-notifications.html).

## Konfigurieren von Berechtigungen für kundenseitig verwaltete Schlüssel (optional)
<a name="audit-tutorial-cmk-permissions"></a>

**Anmerkung**  
Diese Konfiguration ist nur erforderlich, wenn Sie sich für kundenseitig verwaltete Schlüssel für AWS IoT Core entschieden haben. Weitere Informationen zur Verschlüsselung im Ruhezustand in AWS IoT Core finden Sie unter [Datenverschlüsselung im Ruhezustand in AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/encryption-at-rest.html).

Wenn Sie kundenseitig verwaltete Schlüssel (CMK) für die Verschlüsselung im Ruhezustand in AWS IoT Core aktiviert haben, erfordert die von AWS IoT Device Defender Audit verwendete IAM-Rolle zusätzliche Berechtigungen zum Entschlüsseln von Daten. Ohne diese Berechtigungen schlagen Ihre Audit-Operationen fehl.

Die von [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIoTDeviceDefenderAudit.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIoTDeviceDefenderAudit.html) verwaltete Richtlinie beinhaltet standardmäßig keine `kms:Decrypt`-Berechtigungen und folgt damit dem Prinzip der geringsten Berechtigung. Sie müssen diese Berechtigungen manuell zu Ihrer Audit-Rolle hinzufügen, wenn Sie kundenseitig verwaltete Schlüssel verwenden.

**So fügen Sie KMS-Berechtigungen zu Ihrer IAM-Rolle von AWS IoT Device Defender Audit hinzu**

1. Melden Sie sich bei der AWS-Managementkonsole an, und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Wählen Sie im Navigationsbereich **Rollen** aus und suchen Sie dann nach der Rolle, die Sie in [Erstellen einer AWS IoT Device Defender Audit-IAM-Rolle (optional)](#audit-iam) erstellt haben, oder nach der Rolle, die Sie bei der Konfiguration der Audit-Einstellungen angegeben haben.

1. Wählen Sie den Rollennamen aus, um seine Detailseite zu öffnen.

1. Wählen Sie auf der Registerkarte **Berechtigungen** die Option **Berechtigungen hinzufügen** und dann **Inline-Richtlinie erstellen** aus.

1. Wählen Sie die Registerkarte **JSON** aus und geben Sie die folgende Richtlinie ein. Ersetzen Sie *REGION*, *ACCOUNT\$1ID* und *KEY\$1ID* durch die Details Ihres AWS KMS-Schlüssels:

   ```
   {
     "Version": "2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "kms:Decrypt"
         ],
         "Resource": "arn:aws:kms:REGION:ACCOUNT_ID:key/KEY_ID"
       }
     ]
   }
   ```

1. Wählen Sie **Weiter** aus.

1. Geben für **Richtlinienname** einen beschreibenden Namen wie **DeviceDefenderAuditKMSDecrypt** ein.

1. Wählen Sie **Richtlinie erstellen** aus.

## Aktivieren der Protokollierung (optional)
<a name="enable-logging"></a>

In diesem Verfahren wird beschrieben, wie Sie AWS IoT aktivieren, um Informationen in CloudWatch-Protokollen zu protokollieren. Auf diese Weise können Sie Ihre Prüfungsergebnisse einsehen. Durch die Protokollierung können Gebühren anfallen.

**So aktivieren Sie die Protokollierung**

1. Öffnen Sie die [AWS IoT-Konsole](https://console.aws.amazon.com/iot). Klicken Sie im Navigationsbereich auf **Einstellungen**.

1. Wählen Sie unter **Protokolle** die Option **Protokolle verwalten**.

1. Wählen Sie unter **Rolle auswählen** die Option **Rolle erstellen**. Geben Sie der Rolle den Namen *awsiotLoggingRole* und wählen Sie **Erstellen**. Es wird automatisch eine Richtlinie angehängt.

1. Wählen Sie für **Protokollstufe** die Option **Debuggen (größte Ausführlichkeit**).

1. Wählen Sie **Aktualisieren**.