Guía de auditoría - AWS IoT Device Defender
Requisitos previosHabilitación de comprobaciones de auditoríaVisualización de los resultados de auditoríaCreación de acciones de mitigación de auditoríaAplicación de acciones de mitigación a los resultados de la auditoríaCreación de un rol de IAM de auditoría de AWS IoT Device Defender (opcional)Habilitación de notificaciones de SNS (opcional)Habilitación del registro (opcional)

Guía de auditoría

Este tutorial proporciona instrucciones sobre cómo configurar una auditoría periódica, configurar alarmas, revisar los resultados y mitigar los problemas.

Requisitos previos

Necesitará lo siguiente para completar este tutorial:

Habilitación de comprobaciones de auditoría

En el siguiente procedimiento, habilite las comprobaciones de auditoría que analizan la configuración y las políticas de la cuenta y el dispositivo para garantizar que se apliquen las medidas de seguridad. En este tutorial le indicamos que habilite todas las comprobaciones de auditoría, pero podrá seleccionar las que desee.

Los precios de las auditorías se calculan por número de dispositivos al mes (dispositivos de la flota conectados a AWS IoT). Por lo tanto, agregar o eliminar comprobaciones de auditoría no afectaría a la factura mensual al utilizar esta característica.

  1. Abra la consola de AWS IoT. En el panel de navegación, elija Seguridad e Intro.

  2. Seleccione Automatizar auditoría de seguridad de AWS IoT. Las comprobaciones de auditoría se activan automáticamente.

  3. Expanda Auditoría y seleccione Configuración para ver las comprobaciones de auditoría. Seleccione un nombre de comprobación de auditoría para obtener información sobre lo que hace la comprobación de auditoría. Para obtener más información sobre las comprobaciones de auditoría, consulte Comprobaciones de auditoría.

  4. (Opcional) Si ya tiene un rol que quiere usar, elija Administrar permisos de servicio, seleccione el rol en la lista y, a continuación, elija Actualizar.

Visualización de los resultados de auditoría

En el siguiente procedimiento se muestra cómo ver los resultados de auditoría. En este tutorial, verá los resultados de las comprobaciones de auditoría configuradas en el tutorial Habilitación de comprobaciones de auditoría.

Para ver los resultados de auditoría

  1. Abra la consola de AWS IoT. En el panel de navegación, expanda Seguridad, Auditoría y, a continuación, seleccione Resultados.

  2. Seleccione el nombre de la programación de auditoría que desee investigar.

  3. En Comprobaciones no compatibles, en Mitigación, seleccione los botones de información para obtener información sobre los motivos por los que no son compatibles. Para obtener información sobre cómo hacer que las comprobaciones no compatibles sí lo sean, consulte Comprobaciones de auditoría.

Creación de acciones de mitigación de auditoría

En el siguiente procedimiento, creará una acción de mitigación de auditoría de AWS IoT Device Defender para habilitar el registro de AWS IoT. Cada comprobación de auditoría ha asignado las acciones de mitigación que afectarán al tipo de acción que elija para la comprobación de auditoría que quiera corregir. Para obtener más información, consulte Acciones de mitigación.

Para utilizar la consola de AWS IoT para crear acciones de mitigación

  1. Abra la consola de AWS IoT. En el panel de navegación, expanda Seguridad, Detectar y, a continuación, seleccione Acciones de mitigación.

  2. En la página Acciones de mitigación, elija Crear.

  3. En la página Crear una acción de mitigación, en Nombre de la acción, escriba un nombre único para la acción de mitigación, por ejemplo, EnableErrorLoggingAction.

  4. En Tipo de acción, seleccione Habilitar registro de AWS IoT.

  5. En Permisos, seleccione Crear rol. Para el nombre del rol, use IoTMitigationActionErrorLoggingRole. A continuación, elija Crear.

  6. En Parámetros, en Rol para el registro, elija IoTMitigationActionErrorLoggingRole. En Nivel de registro, elija Error.

  7. Seleccione Crear.

Aplicación de acciones de mitigación a los resultados de la auditoría

En el siguiente procedimiento se muestra cómo aplicar acciones de mitigación a los resultados de auditoría.

Para mitigar los resultados de la auditoría no compatibles

  1. Abra la consola de AWS IoT. En el panel de navegación, expanda Seguridad, Auditoría y, a continuación, seleccione Resultados.

  2. Elija un resultado de auditoría al que quiera responder.

  3. Compruebe los resultados.

  4. Seleccione Iniciar las acciones de mitigación.

  5. En Registro desactivado, elija la acción de mitigación que creó anteriormente, EnableErrorLoggingAction. Puede seleccionar las acciones adecuadas para cada resultado no compatible con el fin de abordar los problemas.

  6. En Seleccionar códigos de motivo, elija el código de motivo que devolvió la comprobación de auditoría.

  7. Seleccione Iniciar tarea. La acción de mitigación puede tardar varios minutos en ejecutarse.

Para comprobar que la acción de mitigación ha funcionado

  1. En el panel de navegación de la consola de AWS IoT, seleccione Configuración.

  2. En Registro de servicio, confirme que el nivel de registro es Error (least verbosity).

Creación de un rol de IAM de auditoría de AWS IoT Device Defender (opcional)

En el siguiente procedimiento, se crea un rol de IAM de auditoría de AWS IoT Device Defender que proporcione acceso de lectura de AWS IoT Device Defender a AWS IoT.

Para crear un rol de servicio para AWS IoT Device Defender (consola de IAM)

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la consola de IAM, seleccione Roles y, a continuación, seleccione Crear rol.

  3. Elija el tipo de rol Servicio de AWS.

  4. En Casos de uso para otros servicios de AWS, elija AWS IoT y, a continuación, elija Auditoría de IoT - Device Defender.

  5. Seleccione Siguiente.

  6. (Opcional) Configure un límite de permisos. Se trata de una característica avanzada que está disponible para los roles de servicio, pero no para los roles vinculados a servicios.

    Amplíe la sección Límite de permisos y seleccione Usar un límite de permisos para controlar los permisos máximos de la función. IAM incluye una lista de las políticas administradas por AWS y de las políticas administradas por el cliente de cada cuenta. Seleccione la política que desea utilizar para el límite de permisos o elija Crear política para abrir una pestaña nueva del navegador y crear una política nueva desde cero. Para obtener más información, consulte Creación de políticas de IAM en la Guía del usuario de IAM. Una vez creada la política, cierre la pestaña y vuelva a la pestaña original para seleccionar la política que va a utilizar para el límite de permisos.

  7. Seleccione Siguiente.

  8. Introduzca un nombre de rol que le sea útil para identificar su propósito. Los nombres de rol deben ser únicos en su Cuenta de AWS. No distinguen entre mayúsculas y minúsculas. Por ejemplo, no puede crear funciones denominado tanto PRODROLE como prodrole. Dado que varias entidades pueden hacer referencia al rol, no puede editar el nombre del rol después de crearlo.

  9. (Opcional) En Descripción, ingrese una descripción para el nuevo rol.

  10. Seleccione Editar en las secciones Paso 1: seleccionar entidades de confianza o Paso 2: seleccionar permisos para editar los casos de uso y los permisos del rol.

  11. (Opcional) Asocie etiquetas como pares de clave-valor para agregar metadatos al rol. Para obtener más información sobre el uso de etiquetas en IAM, consulte Etiquetado de recursos de IAM en la Guía de usuario de IAM .

  12. Revise el rol y, a continuación, seleccione Crear rol.

Habilitación de notificaciones de SNS (opcional)

En el siguiente procedimiento, habilite las notificaciones de Amazon SNS (SNS) para que le avisen cuando sus auditorías identifiquen recursos no compatibles. En este tutorial, configurará las notificaciones para las comprobaciones de auditoría habilitadas en el tutorial Habilitación de comprobaciones de auditoría.

  1. Si aún no lo ha hecho, asocie una política que proporcione acceso a SNS a través de AWS Management Console. Para ello, siga las instrucciones de Asociación de una política a un grupo de usuarios de IAM en la Guía del usuario de IAM y seleccione la política AWSIoTDeviceDefenderPublishFindingsToSNSMitigationAction.

  2. Abra la consola de AWS IoT. En el panel de navegación, expanda Seguridad, Auditoría y, a continuación, seleccione Configuración.

  3. En la parte inferior de la página Configuración de auditoría de Device Defender, seleccione Habilitar alertas de SNS.

  4. Elija Enabled (Habilitado).

  5. En Tema, elija Crear nuevo tema. Asigne al tema el nombre IoTDDNotifications y elija Crear. En Rol, elija el rol que creó en Creación de un rol de IAM de auditoría de AWS IoT Device Defender (opcional).

  6. Seleccione Actualizar.

  7. Si desea recibir correos electrónicos o mensajes de texto en sus plataformas Ops a través de Amazon SNS, consulte Uso de Amazon SNS para notificaciones de usuario.

Habilitación del registro (opcional)

En este procedimiento se describe cómo habilitar AWS IoT para registrar información en los registros de CloudWatch. Esto le permitirá ver los resultados de auditoría. Habilitar el registro puede llevar cargos asociados.

Para habilitar el registro

  1. Abra la consola de AWS IoT. En el panel de navegación, seleccione Configuración.

  2. En Registros, elija Administrar registros.

  3. En Seleccionar rol, elija Crear rol. Asigne al rol el nombre AWSIoTLoggingRole y elija Crear. Se asocia automáticamente una política.

  4. En Nivel de registro, elija Depurar (máximo detalle).

  5. Seleccione Actualizar.