# Guida di audit
Questo tutorial fornisce istruzioni su come configurare un audit ricorrente, impostare gli allarmi, esaminare i risultati dell'audit e mitigare i problemi di audit.
**Topics**
+ [Prerequisiti](#audit-tutorial-prerequisites)
+ [Abilita i controlli di auditing](#audit-tutorial-enable-checks)
+ [Visualizza i risultati di audit](#audit-tutorial-view-audit)
+ [Creazione di operazioni di mitigazione dell'audit](#audit-tutorial-mitigation)
+ [Applica operazioni di attenuazione ai risultati del controllo audit](#apply-mitigation-actions)
+ [Creazione di un ruolo IAM di verifica AWS IoT Device Defender (facoltativo)](#audit-iam)
+ [Abilita notifiche SNS (facoltativo)](#audit-tutorial-enable-sns)
+ [Configurare le autorizzazioni per le chiavi gestite dal cliente (opzionale)](#audit-tutorial-cmk-permissions)
+ [Abilita la registrazione (facoltativo)](#enable-logging)
## Prerequisiti
Per completare questo tutorial, è necessario quanto segue:
+ Un Account AWS. Se non è stato creato, consulta [Configurazione](https://docs.aws.amazon.com/iot/latest/developerguide/dd-setting-up.html).
## Abilita i controlli di auditing
Nella procedura seguente è possibile abilitare i controlli di audit che analizzano le impostazioni e le policy di account e dispositivi per garantire l'applicazione delle misure di sicurezza. In questo tutorial ti chiediamo di abilitare tutti i controlli di audit, ma sei in grado di selezionare qualsiasi controllo desideri.
I prezzi di controllo auditing sono per numero di dispositivi al mese (dispositivi del parco istanze connessi a AWS IoT). Pertanto, l'aggiunta o la rimozione di controlli di audit non influirebbe sulla fattura mensile quando si utilizza questa funzionalità.
1. Apri la [AWS IoT console](https://console.aws.amazon.com/iot). Nel riquadro di navigazione, apri **Sicurezza** e scegli **Introduzione**.
1. Scegli **Automazione della verifica di sicurezza AWS IoT**. I controlli di verifica vengono attivati automaticamente.
1. Espandi **Verifica** e scegli **Impostazioni** per visualizzare i controlli di verifica. Seleziona il nome del controllo di verifica per conoscere le operazioni eseguite dal controllo di verifica. Per ulteriori informazioni sui controlli di audit, consulta [Controlli di audit](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-audit-checks.html).
1. (Opzionale) Se già disponi di un ruolo che desideri utilizzare, scegli **Gestisci le autorizzazioni del servizio**, scegli il ruolo dall'elenco, quindi scegli **Aggiorna**.
## Visualizza i risultati di audit
La procedura seguente mostra come visualizzare i risultati di audit. In questo tutorial vengono visualizzati i risultati dei di audit impostati nel tutorial [Abilita i controlli di auditing](#audit-tutorial-enable-checks).
**Per visualizzare i risultati di audit**
1. Apri la [AWS IoT console](https://console.aws.amazon.com/iot). Nel riquadro di navigazione, espandi **Sicurezza**, **Verifica** e quindi scegli **Risultati**.
1. Seleziona la casella **Nome** del controllo di verifica che desideri analizzare.
1. In **Controlli non conformi**, sotto **Mitigazione**, seleziona i pulsanti informativi per informazioni sul motivo per cui non c'è conformità. Per le linee guida su come effettuare i controlli di non conformità, consulta [Controlli di audit](device-defender-audit-checks.md).
## Creazione di operazioni di mitigazione dell'audit
Nella procedura seguente, verrà creata un’operazione di mitigazione delle verifiche AWS IoT Device Defender per abilitare la registrazione di AWS IoT. Ogni controllo di audit ha mappato le operazioni di mitigazione che influiranno sul **Tipo di operazione** scelto per il controllo di audit che desideri correggere. Per ulteriori informazioni, consulta [Operazioni di mitigazione](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-mitigation-actions.html#defender-audit-apply-mitigation-actions.html).
**Per utilizzare la console AWS IoT per creare operazioni di mitigazione**
1. Apri la [AWS IoT console](https://console.aws.amazon.com/iot). Nel riquadro di navigazione, espandi **Sicurezza**, **Rileva** e quindi scegli **Operazioni di mitigazione**.
1. Nella pagina **Mitigation actions** (Operazioni di mitigazione) scegli **Create** (Crea).
1. Nella pagina **Crea una nuova operazione di mitigazione**, in **Nome operazione**, immetti un nome univoco per l'operazione di mitigazione come, ad esempio, *EnableErrorLoggingAction*.
1. In **Tipo di operazione**, scegli **Abilita registrazione AWS IoT**.
1. In **Autorizzazioni**, scegli **Crea ruolo**. Per **Nome ruolo**, usa *IoTMitigationActionErrorLoggingRole*. Quindi scegli **Create (Crea)**.
1. In **Parametri**, sotto **Ruolo per la registrazione**, seleziona `IoTMitigationActionErrorLoggingRole`. Per **Log level (Livello di log)**, scegli `Error`.
1. Seleziona **Create** (Crea).
## Applica operazioni di attenuazione ai risultati del controllo audit
La procedura seguente mostra come applicare le operazioni di attenuazione ai risultati dell’audit.
**Per mitigare i risultati di audit non conformi**
1. Apri la [AWS IoT console](https://console.aws.amazon.com/iot). Nel riquadro di navigazione, espandi **Sicurezza**, **Verifica** e quindi scegli **Risultati**.
1. Scegli un risultato della verifica a cui desideri rispondere.
1. Controlla i risultati.
1. Scegli **Start mitigation actions** (Avvia operazioni di mitigazione).
1. Per **Registrazione disabilitata**, scegli l'operazione di mitigazione che hai creato in precedenza, `EnableErrorLoggingAction`. Per risolvere i problemi, puoi selezionare le operazioni appropriate per ogni esito non conforme.
1. Per **Seleziona codici motivo**, scegli il codice del motivo che è stato restituito dal controllo di verifica.
1. Scegli **Avvia attività**. L'esecuzione dell'operazione di mitigazione potrebbe richiedere alcuni minuti.
**Per verificare che l'operazione di mitigazione abbia funzionato**
1. Nella console AWS IoT, nel riquadro di navigazione scegli **Impostazioni**.
1. In **Registro del servizio**, conferma che **Livello di log** sia `Error (least verbosity)`.
## Creazione di un ruolo IAM di verifica AWS IoT Device Defender (facoltativo)
Nella procedura seguente, è possibile creare un ruolo IAM di verifica AWS IoT Device Defender che fornisce a AWS IoT Device Defender l’accesso in lettura per AWS IoT.
**Creazione del ruolo di servizio per AWS IoT Device Defender (console IAM)**
1. Accedi alla Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel pannello di navigazione della console IAM, scegliere **Ruoli** e quindi **Crea ruolo**.
1. Scegli il tipo di ruolo **Servizio AWS**.
1. In **Casi d'uso per altri servizi AWS**, scegli **AWS IoT**, quindi scegli **IoT - Impostazioni di audit di Device Defender**.
1. Scegli **Next (Successivo)**.
1. (Facoltativo) Impostare un [limite delle autorizzazioni](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Questa è una funzionalità avanzata disponibile per i ruoli di servizio, ma non per i ruoli collegati ai servizi.
Apri la sezione **Permissions boundary** (Limite delle autorizzazioni) e scegli **Use a permissions boundary to control the maximum role permissions** (Usa un limite delle autorizzazioni per controllare il numero massimo di autorizzazioni del ruolo). IAM include un elenco delle policy gestite da AWS e dal cliente nel tuo account. Selezionare la policy da utilizzare per il limite delle autorizzazioni o scegliere **Crea policy** per aprire una nuova scheda del browser e creare una nuova policy da zero. Per ulteriori informazioni, consulta [Creating IAM policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) nella *Guida per l’utente di IAM*. Una volta creata la policy, chiudi la scheda e torna alla scheda originale per selezionare la policy da utilizzare per il limite delle autorizzazioni.
1. Scegli **Next (Successivo)**.
1. Inserisci un nome del ruolo che consenta di identificarne lo scopo. I nomi dei ruoli devono essere univoci all'interno dell' Account AWS. Non fanno distinzione tra maiuscole e minuscole. Ad esempio, non è possibile creare ruoli denominati sia **PRODROLE** che **prodrole**. Poiché varie entità possono fare riferimento al ruolo, non è possibile modificare il nome del ruolo dopo averlo creato.
1. (Facoltativo) In **Descrizione**, inserisci una descrizione per il nuovo ruolo.
1. Scegli **Modifica** nelle sezioni **Fase 1: seleziona le entità attendibili** o **Fase 2: seleziona autorizzazioni** per modificare i casi d'uso e le autorizzazioni per il ruolo.
1. (Facoltativo) Aggiungi metadati all'utente collegando i tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo di tag in IAM, consulta la sezione [Applicazione di tag alle risorse IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) nella *Guida per l'utente di IAM*.
1. Rivedere il ruolo e scegliere **Crea ruolo**.
## Abilita notifiche SNS (facoltativo)
Nella procedura seguente, è possibile abilitare le notifiche Amazon SNS (SNS) per avvisare l'utente quando le verifiche identificano eventuali risorse non conformi. In questo tutorial verranno impostate le notifiche per i controlli di audit abilitati nel tutorial [Abilita i controlli di auditing](#audit-tutorial-enable-checks).
1. Se non l'hai già fatto, collega una policy che fornisce l'accesso a SNS attraverso la Console di gestione AWS. Puoi effettuare questa operazione seguendo le istruzioni in [Collegamento di una policy a un gruppo di utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_attach-policy.html) nella *Guida per l'utente IAM* e selezionando la policy **AWSIoTDeviceDefenderPublishFindingsToSNSMitigationAction**.
1. Apri la [AWS IoT console](https://console.aws.amazon.com/iot). Nel riquadro di navigazione, espandi **Sicurezza**, **Verifica** e quindi scegli **Impostazioni**.
1. Nella parte inferiore della pagina **Impostazioni di audit di Device Defender**, scegli **Abilita gli avvisi SNS**.
1. Scegli **Enabled** (Abilitato).
1. Per **Argomento**, scegli **Crea nuovo argomento**. Denomina l'argomento *IoTDDNotifications* e seleziona **Crea**. Per **Ruolo** scegli il ruolo creato in [Creazione di un ruolo IAM di verifica AWS IoT Device Defender (facoltativo)](#audit-iam).
1. Scegliere **Aggiorna**.
1. Se desideri ricevere e-mail o messaggi nelle tue piattaforme Ops tramite SNS, consulta [Utilizzo di Amazon Simple Notification Service per notifiche all'utente](https://docs.aws.amazon.com/sns/latest/dg/sns-user-notifications.html).
## Configurare le autorizzazioni per le chiavi gestite dal cliente (opzionale)
**Nota**
Questa configurazione è necessaria solo se hai optato per le chiavi gestite dal cliente per AWS IoT Core. Per ulteriori informazioni sulla crittografia dei dati inattivi su AWS IoT Core, consulta [Crittografia dei dati inattivi in AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/encryption-at-rest.html).
Se hai abilitato le chiavi gestite dai clienti (CMK) per la crittografia AWS IoT Core dei dati inattivi, il ruolo IAM utilizzato da AWS IoT Device Defender Audit richiede autorizzazioni aggiuntive per decrittografare i dati. Senza queste autorizzazioni, le operazioni di audit avranno esito negativo.
La policy [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIoTDeviceDefenderAudit.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIoTDeviceDefenderAudit.html) gestita non include le autorizzazioni `kms:Decrypt` in base alla progettazione, secondo il principio del privilegio minimo. È necessario aggiungere manualmente queste autorizzazioni al proprio ruolo di audit quando si utilizzano chiavi gestite dal cliente.
**Per aggiungere le autorizzazioni al ruolo IAM di AWS IoT Device Defender Audit.**
1. Accedi alla Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegli **Ruoli**, quindi cerca il ruolo che hai creato in [Creazione di un ruolo IAM di verifica AWS IoT Device Defender (facoltativo)](#audit-iam) o il ruolo che hai specificato durante la configurazione delle impostazioni di audit.
1. Seleziona il nome del ruolo per aprire la relativa pagina dei dettagli.
1. Nella scheda **Autorizzazioni**, scegli **Aggiungi autorizzazioni**, poi **Crea policy inline**.
1. Scegli la scheda **JSON** e aggiungi la policy seguente. Sostituisci *REGION*, *ACCOUNT\$1ID* e *KEY\$1ID* con i tuoi dettagli chiave AWS KMS:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:REGION:ACCOUNT_ID:key/KEY_ID"
}
]
}
```
1. Scegli **Next (Successivo)**.
1. Per il **nome della policy**, inserisci un nome descrittivo, ad esempio **DeviceDefenderAuditKMSDecrypt**.
1. Scegli **Crea policy**.
## Abilita la registrazione (facoltativo)
Questa procedura descrive come abilitare AWS IoT per registrare le informazioni in CloudWatch Logs. In questo modo è possibile visualizzare i risultati di audit. L'abilitazione della registrazione può comportare spese aggiuntive.
**Per attivare la registrazione**
1. Apri la [AWS IoT console](https://console.aws.amazon.com/iot). Nel riquadro di navigazione, seleziona **Impostazioni**.
1. In **Log**, scegli **Gestisci log**.
1. Per **Seleziona ruolo**, scegli **Crea ruolo**. Denomina il ruolo *AWSIoTLoggingRole* e scegli **Crea**. Viene collegata automaticamente una policy.
1. Per **Livello di log**, scegli **Debug (livello massimo di dettaglio)**.
1. Scegliere **Aggiorna**.