As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Ativando os recursos recomendados e Serviços da AWS for AWS Audit Manager
Agora que você habilitou AWS Audit Manager, é hora de configurar os recursos e integrações recomendados para aproveitar ao máximo o serviço.
Principais pontos
Para uma experiência ideal no Audit Manager, recomendamos que você configure os seguintes recursos e habilite o seguinte Serviços da AWS.
Tarefas
Configurar os atributos recomendados do Audit Manager
Depois de habilitar o Audit Manager, recomendamos que você habilite o atributo de localização de evidências.
Localizador de evidências fornece uma maneira poderosa de pesquisar evidências no Audit Manager. Em vez de navegar em pastas de evidências profundamente aninhadas para encontrar o que está procurando, você pode usar o localizador de evidências para consultar rapidamente suas evidências. Se usar o localizador de evidências como administrador delegado, poderá pesquisar evidências em todas as contas membros da sua organização.
Ao usar uma combinação de filtros e agrupamentos, você pode restringir progressivamente o escopo da sua consulta de pesquisa. Por exemplo, se quiser uma visão de alto nível da integridade do sistema, faça uma pesquisa ampla e filtre por avaliação, intervalo de datas e conformidade de atributos. Se sua meta for remediar um atributo específico, você pode realizar uma pesquisa restrita para direcionar evidências de um controle ou ID de atributo específico. Depois de definir seus filtros, você pode agrupar e visualizar os resultados da correspondentes antes de criar um relatório de avaliação.
Configure integrações recomendadas com outros Serviços da AWS
Para uma experiência ideal no Audit Manager, é altamente recomendável que você habilite o seguinte Serviços da AWS:
-
AWS Organizations — Você pode usar o Organizations para executar avaliações do Audit Manager em várias contas e consolidar evidências em uma conta de administrador delegado.
-
AWS Security Hub e AWS Config— O Audit Manager confia nesses Serviços da AWS como fontes de dados para coleta de evidências. Quando você ativa AWS Config e o Security Hub, o Audit Manager pode operar com todas as suas funcionalidades, coletando evidências abrangentes e relatando com precisão os resultados das verificações de conformidade diretamente desses serviços.
Importante
Se você não habilitar e configurar AWS Config e no Security Hub, você não poderá coletar a evidência pretendida para muitos controles em suas avaliações do Audit Manager. Como resultado, você corre o risco de uma coleta de evidências incompleta ou malsucedida para determinados controles. Mais especificamente:
-
Se o Audit Manager tentar usar AWS Config como uma fonte de dados de controle, mas o necessário AWS Config as regras não estão habilitadas, nenhuma evidência será coletada para esses controles.
-
Da mesma forma, se o Audit Manager tentar usar o Security Hub como fonte de dados de controle, mas os padrões exigidos não estiverem habilitados no Security Hub, nenhuma evidência será coletada para esses controles.
Para mitigar esses riscos e garantir uma coleta abrangente de evidências, siga as etapas nesta página para ativar e configurar AWS Config e o Security Hub antes de criar suas avaliações do Audit Manager.
Muitos controles no Audit Manager exigem AWS Config como um tipo de fonte de dados. Para oferecer suporte a esses controles, você deve habilitar AWS Config em todas as contas em cada Região da AWS onde o Audit Manager está ativado.
O Audit Manager não gerencia AWS Config para você. Você pode seguir estas etapas para ativar AWS Config e defina suas configurações.
Importante
Habilitando AWS Config é uma recomendação opcional. No entanto, se você habilitar AWS Config, as seguintes configurações são obrigatórias. Se o Audit Manager tentar coletar evidências para controles que usam AWS Config como um tipo de fonte de dados e AWS Config não está configurado conforme descrito abaixo, nenhuma evidência é coletada para esses controles.
Tarefas para integrar AWS Config com Audit Manager
Etapa 1: ativar AWS Config
Você pode ativar AWS Config usando o AWS Config console ouAPI. Para obter instruções, consulte Introdução ao AWS Config no AWS Config Guia do desenvolvedor.
Etapa 2: configure seu AWS Config configurações para uso com o Audit Manager
Depois de ativar AWS Config, certifique-se de que você também habilite AWS Config crie regras ou implante um pacote de conformidade para o padrão de conformidade relacionado à sua auditoria. Essa etapa garante que o Audit Manager possa importar descobertas para o AWS Config regras que você habilitou.
Depois de ativar um AWS Config regra, recomendamos que você revise os parâmetros dessa regra. Em seguida, você deve validar esses parâmetros em relação aos requisitos do framework de conformidade escolhido. Se necessário, você pode atualizar os parâmetros de uma regra no AWS Configpara garantir que ele esteja alinhado com os requisitos da estrutura. Isso ajudará a garantir que suas avaliações coletem as evidências corretas de verificação de conformidade para um determinado framework.
Por exemplo, suponha que você esteja criando uma avaliação para a CIS versão 1.2.0. Esse framework tem um controle chamado 1.4 — Garanta que as chaves de acesso sejam alternadas a cada 90 dias ou menos. Em AWS Config, a access-keys-rotatedregra tem um maxAccessKeyAge
parâmetro com um valor padrão de 90 dias. Como resultado, a regra se alinha aos requisitos de controle. Se você não estiver usando o valor padrão, verifique se o valor que você está usando é igual ou maior que o requisito de 90 dias da CIS versão 1.2.0.
Você pode encontrar os detalhes do parâmetro padrão para cada regra gerenciada na AWS Config documentação. Para obter instruções sobre como configurar uma regra, consulte Trabalhando com AWS Config Regras gerenciadas.
Muitos controles no Audit Manager exigem o Security Hub como tipo de fonte de dados. Para oferecer suporte a esses controles, você deve habilitar o Security Hub em todas as contas em cada região onde o Audit Manager estiver habilitado.
O Audit Manager não gerencia o Security Hub para você. Você pode seguir estas etapas para habilitar o Security Hub e definir suas configurações.
Importante
Habilitar o Security Hub é uma recomendação opcional. No entanto, se habilitar o Security Hub, as seguintes configurações serão necessárias. Se o Audit Manager tentar coletar evidências para controles que usam o Security Hub como um tipo de fonte de dados e o Security Hub não estiver configurado conforme descrito abaixo, nenhuma evidência será coletada para esses controles.
Tarefas para integrar AWS Security Hub com Audit Manager
Etapa 1: ativar AWS Security Hub
Você pode habilitar o Security Hub usando o console ou API o. Para obter instruções, consulte Configuração AWS Security Hub no AWS Security Hub Guia do usuário.
Etapa 2: Definir as configurações do Security Hub para uso com o Audit Manager
Depois de habilitar o Security Hub, certifique-se de também fazer o seguinte:
-
Habilitar AWS Config e configurar a gravação de recursos — o Security Hub usa serviços vinculados AWS Config regras para realizar a maioria de suas verificações de segurança para controles. Para apoiar esses controles, AWS Config devem ser habilitados e configurados para registrar os recursos necessários para os controles que você ativou em cada padrão habilitado.
-
Habilitar todos os padrões de segurança — Essa etapa garante que o Audit Manager possa importar descobertas para todos os padrões de conformidade compatíveis.
-
Ativar a configuração de descobertas de controle consolidadas no Security Hub - Essa configuração será ativada por padrão se você habilitar o Security Hub em ou após 23 de fevereiro de 2023.
nota
Quando você habilita descobertas consolidadas, o Security Hub produz uma única descoberta para cada verificação de segurança (mesmo que a mesma verificação seja usada em vários padrões). Cada descoberta do Security Hub é coletada como uma avaliação de recurso exclusiva no Audit Manager. Como resultado, as descobertas consolidadas resultam em uma diminuição do total de avaliações exclusivas de atributos que o Audit Manager desempenha para as descobertas do Security Hub. Por esse motivo, o uso de descobertas consolidadas geralmente pode resultar em uma redução nos custos de uso do Audit Manager. Para obter mais informações sobre como usar o Security Hub como um tipo de fonte de dados, consulte AWS Security Hub controles suportados por AWS Audit Manager. Para obter mais informações sobre os preços do Audit Manager, consulte AWS Audit Manager Preços
.
Etapa 3: Definir as configurações de Organizations para sua organização
Se você usa AWS Organizations e se quiser coletar evidências do Security Hub de suas contas de membros, você também deve executar as seguintes etapas no Security Hub.
Para definir as configurações do Security Hub
Faça login no AWS Management Console e abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/
. -
Usando seu AWS Organizations conta de gerenciamento, designe uma conta como administrador delegado do Security Hub. Para obter mais informações, consulte Designando uma conta de administrador do Security Hub no AWS Security Hub Guia do usuário.
nota
Certifique-se de que a conta de administrador delegado designada no Security Hub é a mesma que você usa no Audit Manager.
-
Usando sua conta de administrador delegado do Organizations, acesse Configurações, Contas, selecione todas as contas e adicione-as como membros selecionando Inscrição automática. Para obter mais informações, consulte Habilitando contas de membros de sua organização no AWS Security Hub Guia do usuário.
-
Enable (Habilitar) AWS Config para cada conta de membro da organização. Para obter mais informações, consulte Habilitando contas de membros de sua organização no AWS Security Hub Guia do usuário.
-
Ative o padrão de PCI DSS segurança para cada conta de membro da organização. A ferramenta AWS CISO padrão Foundations Benchmark e o AWS O padrão de melhores práticas básicas já está habilitado por padrão. Para obter mais informações, consulte Habilitando um padrão de segurança no AWS Security Hub Guia do usuário.
O Audit Manager suporta várias contas por meio da integração com AWS Organizations. O Audit Manager pode executar avaliações em várias contas e consolidar evidências em uma conta de administrador delegado. O administrador delegado tem permissões para criar e gerenciar atributos do Audit Manager com a organização como zona de confiança. Somente a conta de gerenciamento pode designar um administrador delegado.
Importante
Habilitando AWS Organizations é uma recomendação opcional. No entanto, se você habilitar AWS Organizations, as seguintes configurações são obrigatórias.
Tarefas para integrar AWS Organizations com Audit Manager
Etapa 1: criar ou participar de uma organização
Se suas receitas Conta da AWS não faz parte de uma organização, você pode criar ou participar de uma organização. Para obter instruções, consulte Criação e gerenciamento de uma organização no AWS Organizations Guia do usuário.
Etapa 2: habilitar todos os recursos na sua organização
Em seguida, você deve habilitar todos os recursos da sua organização. Para obter instruções, consulte Habilitando todos os recursos em sua organização no AWS Organizations Guia do usuário.
Etapa 3: especificar um administrador delegado para o Audit Manager
Recomendamos que habilite o Audit Manager usando uma conta de gerenciamento do Organizations e, em seguida, especifique um administrador delegado. Depois disso, você pode usar a conta de administrador delegado para fazer login e executar avaliações. É uma prática recomendada criar avaliações usando apenas a conta de administrador delegado em vez da conta de gerenciamento.
Para adicionar ou alterar um administrador delegado depois de ativar o Audit Manager, consulte Adicionar um administrador delegado e. Alterando um administrador delegado
Próximas etapas
Agora que você configurou o Audit Manager com as configurações recomendadas, você está pronto para começar a usar o serviço.
-
Para começar com sua primeira avaliação, consulteTutorial para proprietários de auditoria: criando uma avaliação.
-
Para atualizar suas configurações futuramente, consulteRevisando e definindo suas configurações AWS Audit Manager.