Como habilitar os atributos e Serviços da AWS recomendados para o AWS Audit Manager
Agora que você habilitou o AWS Audit Manager, é hora de configurar os atributos e integrações recomendados para aproveitar ao máximo o serviço.
Principais pontos
Para uma experiência ideal no Audit Manager, recomendamos que você configure os seguintes atributos e habilite o seguinte Serviços da AWS.
Tarefas
Configurar os atributos recomendados do Audit Manager
Depois de habilitar o Audit Manager, recomendamos que você habilite o atributo de localização de evidências.
Localizador de evidências fornece uma maneira poderosa de pesquisar evidências no Audit Manager. Em vez de navegar em pastas de evidências profundamente aninhadas para encontrar o que está procurando, você pode usar o localizador de evidências para consultar rapidamente suas evidências. Se usar o localizador de evidências como administrador delegado, poderá pesquisar evidências em todas as contas membros da sua organização.
Ao usar uma combinação de filtros e agrupamentos, você pode restringir progressivamente o escopo da sua consulta de pesquisa. Por exemplo, se quiser uma visão de alto nível da integridade do sistema, faça uma pesquisa ampla e filtre por avaliação, intervalo de datas e conformidade de atributos. Se sua meta for remediar um atributo específico, você pode realizar uma pesquisa restrita para direcionar evidências de um controle ou ID de atributo específico. Depois de definir seus filtros, você pode agrupar e visualizar os resultados da correspondentes antes de criar um relatório de avaliação.
Configure integrações recomendadas com outro Serviços da AWS
Para uma experiência ideal no Audit Manager, recomendamos fortemente que habilite o seguinte Serviços da AWS:
-
AWS Organizations: você pode usar o Organizations para executar avaliações do Audit Manager em várias contas e consolidar evidências em uma conta de administrador delegado.
-
AWS Security Hub e AWS Config: o Audit Manager confia nesses Serviços da AWS como fontes de dados para coleta de evidências. Quando você habilita o AWS Config e o Security Hub, o Audit Manager pode operar com toda a sua funcionalidade, coletando evidências abrangentes e relatando com precisão os resultados das verificações de conformidade diretamente desses serviços.
Importante
Se você não habilitar e configurar o AWS Config e o Security Hub, não poderá coletar a evidência pretendida para muitos controles em suas avaliações do Audit Manager. Como resultado, você corre o risco de uma coleta de evidências incompleta ou malsucedida para determinados controles. Mais especificamente:
-
Se o Audit Manager tentar usar AWS Config como fonte de dados de controle, mas as regras AWS Config necessárias não estiverem habilitadas, nenhuma evidência será coletada para esses controles.
-
Da mesma forma, se o Audit Manager tentar usar o Security Hub como uma fonte de dados de controle, mas os padrões necessários não estiverem habilitados no Security Hub, nenhuma evidência será coletada para esses controles.
Para mitigar esses riscos e garantir uma coleta abrangente de evidências, siga as etapas nesta página para habilitar e configurar o AWS Config e o Security Hub antes de criar suas avaliações do Audit Manager.
Muitos controles no Audit Manager exige o AWS Config como um tipo de fonte de dados. Para oferecer suporte a esses controles, você deve habilitar AWS Config em todas as contas em cada Região da AWS em que o Audit Manager estiver ativado.
O Audit Manager não gerencia AWS Config para você. Você pode seguir estas etapas para habilitar AWS Config e definir suas configurações.
Importante
Habilitar AWS Config é uma recomendação opcional. No entanto, se você habilitar AWS Config, as seguintes configurações serão necessárias. Se o Audit Manager tentar coletar evidências para controles que usam o AWS Config como tipo de fonte de dados e o AWS Config não for configurado como descrito abaixo, nenhuma evidência será coletada para esses controles.
Tarefas para integrar AWS Config ao Audit Manager
Etapa 1: habilitar AWS Config
É possível habilitar AWS Config usando o console AWS Config ou a API. Para obter instruções, consulte Conceitos básicos de AWS Config no Guia do Desenvolvedor do AWS Config.
Etapa 2: Defina suas configurações AWS Config para uso com o Audit Manager
Depois de habilitar AWS Config, certifique-se de também habilitar as regras do AWS Config ou implantar um pacote de conformidade para o padrão de conformidade relacionado à sua auditoria. Essa etapa garante que o Audit Manager possa importar descobertas para as regras do AWS Config que você habilitou.
Depois de habilitar uma regra do AWS Config, recomendamos analisar os parâmetros dessa regra. Em seguida, você deve validar esses parâmetros em relação aos requisitos do framework de conformidade escolhido. Se necessário, você pode atualizar os parâmetros de uma regra do AWS Config para garantir que ela esteja alinhada aos requisitos do framework. Isso ajudará a garantir que suas avaliações coletem as evidências corretas de verificação de conformidade para um determinado framework.
Por exemplo, suponha que você esteja criando uma avaliação para o CIS v1.2.0. Esse framework tem um controle chamado 1.4: garanta que as chaves de acesso sejam alternadas a cada 90 dias ou menos. Em AWS Config, a regra de alternância da chave de acesso tem um parâmetro maxAccessKeyAge com um valor padrão de 90 dias. Como resultado, a regra se alinha aos requisitos de controle. Se você não estiver usando o valor padrão, verifique se o valor que está usando é igual ou maior que o requisito de 90 dias do CIS v1.2.0.
Você pode encontrar os detalhes do parâmetro padrão para cada regra gerenciada na documentação AWS Config. Para obter instruções sobre como configurar uma regra, consulte Como trabalhar com regras gerenciadas pelo AWS Config.
Muitos controles no Audit Manager exigem o Security Hub como um tipo de fonte de dados. Para oferecer suporte a esses controles, você deve habilitar o Security Hub em todas as contas em cada região onde o Audit Manager estiver habilitado.
O Audit Manager não gerencia o Security Hub para você. Você pode seguir estas etapas para habilitar o Security Hub e definir suas configurações.
Importante
Habilitar o Security Hub é uma recomendação opcional. No entanto, se habilitar o Security Hub, as seguintes configurações serão necessárias. Se o Audit Manager tentar coletar evidências para controles que usem o Security Hub como um tipo de fonte de dados e o Security Hub não for configurado conforme a descrição abaixo, nenhuma evidência será coletada para esses controles.
Tarefas para integrar AWS Security Hub ao Audit Manager
Etapa 1: habilitar AWS Security Hub
É possível habilitar o Security Hub usando o console ou a API. Para obter instruções, consulte Configurando AWS Security Hub no Guia do Usuário AWS Security Hub.
Etapa 2: Definir as configurações do Security Hub para uso com o Audit Manager
Depois de habilitar o Security Hub, certifique-se de também fazer o seguinte:
-
Habilitar o AWS Config e configurar a gravação de atributos - O Security Hub usa regras AWS Config vinculadas a serviços para realizar a maioria das verificações de segurança dos controles. Para oferecer suporte a esses controles, AWS Config deve estar habilitado e configurado para registrar os atributos necessários aos controles ativados em cada padrão habilitado.
-
Habilitar todos os padrões de segurança - Essa etapa garante que o Audit Manager possa importar descobertas para todos os padrões de conformidade compatíveis.
-
Ativar a configuração de descobertas de controle consolidadas no Security Hub - Essa configuração será ativada por padrão se você habilitar o Security Hub em ou após 23 de fevereiro de 2023.
nota
Quando você habilita descobertas consolidadas, o Security Hub produz uma única descoberta para cada verificação de segurança (mesmo que a mesma verificação seja usada em vários padrões). Cada descoberta do Security Hub é coletada como uma avaliação de recurso exclusiva no Audit Manager. Como resultado, as descobertas consolidadas resultam em uma diminuição do total de avaliações exclusivas de atributos que o Audit Manager desempenha para as descobertas do Security Hub. Por esse motivo, o uso de descobertas consolidadas geralmente pode resultar em uma redução nos custos de uso do Audit Manager. Para obter mais informações sobre como usar o Security Hub como um tipo de fonte de dados, consulte Controles AWS Security Hub compatíveis com AWS Audit Manager. Para obter mais informações sobre precificação do Audit Manager, consulte Precificação AWS Audit Manager
.
Etapa 3: definir as configurações do Organizations para sua organização
Se você usa o AWS Organizations e deseja coletar evidências do Security Hub de suas contas membro, você também deve executar as seguintes etapas no Security Hub.
Para definir as configurações do Security Hub
Faça login no AWS Management Console e abra o console do AWS Security Hub em https://console.aws.amazon.com/securityhub/
. -
Usando sua conta de gerenciamento AWS Organizations, designe uma conta como administrador delegado do Security Hub. Para obter mais informações, consulte Designando uma conta de administrador do Security Hub no Guia do Usuário AWS Security Hub.
nota
Certifique-se de que a conta de administrador delegado designada no Security Hub é a mesma que você usa no Audit Manager.
-
Usando sua conta de administrador delegado do Organizations, acesse Configurações, Contas, selecione todas as contas e adicione-as como membros selecionando Inscrição automática. Para obter mais informações, consulte Como habilitar contas de membro na sua organização no Guia do usuário AWS Security Hub.
-
Habilite AWS Config para cada conta membro da organização. Para obter mais informações, consulte Como habilitar contas de membro na sua organização no Guia do usuário AWS Security Hub.
-
Habilitar o padrão de segurança PCI DSS para cada conta de membro da organização. Os padrões AWS CIS Foundations Benchmark e AWS Foundational Best Practices já vem habilitados. Para obter mais informações, consulte Habilitando um padrão de segurança no Guia do Usuário AWS Security Hub.
O Audit Manager é compatível com várias contas por meio da integração com AWS Organizations. O Audit Manager pode executar avaliações em várias contas e consolidar evidências em uma conta de administrador delegado. O administrador delegado tem permissões para criar e gerenciar atributos do Audit Manager com a organização como zona de confiança. Somente a conta de gerenciamento pode designar um administrador delegado.
Importante
Habilitar AWS Organizations é uma recomendação opcional. No entanto, se você habilitar AWS Organizations, as seguintes configurações serão necessárias.
Tarefas para integrar AWS Organizations ao Audit Manager
Etapa 1: criar ou participar de uma organização
Se seu Conta da AWS não faz parte de uma organização, você pode criar ou participar de uma organização. Para obter instruções, consulte Criando e gerenciando uma organização no Guia do Usuário AWS Organizations.
Etapa 2: habilitar todos os recursos na sua organização
Em seguida, você deve habilitar todos os recursos da sua organização. Para obter instruções, consulte Habilitando todos os recursos da sua organização no Guia do Usuário do AWS Organizations.
Etapa 3: especificar um administrador delegado para o Audit Manager
Recomendamos que habilite o Audit Manager usando uma conta de gerenciamento do Organizations e, em seguida, especifique um administrador delegado. Depois disso, você pode usar a conta de administrador delegado para fazer login e executar avaliações. É uma prática recomendada criar avaliações usando apenas a conta de administrador delegado em vez da conta de gerenciamento.
Para adicionar ou alterar um administrador delegado depois de habilitar o Audit Manager, consulte Como adicionar um administrador delegado e Como alterar um administrador delegado.
Próximas etapas
Agora que você configurou o Audit Manager com as configurações recomendadas, está pronto para começar a usar o serviço.
-
Para começar sua primeira avaliação, consulte Tutorial para proprietários de auditoria: criando uma avaliação.
-
Para atualizar suas configurações futuramente, consulte Como revisar e definir suas configurações do AWS Audit Manager.
