Guia de auditoria - AWS IoT Device Defender
Pré-requisitosAtivar verificações de auditoriaExibir resultados de auditoriaCriar ações de mitigação de auditoriaAplique as ações de mitigação às descobertas de auditoriaCriação de um perfil do IAM do AWS IoT Device Defender Audit (opcional)Ativar notificações do SNS (opcional)Ativar o registro em log (opcional)

Guia de auditoria

Este tutorial fornece instruções sobre como configurar uma auditoria recorrente, configurar alarmes, analisar os resultados de auditoria e mitigar problemas de auditoria.

Pré-requisitos

Para concluir este tutorial, você precisará do seguinte:

Ativar verificações de auditoria

No procedimento a seguir, você verá como ativar as verificações de auditoria que examinam as configurações e políticas da conta e do dispositivo para garantir que as medidas de segurança estejam em vigor. Neste tutorial, recomendamos que você ative todas as verificações de auditoria, mas você pode selecionar quais deseja usar.

O preço da auditoria é estimado por contagem de dispositivos por mês (dispositivos da frota conectados à AWS IoT). Portanto, adicionar ou remover verificações de auditoria não afetaria sua fatura mensal ao usar esse atributo.

  1. Abra o console de AWS IoT. No painel de navegação, expanda Segurança e escolha Intro.

  2. Escolha Automatizar a auditoria de segurança da AWS IoT. As verificações de auditoria são ativadas automaticamente.

  3. Expanda Auditoria e escolha Configurações para ver as verificações de auditoria. Selecione o nome de uma verificação de auditoria para saber o que a verificação faz. Para obter mais informações sobre as verificações de auditoria, consulte Verificações de auditoria.

  4. (Opcional) Se você já tem uma função que deseja usar, escolha Gerenciar permissões de serviço, escolha a função na lista e selecione Atualizar.

Exibir resultados de auditoria

O procedimento a seguir mostra como visualizar os resultados de auditoria. Neste tutorial, você verá os resultados da auditoria das verificações configuradas no tutorial Ativar verificações de auditoria.

Para exibir resultados de auditoria

  1. Abra o console de AWS IoT. No painel de navegação, expanda Segurança, Auditoria e selecione Resultados.

  2. Selecione o Nome do cronograma de auditoria que você gostaria de investigar.

  3. Em Verificações não conformes, em Mitigação, selecione os botões para obter informações sobre por que não estão em conformidade. Para obter orientação sobre como tornar conformes verificações não conformes, consulte Verificações da auditoria.

Criar ações de mitigação de auditoria

No procedimento a seguir, você criará uma Ação de mitigação do AWS IoT Device Defender Auditoria para registro em log de AWS IoT. Cada verificação de auditoria mapeou ações de mitigação que afetarão o Tipo de ação que você escolhe para a verificação de auditoria que deseja corrigir. Para obter mais informações, consulte Ações de mitigação.

Para usar o console do AWS IoT para criar ações de mitigação

  1. Abra o console de AWS IoT. No painel de navegação, expanda Segurança, Detect e, em seguida, escolha Ações de mitigação.

  2. Na página Ações de mitigação, escolha Criar.

  3. Na página Criar uma nova ação de mitigação, para Nome da ação, insira um nome exclusivo para a ação de mitigação, como EnableErrorLoggingAction.

  4. Em Tipo de ação, escolha Ativar registro em de AWS IoT.

  5. Em Permissões, escolha Criar função. Como Nome do perfil, use IoTMitigationActionErrorLoggingRole. Selecione Criar.

  6. Em Parâmetros, em Função para registro em log, escolha IoTMitigationActionErrorLoggingRole. Em Nível de registro em log, escolha Error.

  7. Escolha Criar.

Aplique as ações de mitigação às descobertas de auditoria

O procedimento a seguir mostra como aplicar ações de mitigação aos resultados de auditoria.

Para mitigar as descobertas de auditoria não conformes

  1. Abra o console de AWS IoT. No painel de navegação, expanda Segurança, Auditoria e selecione Resultados.

  2. Escolha o resultado de auditoria a que deseja responder.

  3. Verifique os resultados.

  4. Escolha Iniciar ações de mitigação.

  5. Para Registro em log desativado, escolha a ação de mitigação que você criou anteriormente, EnableErrorLoggingAction. Você pode selecionar as ações apropriadas para cada descoberta não conforme, para resolver os problemas.

  6. Em Selecionar códigos de motivo, escolha o código de motivo que foi retornado pela verificação de auditoria.

  7. Escolha Iniciar tarefa. A ação de mitigação pode levar alguns minutos para ser executada.

Para verificar se a ação de mitigação funcionou

  1. No console de AWS IoT, no painel de navegação, selecione Configurações.

  2. No Registro em log de serviços, confirme que o Nível do registro em log é Error (least verbosity).

Criação de um perfil do IAM do AWS IoT Device Defender Audit (opcional)

No procedimento a seguir, você criará um perfil do IAM do AWS IoT Device Defender Audit que fornece ao AWS IoT Device Defender acesso de leitura AWS IoT.

Para criar o perfil de serviço para o AWS IoT Device Defender (console do IAM)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação do console do IAM, escolha Perfis e, em seguida, Criar perfil.

  3. Selecione o tipo de função do AWS service (Serviço da AWS).

  4. Em Casos de uso para outros serviços AWS, escolha AWS IoT e, em seguida, escolha IoT - Auditoria do Device Defender.

  5. Escolha Próximo.

  6. (Opcional) Defina um limite de permissões. Esse é um atributo avançado que está disponível para perfis de serviço, mas não para perfis vinculados ao serviço.

    Expanda a seção Limite de permissões e escolha Usar um limite de permissões para controlar o número máximo de permissões de funções. O IAM inclui uma lista das políticas gerenciadas pela AWS e pelo cliente em sua conta. Selecione a política a ser usada para o limite de permissões ou escolha Criar política para abrir uma nova guia no navegador e criar uma nova política a partir do zero. Para obter mais informações, consulte Criar políticas do IAM no Guia do usuário do IAM. Depois de criar a política, feche essa guia e retorne à guia original para selecionar a política a ser usada para o limite de permissões.

  7. Escolha Próximo.

  8. Insira um nome de função que ajude a identificar a finalidade dela. Os nomes de função devem ser exclusivos em sua Conta da AWS. Eles não são diferenciados por letras maiúsculas e minúsculas. Por exemplo, não é possível criar funções chamadas PRODROLE e prodrole. Como várias entidades podem fazer referência à função, não é possível editar o nome da função depois que ela é criada.

  9. (Opcional) Para Descrição, insira uma descrição para o novo perfil.

  10. Selecione Editar nas seções Etapa 1: selecionar entidades confiáveis ou Etapa 2: selecionar permissões para editar os casos de uso e as permissões para a função.

  11. (Opcional) Adicione metadados ao usuário anexando tags como pares de chave-valor. Para obter mais informações sobre o uso de tags no IAM, consulte Marcar recursos do IAM no Guia do usuário do IAM.

  12. Revise a função e escolha Criar perfil.

Ativar notificações do SNS (opcional)

No procedimento a seguir, você ativa as notificações do Amazon SNS (SNS) para alertar quando as auditorias identificarem recursos em não conformidade. Neste tutorial, você configurará notificações para as verificações de auditoria ativadas no tutorial Ativar verificações de auditoria.

  1. Se você ainda não o fez, anexe uma política que forneça acesso ao SNS por meio do AWS Management Console. Você pode fazer isso seguindo as instruções em Anexar uma política a um grupo de usuários do IAM no Guia do usuário do IAM e selecionando a política AWSIoTDeviceDefenderPublishFindingsToSNSMitigationAction.

  2. Abra o console de AWS IoT. No painel de navegação, expanda Segurança, Auditoria e selecione Configurações.

  3. Na parte inferior da página de configurações de auditoria do Device Defender, escolha Ativar alertas do SNS.

  4. Selecione Ativado.

  5. Em Tópico, escolha Criar novo tópico. Nomeie o tópico IoTDDNotifications e escolha Criar. Em Função, escolha a função criada em Criação de um perfil do IAM do AWS IoT Device Defender Audit (opcional).

  6. Escolha Atualizar.

  7. Se você quiser receber e-mails ou mensagens de texto em suas plataformas de operações por meio do Amazon SNS, consulte Uso do Amazon Simple Notification Service para notificações de usuários.

Ativar o registro em log (opcional)

Este procedimento descreve como ativar a AWS IoT para registrar em log informações no CloudWatch Logs. Isso permitirá que você visualize os resultados de auditoria. A ativação do registro em pode resultar em cobranças.

Para ativar o registro em log

  1. Abra o console de AWS IoT. No painel de navegação, escolha Configurações.

  2. Em Logs, escolha Gerenciar logs.

  3. Em Selecionar função, escolha Criar função. Nomeie a função como AWSIoTLoggingRole e escolha Criar. Uma política é anexada automaticamente.

  4. Em Nível de registro em log, escolha Depurar (maior detalhamento).

  5. Selecione Atualizar.