# Guia de auditoria
<a name="audit-tutorial"></a>

Este tutorial fornece instruções sobre como configurar uma auditoria recorrente, configurar alarmes, analisar os resultados de auditoria e mitigar problemas de auditoria.

**Topics**
+ [Pré-requisitos](#audit-tutorial-prerequisites)
+ [Ativar verificações de auditoria](#audit-tutorial-enable-checks)
+ [Exibir resultados de auditoria](#audit-tutorial-view-audit)
+ [Criar ações de mitigação de auditoria](#audit-tutorial-mitigation)
+ [Aplique as ações de mitigação às descobertas de auditoria](#apply-mitigation-actions)
+ [Criação de um perfil do IAM do AWS IoT Device Defender Audit (opcional)](#audit-iam)
+ [Ativar notificações do SNS (opcional)](#audit-tutorial-enable-sns)
+ [Configurar permissões para chaves gerenciadas pelo cliente (opcional)](#audit-tutorial-cmk-permissions)
+ [Ativar o registro em log (opcional)](#enable-logging)

## Pré-requisitos
<a name="audit-tutorial-prerequisites"></a>

Para concluir este tutorial, você precisará do seguinte:
+ Um Conta da AWS. Se você não tiver uma, consulte [Configuração](https://docs.aws.amazon.com/iot/latest/developerguide/dd-setting-up.html).

## Ativar verificações de auditoria
<a name="audit-tutorial-enable-checks"></a>

No procedimento a seguir, você verá como ativar as verificações de auditoria que examinam as configurações e políticas da conta e do dispositivo para garantir que as medidas de segurança estejam em vigor. Neste tutorial, recomendamos que você ative todas as verificações de auditoria, mas você pode selecionar quais deseja usar.

O preço da auditoria é estimado por contagem de dispositivos por mês (dispositivos da frota conectados à AWS IoT). Portanto, adicionar ou remover verificações de auditoria não afetaria sua fatura mensal ao usar esse atributo.

1. Abra o [console de AWS IoT](https://console.aws.amazon.com/iot). No painel de navegação, expanda **Segurança** e escolha **Intro**.

1. Escolha **Automatizar a auditoria de segurança da AWS IoT**. As verificações de auditoria são ativadas automaticamente.

1. Expanda **Auditoria** e escolha **Configurações** para ver as verificações de auditoria. Selecione o nome de uma verificação de auditoria para saber o que a verificação faz. Para obter mais informações sobre as verificações de auditoria, consulte [Verificações de auditoria](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-audit-checks.html).

1. (Opcional) Se você já tem uma função que deseja usar, escolha **Gerenciar permissões de serviço**, escolha a função na lista e selecione **Atualizar**.

## Exibir resultados de auditoria
<a name="audit-tutorial-view-audit"></a>

O procedimento a seguir mostra como visualizar os resultados de auditoria. Neste tutorial, você verá os resultados da auditoria das verificações configuradas no tutorial [Ativar verificações de auditoria](#audit-tutorial-enable-checks).

**Para exibir resultados de auditoria**

1. Abra o [console do AWS IoT](https://console.aws.amazon.com/iot). No painel de navegação, expanda **Segurança**, **Auditoria** e selecione **Resultados**.

1. Selecione o **Nome** do cronograma de auditoria que você gostaria de investigar.

1. Em **Verificações não conformes**, em **Mitigação**, selecione os botões para obter informações sobre por que não estão em conformidade. Para obter orientação sobre como tornar conformes verificações não conformes, consulte [Verificações de auditoria](device-defender-audit-checks.md).

## Criar ações de mitigação de auditoria
<a name="audit-tutorial-mitigation"></a>

No procedimento a seguir, você criará uma Ação de mitigação do AWS IoT Device Defender Auditoria para registro em log de AWS IoT. Cada verificação de auditoria mapeou ações de mitigação que afetarão o **Tipo de ação** que você escolhe para a verificação de auditoria que deseja corrigir. Para obter mais informações, consulte [Ações de mitigação](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-mitigation-actions.html#defender-audit-apply-mitigation-actions.html).

**Para usar o console do AWS IoT para criar ações de mitigação**

1. Abra o [console do AWS IoT](https://console.aws.amazon.com/iot). No painel de navegação, expanda **Segurança**, **Detect** e, em seguida, escolha **Ações de mitigação**.

1. Na página **Ações de mitigação**, escolha **Criar**.

1. Na página **Criar uma nova ação de mitigação**, para **Nome da ação**, insira um nome exclusivo para a ação de mitigação, como *EnableErrorLoggingAction*.

1. Em **Tipo de ação**, escolha **Ativar registro em de AWS IoT**.

1. Em **Permissões**, escolha **Criar função**. Como **Nome do perfil**, use *IoTMitigationActionErrorLoggingRole*. Selecione **Criar**.

1. Em **Parâmetros**, em **Função para registro em log**, escolha `IoTMitigationActionErrorLoggingRole`. Em **Nível de registro em log**, escolha `Error`.

1. Escolha **Criar**.

## Aplique as ações de mitigação às descobertas de auditoria
<a name="apply-mitigation-actions"></a>

O procedimento a seguir mostra como aplicar ações de mitigação aos resultados de auditoria.

**Para mitigar as descobertas de auditoria não conformes**

1. Abra o [console do AWS IoT](https://console.aws.amazon.com/iot). No painel de navegação, expanda **Segurança**, **Auditoria** e selecione **Resultados**.

1. Escolha o resultado de auditoria a que deseja responder.

1. Verifique os resultados.

1. Escolha **Iniciar ações de mitigação**.

1. Para **Registro em log desativado**, escolha a ação de mitigação que você criou anteriormente, `EnableErrorLoggingAction`. Você pode selecionar as ações apropriadas para cada descoberta não conforme, para resolver os problemas.

1. Em **Selecionar códigos de motivo**, escolha o código de motivo que foi retornado pela verificação de auditoria.

1. Escolha **Iniciar tarefa**. A ação de mitigação pode levar alguns minutos para ser executada.

**Para verificar se a ação de mitigação funcionou**

1. No console de AWS IoT, no painel de navegação, selecione **Configurações**.

1. No **Registro em log de serviços**, confirme que o **Nível do registro em log** é `Error (least verbosity)`.

## Criação de um perfil do IAM do AWS IoT Device Defender Audit (opcional)
<a name="audit-iam"></a>

No procedimento a seguir, você criará um perfil do IAM do AWS IoT Device Defender Audit que fornece ao AWS IoT Device Defender acesso de leitura AWS IoT.

**Para criar o perfil de serviço para o AWS IoT Device Defender (console do IAM)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação do console do IAM, escolha **Funções** e, em seguida, **Criar função**.

1. Selecione o tipo de função do **AWS service (Serviço da AWS)**.

1. Em **Casos de uso para outros serviços AWS**, escolha **AWS IoT** e, em seguida, escolha **IoT - Auditoria do Device Defender**.

1. Escolha **Próximo**.

1. (Opcional) Defina um [limite de permissões](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Esse é um atributo avançado que está disponível para perfis de serviço, mas não para perfis vinculados ao serviço. 

   Expanda a seção **Limite de permissões** e escolha **Usar um limite de permissões para controlar o número máximo de permissões de funções**. O IAM inclui uma lista das políticas gerenciadas pela AWS e pelo cliente em sua conta. Selecione a política a ser usada para o limite de permissões ou escolha **Criar política** para abrir uma nova guia no navegador e criar uma nova política a partir do zero. Para obter mais informações, consulte [Criar políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) no *Guia do usuário do IAM*. Depois de criar a política, feche essa guia e retorne à guia original para selecionar a política a ser usada para o limite de permissões.

1. Escolha **Próximo**.

1. Insira um nome de função que ajude a identificar a finalidade dela. Os nomes de função devem ser exclusivos em sua Conta da AWS. Eles não são diferenciados por letras maiúsculas e minúsculas. Por exemplo, não é possível criar perfis denominados **PRODROLE** e **prodrole**. Como várias entidades podem fazer referência à função, não é possível editar o nome da função depois que ela é criada.

1. (Opcional) Para **Descrição**, insira uma descrição para o novo perfil.

1. Selecione **Editar** nas seções **Etapa 1: selecionar entidades confiáveis** ou **Etapa 2: selecionar permissões** para editar os casos de uso e as permissões para a função. 

1. (Opcional) Adicione metadados ao usuário anexando tags como pares de chave-valor. Para obter mais informações sobre o uso de tags no IAM, consulte [Marcar recursos do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) no *Guia do usuário do IAM*.

1. Revise a função e escolha **Criar perfil**.

## Ativar notificações do SNS (opcional)
<a name="audit-tutorial-enable-sns"></a>

No procedimento a seguir, você ativa as notificações do Amazon SNS (SNS) para alertar quando as auditorias identificarem recursos em não conformidade. Neste tutorial, você configurará notificações para as verificações de auditoria ativadas no tutorial [Ativar verificações de auditoria](#audit-tutorial-enable-checks).

1. Se você ainda não o fez, anexe uma política que forneça acesso ao SNS por meio do Console de gerenciamento da AWS. Você pode fazer isso seguindo as instruções em [Anexar uma política a um grupo de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_attach-policy.html) no *Guia do usuário do IAM* e selecionando a política **AWSIoTDeviceDefenderPublishFindingsToSNSMitigationAction**.

1. Abra o [console do AWS IoT](https://console.aws.amazon.com/iot). No painel de navegação, expanda **Segurança**, **Auditoria** e selecione **Configurações**.

1. Na parte inferior da página de **configurações de auditoria do Device Defender**, escolha **Ativar alertas do SNS**.

1. Selecione **Ativado**.

1. Em **Tópico**, escolha **Criar novo tópico**. Nomeie o tópico *IoTDDNotifications* e escolha **Criar**. Em **Função**, escolha a função criada em [Criação de um perfil do IAM do AWS IoT Device Defender Audit (opcional)](#audit-iam).

1. Selecione **Atualizar**.

1. Se você quiser receber e-mails ou mensagens de texto em suas plataformas de operações por meio do Amazon SNS, consulte [Uso do Amazon Simple Notification Service para notificações de usuários](https://docs.aws.amazon.com/sns/latest/dg/sns-user-notifications.html).

## Configurar permissões para chaves gerenciadas pelo cliente (opcional)
<a name="audit-tutorial-cmk-permissions"></a>

**nota**  
Essa configuração só é necessária se você tiver optado por usar chaves gerenciadas pelo cliente para o AWS IoT Core. Para ter mais informações sobre a criptografia em repouso do AWS IoT Core, consulte [Criptografia de dados em repouso no AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/encryption-at-rest.html).

Se você habilitou as chaves gerenciadas pelo cliente (CMKs) para a criptografia em repouso do AWS IoT Core, o perfil do IAM usado pelo AWS IoT Device Defender Audit exigirá permissões adicionais para descriptografar dados. Sem essas permissões, as operações de auditoria não terão êxito.

A política gerenciada [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIoTDeviceDefenderAudit.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIoTDeviceDefenderAudit.html) não inclui permissões `kms:Decrypt` estruturalmente, seguindo o princípio do privilégio mínimo. Você deve adicionar manualmente essas permissões ao seu perfil de auditoria ao usar chaves gerenciadas pelo cliente.

**Como adicionar permissões do KMS ao seu perfil do IAM do AWS IoT Device Defender Audit**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Perfis** e, em seguida, pesquise o perfil que você criou em [Criação de um perfil do IAM do AWS IoT Device Defender Audit (opcional)](#audit-iam) ou o perfil que você especificou ao definir as configurações de auditoria.

1. Escolha o nome do perfil para abrir a respectiva página de detalhes.

1. Na guia **Permissões**, escolha **Adicionar permissões** e selecione **Criar política em linha**.

1. Escolha a guia **JSON** e insira a política a seguir. Substitua *REGION*, *ACCOUNT\$1ID* e *KEY\$1ID* pelos detalhes de sua chave do AWS KMS:

   ```
   {
     "Version": "2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "kms:Decrypt"
         ],
         "Resource": "arn:aws:kms:REGION:ACCOUNT_ID:key/KEY_ID"
       }
     ]
   }
   ```

1. Escolha **Próximo**.

1. Em **Nome da política**, insira um nome descritivo, como **DeviceDefenderAuditKMSDecrypt**.

1. Escolha **Criar política**.

## Ativar o registro em log (opcional)
<a name="enable-logging"></a>

Este procedimento descreve como ativar a AWS IoT para registrar em log informações no CloudWatch Logs. Isso permitirá que você visualize os resultados de auditoria. A ativação do registro em pode resultar em cobranças.

**Para ativar o registro em log**

1. Abra o [console do AWS IoT](https://console.aws.amazon.com/iot). No painel de navegação, escolha **Configurações**.

1. Em **Logs**, escolha **Gerenciar logs**.

1. Em **Selecionar função**, escolha **Criar função**. Nomeie a função como *AWSIoTLoggingRole* e escolha **Criar**. Uma política é anexada automaticamente.

1. Em **Nível de registro em log**, escolha **Depurar (maior detalhamento)**.

1. Selecione **Atualizar**.