启用推荐的功能和 AWS 服务 for AWS Audit Manager - AWS Audit Manager
关键点 推荐的功能推荐的集成后续步骤

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用推荐的功能和 AWS 服务 for AWS Audit Manager

现在你已经启用了 AWS Audit Manager,是时候设置推荐的功能和集成以充分利用该服务了。

关键点

为了在 Audit Manager 中获得最佳体验,我们建议您设置以下功能并启用以下功能 AWS 服务.

任务

设置推荐的 Audit Manager 功能

在启用 Audit Manager 之后,我们建议您启用证据查找器功能。

证据查找器 提供了一种在 Audit Manager 中搜索证据的强大功能。您可以使用证据查找器快速查询证据,而不必通过浏览嵌套程度很高的证据文件夹来查找所需内容。如果您以委派管理员的身份使用证据查找器,则可以在组织中的所有成员账户中搜索证据。

使用筛选条件和分组的组合,可以逐步缩小搜索查询的范围。例如,如果您想从高层次查看系统运行状况,请进行广泛搜索并按评测、日期范围以及资源合规性进行筛选。如果您的目标是修复特定资源,则可以执行狭窄搜索,以瞄准特定控件或资源 ID 的证据。定义筛选条件后,您可分组并预览匹配的搜索结果,然后再创建评测报告。

设置与其他集成的推荐集成 AWS 服务

为了在 Audit Manager 中获得最佳体验,我们强烈建议您启用以下选项 AWS 服务:

  • AWS Organizations - 您可以使用组织对多个账户运行 Audit Manager 评测,并将证据整合到委托管理员账户中。

  • AWS Security HubAWS Config— Audit Manager 依赖这些 AWS 服务 作为证据收集的数据来源。当你启用时 AWS Config 而且 Security Hub,Audit Manager 可以利用其全部功能运行,直接从这些服务收集全面证据并准确报告合规检查结果。

重要

如果你不启用和配置 AWS Config 而且 Security Hub,你将无法在 Audit Manager 评估中收集许多控制措施的预期证据。因此,您可能会面临某些控制措施的证据收集不完整或失败的风险。更具体地说:

  • 如果 Audit Manager 尝试使用 AWS Config 作为控制数据源,但是必需的 AWS Config 规则未启用,也不会为这些控制收集任何证据。

  • 同样,如果 Audit Manager 尝试使用 Security Hub 作为控制数据源,但未在 Security Hub 中启用所需的标准,则不会为这些控制收集任何证据。

要降低这些风险并确保全面收集证据,请按照本页上的步骤启用和配置 AWS Config 在创建 Audit Manager 评估之前,还有 Security Hub。

Audit Manager 中的许多控件都需要 AWS Config 作为数据源类型。要支持这些控件,必须启用 AWS Config 在每个账户中的所有账户上 AWS 区域 其中 Audit Manager 处于启用状态。

Audit Manager 无法管理 AWS Config 为了你。您可以按照以下步骤启用 AWS Config 并配置其设置。

重要

正在启用 AWS Config 是一项可选建议。但是,如果你启用了 AWS Config,则需要以下设置。如果 Audit Manager 试图为使用的控制措施收集证据 AWS Config 作为数据源类型,以及 AWS Config 未按下文所述进行设置,因此没有为这些控制收集任何证据。

要整合的任务 AWS Config 使用 Audit Manager

步骤 1:启用 AWS Config

你可以启用 AWS Config 使用 AWS Config 控制台或API。有关说明,请参阅入门 AWS Config中的 AWS Config 开发者指南

第 2 步:配置你的 AWS Config 用于 Audit Manager 的设置

启用之后 AWS Config,请确保您还启用 AWS Config 为与您的审计相关的合规性标准制定规则或部署合规包。此步骤可确保 Audit Manager 可以导入调查结果 AWS Config 您启用的规则。

在您启用之后 AWS Config 规则,我们建议您查看该规则的参数。然后,您应根据所选合规性框架的要求验证这些参数。如果需要,您可以在中更新规则的参数 AWS Config以确保它符合框架要求。这将有助于确保您的评测收集给定框架的正确合规性检查证据。

例如,假设你正在CIS为 v1.2.0 创建评估。该框架有一个名为 1.4 - 确保访问密钥每 90 天或更短时间轮换一次的控件。In AWS Config,该access-keys-rotated规则的maxAccessKeyAge参数的默认值为 90 天。因此,该规则与控件要求保持一致。如果您未使用默认值,请确保使用的值等于或大于 CIS v1.2.0 中的 90 天要求。

您可以在中找到每个托管规则的默认参数详细信息 AWS Config 文档。有关如何配置规则的说明,请参阅使用 AWS Config 托管规则

Audit Manager 中的许多控件都要求将 Security Hub 作为数据源类型。要支持这些控件,必须对支持 Audit Manager 的每个区域中的所有账户启用 Security Hub。

Audit Manager 不为您管理 Security Hub。您可以按照以下步骤启用 Security Hub 并配置其设置。

重要

启用 Security Hub 是一项可选建议。但是,如果您启用 Security Hub,则以下设置是必需的。如果 Audit Manager 尝试为使用 Security Hub 作为数据源类型的控件收集证据,但未按下述方式设置 Security Hub,则不会为这些控制收集任何证据。

要整合的任务 AWS Security Hub 使用 Audit Manager

步骤 1:启用 AWS Security Hub

您可以使用控制台或 Security Hub 来启用 Security Hub API。有关说明,请参阅设置 AWS Security Hub中的 AWS Security Hub 用户指南

第 2 步:配置 Security Hub 设置以用于 Audit Manager。

在启用 Security Hub 之后,请确保您还执行以下操作:

  • 启用 AWS Config 并配置资源记录 — Security Hub 使用服务相关功能 AWS Config 规则,用于执行其控制措施的大部分安全检查。为了支持这些控件, AWS Config 必须启用并配置为记录您在每个启用的标准中启用的控件所需的资源。

  • 启用所有安全标准-此步骤可确保 Audit Manager 可以导入所有支持的合规标准的调查结果。

  • 在 Security Hub 中开启合并控件调查发现设置 - 如果您在 2023 年 2 月 23 日当天或之后启用 Security Hub,则此设置默认处于启用状态

    注意

    启用合并的调查发现时,Security Hub 会为每项安全检查生成一个结果(即使在多个标准中使用相同的检查结果也是如此)。每项 Security Hub 调查发现都作为一项独特的资源评测收集在 Audit Manager 中。因此,合并的调查发现会减少 Audit Manager 针对 Security Hub 的调查结果执行的独特资源评测总数。因此,使用合并的调查发现通常可以降低您的 Audit Manager 使用成本。有关使用 Security Hub 作为数据来源类型的更多信息,请参阅 AWS Security Hub 支持的控件 AWS Audit Manager。有关 Audit Manager 定价的更多信息,请参阅 AWS Audit Manager 定价

步骤 3:为您的组织配置 Organizations 设置

如果你使用 AWS Organizations 如果您想从您的成员账户中收集 Security Hub 证据,还必须在 Security Hub 中执行以下步骤。

设置组织的 Security Hub 设置

  1. 登录 AWS Management Console 然后打开 AWS Security Hub 控制台位于https://console.aws.amazon.com/securityhub/

  2. 使用你的 AWS Organizations 管理账户,指定一个账户作为 Security Hub 的委托管理员。有关更多信息,请参阅中的 “指定 Security Hub 管理员帐户” AWS Security Hub 用户指南

    注意

    确保您在 Security Hub 中指定的委托管理员账户与您在 Audit Manager 中使用的委托管理员账户相同。

  3. 使用您的组织委托管理员账户,转到设置、账户,选择所有账户,然后通过选择自动注册将其添加为成员。有关更多信息,请参阅《启用组织中的成员账户AWS Security Hub 用户指南

  4. Enable AWS Config 适用于该组织的每个成员帐户。有关更多信息,请参阅《启用组织中的成员账户AWS Security Hub 用户指南

  5. 为组织的每个成员账户启用PCIDSS安全标准。这些区域有: AWS CIS基金会基准标准和 AWS 默认情况下,基础最佳实践标准已启用。有关更多信息,请参阅中的启用安全标准 AWS Security Hub 用户指南

Audit Manager 通过与集成,支持多个账户 AWS Organizations。 Audit Manager 可以对多个账户进行评估,并将证据整合到一个委派的管理员帐户中。委托管理员有权以组织作为信任区域创建和管理 Audit Manager 资源。只有管理账户才能指定委托管理员。

重要

正在启用 AWS Organizations 是一项可选建议。但是,如果你启用了 AWS Organizations,则需要以下设置。

要整合的任务 AWS Organizations 使用 Audit Manager

步骤 1:创建或加入组织

如果您的 AWS 账户 不是组织的一部分,您可以创建或加入组织。有关说明,请参阅中的创建和管理组织 AWS Organizations 用户指南

步骤 2:启用组织中的所有功能。

接下来,您必须启用组织中的所有功能。有关说明,请参阅中的启用组织中的所有功能 AWS Organizations 用户指南

步骤 3:为 Audit Manager 指定委托管理员

我们建议您使用组织管理账户启用 Audit Manager,然后指定委托管理员。之后,您可以使用委托管理员账户登录并运行评测。作为最佳做法,我们建议您仅使用委托管理员账户而不是管理账户创建评测。

要在启用 Audit Manager 后添加或更改委派管理员,请参阅添加委派管理员更改委派管理员

后续步骤

现在,您已经使用推荐设置了 Audit Manager,就可以开始使用该服务了。