本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
现在您已经启用了 AWS Audit Manager,是时候设置推荐的功能和集成以充分利用该服务了。
关键点
为在 Audit Manager 中获得最佳体验,我们建议您设置以下功能并启用以下 AWS 服务。
任务
设置推荐的 Audit Manager 功能
在启用 Audit Manager 之后,我们建议您启用证据查找器功能。
证据查找器 提供了一种在 Audit Manager 中搜索证据的强大功能。您可以使用证据查找器快速查询证据,而不必通过浏览嵌套程度很高的证据文件夹来查找所需内容。如果您以委派管理员的身份使用证据查找器,则可以在组织中的所有成员账户中搜索证据。
使用筛选条件和分组的组合,可以逐步缩小搜索查询的范围。例如,如果您想从高层次查看系统运行状况,请进行广泛搜索并按评测、日期范围以及资源合规性进行筛选。如果您的目标是修复特定资源,则可以执行狭窄搜索,以瞄准特定控件或资源 ID 的证据。定义筛选条件后,您可分组并预览匹配的搜索结果,然后再创建评测报告。
设置与其他集成的推荐集成 AWS 服务
为了在 Audit Manager 中获得最佳体验,我们强烈建议您启用以下选项 AWS 服务:
-
AWS Organizations - 您可以使用组织对多个账户运行 Audit Manager 评测,并将证据整合到委托管理员账户中。
-
AWS Security Hub而且 AWS Config— Audit Manager 依靠这些数据 AWS 服务 作为证据收集的数据源。启用 AWS Config 和 Security Hub 后,Audit Manager 可以利用其全部功能运行,直接从这些服务收集全面证据并准确报告合规检查结果。
重要
如果您不启用 AWS Config 和配置 Security Hub,则将无法在 Audit Manager 评估中收集许多控制措施的预期证据。因此,您可能会面临某些控件的证据收集不完整或失败的风险。更具体地说:
-
如果 Audit Manager 尝试 AWS Config 用作控制数据源,但未启用所需的 AWS Config 规则,则不会为这些控制收集任何证据。
-
同样,如果 Audit Manager 尝试使用 Security Hub 作为控件数据来源,但未在 Security Hub 中启用所需的标准,则将不会为这些控件收集任何证据。
要降低这些风险并确保全面收集证据,请在创建 Audit Manager 评估之前,按照本页上的步骤启用 AWS Config 和配置 Security Hub。
Audit Manager 中的许多控件都要求 AWS Config 作为数据源类型。要支持这些控制,您必须在每个启用 AWS Config Audit Manager AWS 区域 的账户中启用所有帐户。
Audit Manager 不 AWS Config 为你管理。您可以按照以下步骤启用 AWS Config 并配置其设置。
重要
启用 AWS Config 是一项可选建议。但是,如果您启用 AWS Config,则以下设置是必需的。如果 A AWS Config udit Manager 尝试为 AWS Config 用作数据源类型的控件收集证据,但未按下文所述进行设置,则不会为这些控制收集任何证据。
与 Aud AWS Config it Manager 集成的任务
步骤 1:启用 AWS Config
您可以使用 AWS Config 控制台或 API 启 AWS Config 用。有关说明,请参阅 AWS Config 开发人员指南的 AWS Config入门。
步骤 2:配置您的 AWS Config 设置以与 Audit Manager 配合使用
启用后 AWS Config,请确保同时启用 AWS Config 规则或部署与审计相关的合规性标准的合规包。此步骤可确保 Audit Manager 可以导入所启用的 AWS Config 规则的调查发现。
启用 AWS Config 规则后,我们建议您查看该规则的参数。然后,您应根据所选合规性框架的要求验证这些参数。如果需要,您可以更新 AWS Config中规则的参数,以确保其符合框架要求。这将有助于确保您的评测收集给定框架的正确合规性检查证据。
例如,假设您正在为 CIS v1.2.0 创建评测。该框架有一个名为 1.4 - 确保访问密钥每 90 天或更短时间轮换一次的控件。在中 AWS Config,该access-keys-rotated规则的maxAccessKeyAge参数的默认值为 90 天。因此,该规则与控件要求保持一致。如果您未使用默认值,请确保使用的值大于等于 CIS v1.2.0 中要求的 90 天。
您可在 AWS Config 文档中找到每条托管规则的默认参数详细信息。有关如何配置规则的说明,请参阅使用 AWS Config 托管规则。
Audit Manager 中的许多控件都需要将 Security Hub 作为数据来源类型。要支持这些控件,必须对支持 Audit Manager 的每个区域中的所有账户启用 Security Hub。
Audit Manager 不为您管理 Security Hub。您可以按照以下步骤启用 Security Hub 并配置其设置。
重要
启用 Security Hub 是一项可选建议。但是,如果您启用 Security Hub,则以下设置是必需的。如果 Audit Manager 尝试为使用 Security Hub 作为数据来源类型的控件收集证据,但未按下面所述设置 Security Hub,则不会为这些控件收集任何证据。
与 Aud AWS Security Hub it Manager 集成的任务
步骤 1:启用 AWS Security Hub
您可以使用控制台或 API 来启用 Security Hub。有关说明,请参阅 AWS Security Hub 用户指南中的设置 AWS Security Hub。
第 2 步:配置 Security Hub 设置以用于 Audit Manager。
在启用 Security Hub 之后,请确保您还执行以下操作:
-
启用 AWS Config 和配置资源记录 — Security Hub 使用与服务相关的 AWS Config 规则对控制进行大部分安全检查。要支持这些控件, AWS Config 必须启用并配置为记录您在每个启用的标准中启用的控件所需的资源。
-
启用所有安全标准 - 此步骤可确保 Audit Manager 可以导入所有支持的合规标准的调查发现。
-
在 Security Hub 中开启合并控件调查发现设置 - 如果您在 2023 年 2 月 23 日当天或之后启用 Security Hub,则此设置默认处于启用状态。
注意
启用合并的调查发现时,Security Hub 会为每项安全检查生成一个结果(即使在多个标准中使用相同的检查结果也是如此)。每项 Security Hub 调查发现都作为一项独特的资源评测收集在 Audit Manager 中。因此,合并的调查发现会减少 Audit Manager 针对 Security Hub 的调查结果执行的独特资源评测总数。因此,使用合并的调查发现通常可以降低您的 Audit Manager 使用成本。有关使用 Security Hub 作为数据来源类型的更多信息,请参阅 AWS Security Hub 支持的控件 AWS Audit Manager。有关 Audit Manager 定价的更多信息,请参阅 AWS Audit Manager 定价
。
第 3 步:为贵组织配置 Organizations 设置
如果您使用 AWS Organizations 并想从您的成员帐户中收集 Security Hub 证据,则还必须在 Security Hub 中执行以下步骤。
设置组织的 Security Hub 设置
登录 AWS Management Console 并打开 AWS Security Hub 控制台,网址为https://console.aws.amazon.com/securityhub/
。 -
使用您的 AWS Organizations 管理账户,将一个账户指定为 Security Hub 的委托管理员。有关更多信息,请参阅 AWS Security Hub 用户指南中的指定 Security Hub 管理员账户。
注意
确保您在 Security Hub 中指定的委托管理员账户与您在 Audit Manager 中使用的委托管理员账户相同。
-
使用您的组织委托管理员账户,转到设置、账户,选择所有账户,然后通过选择自动注册将其添加为成员。有关更多信息,请参阅 AWS Security Hub 用户指南中的启用组织中的成员账户。
-
AWS Config 为组织的每个成员帐户启用。有关更多信息,请参阅 AWS Security Hub 用户指南中的启用组织中的成员账户。
-
为组织的每个成员账户启用 PCI DSS 安全标准。默认情况下, AWS CIS 基金会基准标准和 AWS 基础最佳实践标准已启用。有关更多信息,请参阅 AWS Security Hub 用户指南中的启用安全标准 。
Audit Manager 通过与的集成支持多个账户 AWS Organizations。Audit Manager 可跨多个账户运行评测,将证据合并至委托管理员账户。委托管理员有权以组织作为信任区域创建和管理 Audit Manager 资源。只有管理账户才能指定委托管理员。
重要
启用 AWS Organizations 是一项可选建议。但是,如果您启用 AWS Organizations,则需要进行以下设置。
与 Aud AWS Organizations it Manager 集成的任务
步骤 1:创建或加入组织
如果您 AWS 账户 不是组织的成员,则可以创建或加入组织。有关更多说明,请参阅 AWS Organizations 用户指南中的创建并管理组织。
步骤 2:启用组织中的所有功能。
接下来,您必须启用组织中的所有功能。有关更多说明,请参阅 AWS Organizations 用户指南中的启用组织中的所有功能。
步骤 3:为 Audit Manager 指定委托管理员
我们建议您使用组织管理账户启用 Audit Manager,然后指定委托管理员。之后,您可以使用委托管理员账户登录并运行评测。作为最佳做法,我们建议您仅使用委托管理员账户而不是管理账户创建评测。
要在启用 Audit Manager 后添加或更改委派管理员,请参阅添加委派管理员和更改委派管理员。
后续步骤
既然您已经使用推荐的设置完成了 Audit Manager 的设置,那么就可以开始使用这项服务了。
-
要开始进行首次评测,请参阅审计负责人教程:创建评测。
-
要在将来更新您的设置,请参阅查看和配置您的 AWS Audit Manager 设置。
