啟用建議的功能和 AWS 服務 for AWS Audit Manager - AWS Audit Manager
重點 推薦功能建議整合後續步驟

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用建議的功能和 AWS 服務 for AWS Audit Manager

現在您已經啟用 AWS Audit Manager,是時候設置推薦的功能和集成以充分利用服務了。

重點

為了在 Audit Manager 中獲得最佳體驗,建議您設定下列功能並啟用下列功能 AWS 服務.

任務

設定建議的 Audit Manager 功能

在您啟用 Audit Manager 之後,建議您啟用證據搜尋工具功能。

證據搜尋工具提供了一種在 Audit Manager 之中搜尋索證據的強大方法。您可以使用證據搜尋工具快速查詢證據,不須一頭栽進證據資料夾,想辦法找出您要查找的內容。如果您以委派管理員的身分使用證據搜尋工具,您可以在組織中的所有成員帳戶中搜尋證據。

使用篩選條件和分組的組合,您可以逐步縮小搜尋查詢的範圍。例如,如果您想要系統健全狀況的高階檢視,請擴大搜尋範圍,並依據評估、日期範圍和資源合規性進行篩選。如果您的目標是修復特定資源,則可以縮小搜尋範圍,以針對特定控制項或資源 ID 的證據作為目標。定義篩選條件後,您可以先分組並預覽相符的搜尋結果,然後再建立評估報告。

設定與其他建議的整合 AWS 服務

為了在 Audit Manager 中獲得最佳體驗,我們強烈建議您啟用下列項目 AWS 服務:

  • AWS Organizations— 您可以使用 Organizations 對多個帳戶執行 Audit Manager 評估,並將證據合併到委派管理員帳戶中。

  • AWS Security HubAWS Config— Audit Manager 依賴於這些 AWS 服務 作為證據收集的數據來源。當您啟用 AWS Config 和 Security Hub,Audit Manager 可以運用其完整功能,收集全面的證據,並直接從這些服務準確報告合規性檢查結果。

重要

如果您未啟用和設定 AWS Config 和 Security Hub,您將無法在 Audit Manager 評估中收集許多控制項的預期證據。因此,您可能會因為某些控制項而遭受不完整或失敗的證據收集風險。更具體地說:

  • 如果 Audit Manager 嘗試使用 AWS Config 作為控制資料來源,但必要 AWS Config 未啟用規則,不會針對這些控制項收集任何證據。

  • 同樣地,如果 Audit Manager 嘗試使用 Security Hub 做為控制項資料來源,但是 Security Hub 中未啟用所需標準,則不會針對這些控制項收集任何證據。

若要降低這些風險並確保全面收集證據,請依照此頁面上的步驟啟用和設定 AWS Config 和 Security Hub,然後再建立 Audit Manager 評估。

Audit Manager 中的許多控制項需 AWS Config 做為資料來源類型。若要支援這些控制項,您必須啟用 AWS Config 在每個帳戶上 AWS 區域 啟用 Audit Manager 的位置。

Audit Manager 不會管理 AWS Config 為了你。您可以按照以下步驟啟用 AWS Config 並配置其設置。

重要

啟用 AWS Config 是選擇性的建議。但是,如果您啟用 AWS Config,需要下列設定。如果 Audit Manager 嘗試收集使用的控制項的證據 AWS Config 作為資料來源類型,以及 AWS Config 未如下所述設定,不會針對這些控制項收集任何證據。

要整合的工作 AWS Config 使用 Audit Manager

步驟 1:啟用 AWS Config

您可以啟用 AWS Config 使用 AWS Config 控制台或API。如需指示,請參閱開始使用 AWS Config 中的 AWS Config 開發人員指南

步驟 2:設定您的 AWS Config 與 Audit Manager 配合使用的設定

啟用之後 AWS Config,請確定您也啟用 AWS Config 規則部署與稽核相關之合規性標準的一致性套件。此步驟可確保 Audit Manager 可以匯入 AWS Config 您啟用的規則。

啟用之後 AWS Config 規則,我們建議您檢閱該規則的參數。然後,您應該根據所選合規性架構的要求來驗證這些參數。如果需要,您可以更新規則的參數 AWS Config以確保它符合框架要求。這將有助於確保您的評估為該給定架構收集正確的合規檢查證據。

例如,假設您正在建立 CIS v1.2.0 的評估。此架構包含一個名為 1.4 — 確保存取金鑰每 90 天或更短的時間輪換一次的控制項。In (入) AWS Config,access-keys-rotated規則的預設值為 90 天的maxAccessKeyAge參數。因此,該規則符合控制項的需求。如果您沒有使用預設值,請確定您使用的值等於或大於 CIS v1.2.0 的 90 天要求。

您可以在中找到每個受管規則的預設參數詳細資訊。AWS Config 文件。如需如何設定規則的指示,請參閱使用 AWS Config 受管規則

Audit Manager 中的許多控制項都需要 Security Hub 做為資料來源類型。若要支援這些控制項,您必須在每個已啟用 Audit Manager 的區域中的所有帳戶上啟用 Security Hub。

Audit Manager 不會為您管理 Security Hub。您可以按照以下步驟啟用 Security Hub 並配置其設定。

重要

啟用 Security Hub 是選擇性建議。不過,如果您確實啟用 Security Hub,則需要下列設定。如果 Audit Manager 嘗試收集使用 Security Hub 作為資料來源類型之控制項的證據,且未如下所述設定 Security Hub,則不會收集這些控制項的證據。

要整合的工作 AWS Security Hub 使用 Audit Manager

步驟 1:啟用 AWS Security Hub

您可以使 Security Hub 主控台或API. 如需指示,請參閱設定 AWS Security Hub 中的 AWS Security Hub 用戶指南

步驟 2:設定您的 Security Hub 設定,以便與 Audit Manager 搭配使用

在您可以啟用 Security Hub 後,請確認執行下列作業:

  • 啟用 AWS Config 並配置資源記錄 — Security Hub 使用服務鏈接 AWS Config 執行大部分控制項安全檢查的規則。若要支援這些控制項, AWS Config 必須啟用並設定為記錄您在每個已啟用標準中啟用之控制項所需的資源。

  • 啟用所有安全標準 — 此步驟可確保「Audit Manager」可以針對所有支援的符合性標準匯入發現項

  • 開啟 Security Hub 的合併控制項調查結果設定 - 如果您在 2023 年 2 月 23 日或之後啟用 Security Hub,則預設會開啟此設定。

    注意

    當您啟用合併的調查結果時,Security Hub 會針對每個安全檢查產生單一調查結果 (即使跨多個標準使用相同的檢查也是如此)。每個 Security Hub 調查結果都會做為 Audit Manager 中一項獨立資源評估來收集。因此,合併的調查結果會導致 Audit Manager 針對 Security Hub 調查結果執行的獨立資源評估總計減少。因此,使用合併的調查結果通常有效降低 Audit Manager 使用成本。如需有關使用 Security Hub 做為資料來源類型的詳細資訊,請參閱AWS Security Hub 支援的控制項 AWS Audit Manager。如需 Audit Manager 定價的詳細資訊,請參閱 AWS Audit Manager 定價

步驟 3:設定組 Organizations 的「組織」設定

如果您使用 AWS Organizations 而且您想要從您的成員帳戶收 Security Hub 證據,您還必須在安全中心中執行以下步驟。

設定您組織的 Security Hub 設定

  1. 登入 AWS Management Console 並打開 AWS Security Hub 控制台位於https://console.aws.amazon.com/securityhub/

  2. 使用您的 AWS Organizations 管理帳戶,指定帳戶做為 Security Hub 的委派系統管理員。如需詳細資訊,請參閱指定安全中心系統管理員帳戶 AWS Security Hub 用戶指南

    注意

    確認您在 Security Hub 中使用的委派管理員帳戶與您在 Audit Manager 中使用的帳戶相同。

  3. 使用您的 Organizations 委派管理員帳戶,移至 設定、帳戶,選取所有帳戶,然後選取 自動註冊 將其新增為成員。如需詳細資訊,請參閱啟用組織中的成員帳戶 AWS Security Hub 用戶指南

  4. Enable AWS Config 針對組織的每個成員帳戶。如需詳細資訊,請參閱啟用組織中的成員帳戶 AWS Security Hub 用戶指南

  5. 為組織的每個成員帳戶啟用PCIDSS安全性標準。所以此 AWS CIS基金會基準標準和 AWS 依預設,「基礎最佳作法」標準已啟用。如需詳細資訊,請參閱啟用中的安全性標準 AWS Security Hub 用戶指南

Audit Manager 透過整合支援多個帳戶 AWS Organizations。 Audit Manager 員可以對多個帳戶執行評估,並將證據合併到委派的管理員帳戶中。委派管理員擁有建立及管理以組織做為信任區域之 Audit Manager 資源的許可。只有管理帳戶可以指定委派管理員。

重要

啟用 AWS Organizations 是選擇性的建議。但是,如果您啟用 AWS Organizations,需要下列設定。

要整合的工作 AWS Organizations 使用 Audit Manager

步驟 1:建立或加入組織

如果您的 AWS 帳戶 不是組織的一部分,您可以建立或加入組織。如需指示,請參閱中的建立和管理組織AWS Organizations 用戶指南

步驟 2:啟用您組織中的所有功能

下一步,必須啟用您組織中的所有功能。如需指示,請參閱啟用組織中的所有功能 AWS Organizations 用戶指南

步驟 3:為 Audit Manager 指定委派管理員

建議您使用 Organizations 管理帳戶啟用 Audit Manager 管理員,然後指定委派管理員。之後,您可以使用委派管理員帳戶登入並執行評估。根據最佳實務,建議您僅使用委派管理員帳戶來建立評估,而不是使用管理帳戶。

若要在啟用稽核管理員之後新增或變更委派的管理員,請參閱新增委派管理員變更委派管理員

後續步驟

現在,您已經使用建議的設定設定來設定稽核管理員,就可以開始使用該服務了。