As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Resposta a incidentes de segurança para uma arquitetura de várias contas
Ao fazer a transição para vários Contas da AWS, é importante manter a visibilidade dos eventos de segurança que podem ocorrer em sua organização. Em [Gerenciamento de identidade e controle de acesso](identity-management.md), você usou o AWS Control Tower para configurar sua zona de pouso. Durante esse processo de configuração, AWS Control Tower designe um Conta da AWS para segurança. Você deve delegar a administração dos serviços de segurança na **security-tooling-prod**conta e usar essa conta para gerenciar esses serviços de forma centralizada.
Este guia analisa o uso do seguinte Serviços da AWS para ajudar a proteger você Contas da AWS e sua organização:
+ [Amazon GuardDuty](#amazon-guardduty)
+ [Amazon Macie](#amazon-macie)
+ [AWS Security Hub CSPM](#amazon-security-hub)
## Amazon GuardDuty
[A Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) é um serviço contínuo de monitoramento de segurança que analisa fontes de dados, como registros de AWS CloudTrail eventos. Para obter uma lista completa das fontes de dados compatíveis, consulte [Como a Amazon GuardDuty usa suas fontes de dados](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_data-sources.html#guardduty_vpc) (GuardDuty documentação). Ele usa feeds de inteligência contra ameaças, como listas de endereços IP e domínios mal-intencionados, e machine learning para identificar atividades inesperadas, mal-intencionadas e possivelmente não autorizadas no seu ambiente da AWS .
Quando você usa GuardDuty com AWS Organizations, a conta de gerenciamento na organização pode designar qualquer conta na organização para ser o administrador GuardDuty *delegado*. O administrador delegado se torna a conta de GuardDuty administrador da Região. GuardDuty é habilitado automaticamente nesse:Região da AWS, e a conta de administrador delegado tem permissões para habilitar e gerenciar GuardDuty todas as contas na organização dentro dessa região. Para obter mais informações, consulte [Gerenciamento de GuardDuty contas com AWS Organizations](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html) (GuardDuty documentação).
GuardDuty é um serviço regional. Isso significa que você deve habilitar GuardDuty em cada região que deseja monitorar.
### Práticas recomendadas
+ Ativar GuardDuty em todos os compatíveis Regiões da AWS. GuardDuty pode gerar descobertas sobre atividades não autorizadas ou incomuns, mesmo em regiões que você não está usando ativamente. O preço do GuardDuty é baseado no número de eventos analisados. Mesmo em regiões onde você não está operando cargas de trabalho, a ativação GuardDuty é uma ferramenta de detecção eficaz e econômica para alertá-lo sobre atividades potencialmente maliciosas. Para obter mais informações sobre as regiões em que GuardDuty está disponível, consulte [Amazon GuardDuty Service Endpoints](https://docs.aws.amazon.com/general/latest/gr/guardduty.html#guardduty_region) (Referência geral da AWS).
+ Em cada região, delegue a **security-tooling-prod**conta GuardDuty para administrar sua organização. Para obter mais informações, consulte [Designação de um administrador GuardDuty delegado](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#delegated-admin-designate) (GuardDuty documentação).
+ Configure GuardDuty para inscrever automaticamente novos Contas da AWS à medida que forem adicionados à organização. Para obter mais informações, consulte *Etapa 3 - automatizar a adição de novas contas da organização como membros* em [Gerenciando contas com AWS Organizations](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#delegated-admin-designate) (GuardDuty documentação).
## Amazon Macie
O [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) é um serviço de segurança e privacidade de dados totalmente gerenciado que usa machine learning e comparação de padrões para ajudar você a descobrir, monitorar e proteger dados confidenciais no Amazon Simple Storage Service (Amazon S3). Você pode exportar dados do Amazon Relational Database Service (Amazon RDS) e do Amazon DynamoDB para um bucket do S3 e depois usar o Macie para verificar os dados.
*Quando você usa o Macie com AWS Organizations, a conta de gerenciamento na organização pode designar qualquer conta na organização como a conta de administrador do Macie.* A conta do administrador pode habilitar e gerenciar o Macie para as contas-membros da organização, pode acessar dados de inventário do Amazon S3 e pode executar trabalhos confidenciais de descoberta de dados para as contas. Para obter mais informações, consulte [Gerenciar contas com o AWS Organizations](https://docs.aws.amazon.com/macie/latest/user/accounts-mgmt-ao.html) (documentação do Macie).
Macie é um serviço regional. Isso significa que você deve habilitar o Macie em cada região que deseja monitorar e que a conta de administrador do Macie só pode gerenciar contas-membros dentro da mesma região.
### Práticas recomendadas
+ Siga as [Considerações e recomendações para usar o Macie com o AWS Organizations](https://docs.aws.amazon.com/macie/latest/user/accounts-mgmt-ao-notes.html) (documentação do Macie).
+ Em cada região, delegue a **security-tooling-prod**conta para administrar o Macie para sua organização. Para gerenciar centralmente contas do Macie em várias Regiões da AWS, a conta de gerenciamento deve fazer login em cada região em que a organização atualmente usa ou usará o Macie e, em seguida, designar a conta de administrador do Macie em cada uma dessas regiões. A conta de administrador do Macie pode então configurar a organização em cada uma dessas regiões. Para obter mais informações, consulte [Integrar e configurar uma organização](https://docs.aws.amazon.com/macie/latest/user/accounts-mgmt-ao-integrate.html) (documentação do Macie).
+ O Macie fornece um [nível gratuito mensal](https://docs.aws.amazon.com/macie/latest/user/account-mgmt-costs-calculations.html) para trabalhos de descoberta de dados confidenciais. Se você tiver dados confidenciais armazenados no Amazon S3, use o Macie para analisar seus buckets do S3 como parte do nível gratuito mensal. Se você exceder o nível gratuito, cobranças confidenciais de descoberta de dados começarão a ser acumuladas em sua conta.
## AWS Security Hub CSPM
[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)fornece uma visão abrangente do seu estado de segurança em AWS. Você pode usá-lo para verificar o ambiente segundo os padrões e as práticas recomendadas do setor de segurança. O Security Hub CSPM coleta dados de segurança de todos os seus Contas da AWS serviços (incluindo o GuardDuty Macie) e de produtos de parceiros terceirizados compatíveis. O Security Hub CSPM ajuda você a analisar as tendências de segurança e identificar os problemas de segurança de maior prioridade. O Security Hub CSPM fornece vários padrões de segurança que você pode habilitar para realizar verificações de conformidade em cada um. Conta da AWS
*Quando você usa o Security Hub CSPM com AWS Organizations, a conta de gerenciamento na organização pode designar qualquer conta na organização como a conta de administrador do Security Hub CSPM.* A conta de administrador do Security Hub CSPM pode então habilitar e gerenciar outras contas de membros na organização. Para obter mais informações, consulte [Usando AWS Organizations para gerenciar contas](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-orgs.html) (documentação do CSPM do Security Hub).
O Security Hub CSPM é um serviço regional. Isso significa que você deve habilitar o CSPM do Security Hub em cada região que deseja analisar e, em AWS Organizations, definir o administrador delegado para cada região.
### Práticas recomendadas
+ Siga os [pré-requisitos e recomendações](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-setup-prereqs.html) (documentação do CSPM do Security Hub).
+ Em cada região, delegue a **security-tooling-prod**conta para administrar o CSPM do Security Hub para sua organização. Para obter mais informações, consulte [Designação de uma conta de administrador do CSPM do Security Hub (documentação do CSPM do](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html) Security Hub).
+ Configure o Security Hub CSPM para inscrever automaticamente novos Contas da AWS quando eles forem adicionados à organização.
+ Ative o [padrão AWS Foundational Security Best Practices](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) (documentação do Security Hub CSPM) para detectar quando os recursos se desviam das melhores práticas de segurança.
+ Ative a [agregação entre regiões](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) (documentação do CSPM do Security Hub) para que você possa visualizar e gerenciar todas as descobertas do CSPM do Security Hub em uma única região.