As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Usando AWS Security Hub CSPM em seu programa de gerenciamento de vulnerabilidades
<a name="aws-security-hub"></a>

A criação de um programa escalável de gerenciamento de vulnerabilidades AWS envolve o gerenciamento de vulnerabilidades tradicionais de software e rede, além dos riscos de configuração da nuvem. [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)ajuda você a verificar seu AWS ambiente em relação aos padrões do setor de segurança e pode identificar riscos de configuração na nuvem. O Security Hub CSPM também fornece uma visão abrangente do seu estado de segurança AWS ao agregar descobertas de segurança de outros serviços de segurança e ferramentas de AWS segurança de terceiros.

Nas seções a seguir, fornecemos as melhores práticas e recomendações para configurar o CSPM do Security Hub para dar suporte ao seu programa de gerenciamento de vulnerabilidades:
+  [Configurando o Security Hub CSPM](#setting-up-security-hub)
+  [Habilitando os padrões CSPM do Security Hub](#enabling-security-hub-standards)
+  [Gerenciando as descobertas do CSPM do Security Hub](#managing-security-hub-findings)
+  [Agregação de descobertas de outros serviços e ferramentas de segurança](#aggregating-findings-from-other-security-services-and-tools)

## Configurando o Security Hub CSPM
<a name="setting-up-security-hub"></a>

Para obter instruções de configuração, consulte [Configurar o AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html). Para usar o Security Hub CSPM, você deve habilitar. [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) Para obter mais informações, consulte [Habilitando e configurando AWS Config na documentação](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html) do CSPM do Security Hub.

Se você estiver integrado com AWS Organizations, a partir da conta de gerenciamento da organização, você designa uma conta para ser o administrador delegado do CSPM do Security Hub. Para obter instruções, consulte [Designação do administrador delegado CSPM do Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html#designate-admin-overview). O AWS SRA recomenda que você crie uma [conta do Security Tooling](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html) e a use como administrador delegado do CSPM do Security Hub.

O administrador delegado tem acesso automático para configurar o CSPM do Security Hub para todas as contas membros da organização e para visualizar as descobertas associadas a essas contas. Recomendamos que você habilite o CSPM do AWS Config Security Hub em todos Regiões da AWS os seus. Contas da AWS Você pode configurar o CSPM do Security Hub para tratar automaticamente as novas contas da organização como contas membros do CSPM do Security Hub. Para conferir as instruções, consulte [Managing member accounts that belong to an organization](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-accounts-orgs.html).

## Habilitando os padrões CSPM do Security Hub
<a name="enabling-security-hub-standards"></a>

O Security Hub CSPM gera descobertas executando verificações de segurança automatizadas e contínuas em relação aos controles *de segurança*. Os controles estão associados a um ou mais *padrões de segurança*. Os controles ajudam a determinar se os requisitos de um padrão estão sendo atendidos.

Quando você habilita um padrão no Security Hub CSPM, o Security Hub CSPM ativa automaticamente os controles que se aplicam ao padrão. O Security Hub CSPM usa AWS Config [regras](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) para realizar a maioria das verificações de segurança dos controles. Você pode ativar ou desativar os padrões CSPM do Security Hub a qualquer momento. Para obter mais informações, consulte [Controles e padrões de segurança em AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards.html). Para obter uma lista completa de padrões, consulte a referência de [padrões CSPM do Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-reference.html).

Se sua organização ainda não tiver um padrão de segurança preferencial, recomendamos usar o [padrão Práticas Recomendadas de Segurança Básica da AWS (FSBP)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html). Esse padrão foi projetado para detectar quando Contas da AWS um recurso se desvia das melhores práticas de segurança. AWS organiza esse padrão e o atualiza regularmente para abranger novos recursos e serviços. Depois de fazer a triagem das descobertas do FSBP, considere habilitar outros padrões.

## Gerenciando as descobertas do CSPM do Security Hub
<a name="managing-security-hub-findings"></a>

O Security Hub CSPM fornece vários recursos que ajudam você a lidar com grandes volumes de descobertas de toda a organização e a entender o estado de segurança do seu AWS ambiente. Para ajudá-lo a gerenciar as descobertas, recomendamos habilitar os dois recursos CSPM do Security Hub a seguir:
+ Use a [agregação entre regiões](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) para agregar descobertas, encontrar atualizações, insights, controlar status de conformidade e pontuações de segurança de várias Regiões da AWS para uma única região de agregação.
+ Use o [controle consolidado de descobertas](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings) para reduzir o ruído das descobertas removendo as duplicadas. Quando as descobertas de controle consolidadas são ativadas em sua conta, o Security Hub CSPM gera uma única nova descoberta ou atualização de descoberta para cada verificação de segurança de um controle, mesmo que um controle se aplique a vários padrões habilitados.

## Agregação de descobertas de outros serviços e ferramentas de segurança
<a name="aggregating-findings-from-other-security-services-and-tools"></a>

Além de gerar descobertas de segurança, você pode usar o Security Hub CSPM para agregar dados de localização de várias soluções de segurança Serviços da AWS de terceiros compatíveis. Esta seção se concentra no envio de descobertas de segurança para o Security Hub CSPM. A próxima seção,[Preparar para atribuir descobertas de segurança](prepare-finding-assignments.md), discute como você pode integrar o CSPM do Security Hub com produtos que podem receber descobertas do CSPM do Security Hub.

Há muitos Serviços da AWS produtos de terceiros e soluções de código aberto disponíveis que você pode integrar ao Security Hub CSPM. Se você estiver apenas começando, recomendamos fazer o seguinte:

1. **Habilitar integração Serviços da AWS— A maioria das AWS service (Serviço da AWS) integrações que enviam descobertas para o CSPM do Security Hub são ativadas automaticamente depois que você habilita o CSPM do Security Hub e o serviço integrado**. Para o seu programa de gerenciamento de vulnerabilidades, recomendamos habilitar o Amazon Inspector GuardDuty AWS Health, o Amazon e o IAM Access Analyzer em cada conta. Esses serviços enviam automaticamente suas descobertas para o Security Hub CSPM. Para obter uma lista completa das AWS service (Serviço da AWS) integrações suportadas, consulte a seção [Enviar descobertas para Serviços da AWS o Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-internal-providers.html).
**nota**  
AWS Health envia as descobertas para o Security Hub CSPM se uma das seguintes condições for atendida:  
A descoberta está associada a um serviço AWS de segurança
A descoberta **typeCode** contém as palavras `security`, `abuse` ou `certificate`.
O AWS Health serviço de busca é `risk` ou `abuse`

1. **Configurar integrações de terceiros**: para obter uma lista das integrações compatíveis atualmente, consulte [Available third-party partner product integrations](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html). Selecione qualquer ferramenta adicional que possa enviar ou receber descobertas do Security Hub CSPM. Talvez você já tenha algumas dessas ferramentas de terceiros. Siga as instruções do produto para configurar a integração com o CSPM do Security Hub.