Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Grundlegendes zu Sicherheitsüberprüfungen und Bewertungen in Security Hub CSPM
Für jedes Steuerelement, das Sie aktivieren, führt AWS Security Hub CSPM Sicherheitsprüfungen durch. Eine Sicherheitsüberprüfung führt zu einem Ergebnis, das Ihnen Aufschluss darüber gibt, ob eine bestimmte AWS Ressource den in der Kontrolle enthaltenen Regeln entspricht.
Einige Prüfungen werden in regelmäßigen Abständen ausgeführt. Andere Prüfungen werden nur ausgeführt, wenn sich der Ressourcenstatus ändert. Weitere Informationen finden Sie unter [Zeitplan für die Ausführung von Sicherheitsprüfungen](securityhub-standards-schedule.md).
Viele Sicherheitsüberprüfungen verwenden AWS Config verwaltete oder benutzerdefinierte Regeln, um die Konformitätsanforderungen festzulegen. Um diese Prüfungen durchzuführen, müssen Sie die Ressourcenaufzeichnung für die erforderlichen Ressourcen einrichten AWS Config und aktivieren. Weitere Informationen zur Einrichtung finden Sie AWS Config unter[Aktivierung und Konfiguration AWS Config für Security Hub CSPM](securityhub-setup-prereqs.md). Eine Liste der AWS Config Ressourcen, die Sie für jeden Standard aufzeichnen müssen, finden Sie unter[Erforderliche AWS Config Ressourcen für Kontrollbefunde](controls-config-resources.md). Andere Steuerelemente verwenden benutzerdefinierte Lambda-Funktionen, die von Security Hub CSPM verwaltet werden und keine Voraussetzungen erfordern.
Während Security Hub CSPM Sicherheitsüberprüfungen durchführt, generiert es Ergebnisse und weist ihnen einen Compliance-Status zu. Weitere Informationen zum Compliance-Status finden Sie unter. [Bewertung des Compliance-Status der CSPM-Ergebnisse von Security Hub](controls-overall-status.md#controls-overall-status-compliance-status)
Security Hub CSPM verwendet den Compliance-Status von Kontrollfeststellungen, um einen allgemeinen Kontrollstatus zu ermitteln. Auf der Grundlage des Kontrollstatus berechnet Security Hub CSPM außerdem eine Sicherheitsbewertung für alle aktivierten Kontrollen und für bestimmte Standards. Weitere Informationen erhalten Sie unter [Bewertung des Konformitätsstatus und des Kontrollstatus](controls-overall-status.md) und [Berechnung von Sicherheitswerten](standards-security-score.md).
Wenn Sie konsolidierte Kontrollergebnisse aktiviert haben, generiert Security Hub CSPM auch dann ein einziges Ergebnis, wenn eine Kontrolle mit mehr als einem Standard verknüpft ist. Weitere Informationen finden Sie unter [Konsolidierte Kontrollergebnisse](controls-findings-create-update.md#consolidated-control-findings).
**Topics**
+ [Erforderliche AWS Config Ressourcen für Kontrollbefunde](controls-config-resources.md)
+ [Zeitplan für die Ausführung von Sicherheitsprüfungen](securityhub-standards-schedule.md)
+ [Generierung und Aktualisierung von Kontrollbefunden](controls-findings-create-update.md)
+ [Bewertung des Konformitätsstatus und des Kontrollstatus](controls-overall-status.md)
+ [Berechnung von Sicherheitswerten](standards-security-score.md)
# Erforderliche AWS Config Ressourcen für Kontrollbefunde
In AWS Security Hub CSPM verwenden einige Steuerelemente dienstbezogene AWS Config Regeln, die Konfigurationsänderungen in Ihren Ressourcen erkennen. AWS Damit Security Hub CSPM genaue Ergebnisse für diese Kontrollen generiert, müssen Sie die Ressourcenaufzeichnung in aktivieren AWS Config und einschalten. AWS Config Informationen darüber, wie Security Hub CSPM AWS Config Regeln verwendet und wie sie aktiviert und konfiguriert werden AWS Config, finden Sie unter. [Aktivierung und Konfiguration AWS Config für Security Hub CSPM](securityhub-setup-prereqs.md) Ausführliche Informationen zur Ressourcenaufzeichnung finden Sie unter [Arbeiten mit dem Konfigurationsrekorder](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) im *AWS Config Entwicklerhandbuch*.
Um genaue Kontrollergebnisse zu erhalten, müssen Sie die AWS Config Ressourcenaufzeichnung für aktivierte Steuerelemente mit einem *durch Änderung ausgelösten* Zeitplantyp aktivieren. Für einige Steuerelemente mit einem *periodischen* Zeitplan ist auch eine Ressourcenaufzeichnung erforderlich. Auf dieser Seite sind die erforderlichen Ressourcen für diese Security Hub CSPM-Steuerelemente aufgeführt.
Security Hub CSPM-Steuerungen können auf verwalteten AWS Config Regeln oder benutzerdefinierten Security Hub CSPM-Regeln basieren. Stellen Sie sicher, dass es keine AWS Identity and Access Management (IAM-) Richtlinien oder AWS Organizations verwalteten Richtlinien gibt, die AWS Config verhindern, dass Sie Ihre Ressourcen aufzeichnen dürfen. Security Hub CSPM-Steuerungen werten Ressourcenkonfigurationen direkt aus und berücksichtigen keine AWS Organizations Richtlinien.
**Anmerkung**
AWS-Regionen Wenn ein Steuerelement nicht verfügbar ist, ist die entsprechende Ressource in nicht verfügbar. AWS Config Eine Liste dieser Grenzwerte finden Sie unter[Regionale Beschränkungen der Security Hub CSPM-Steuerungen](regions-controls.md).
**Topics**
+ [Erforderliche Ressourcen für alle Security Hub CSPM-Steuerelemente](#all-controls-config-resources)
+ [Erforderliche Ressourcen für den Standard AWS Fundational Security Best Practices](#securityhub-standards-fsbp-config-resources)
+ [Erforderliche Ressourcen für den CIS AWS Foundations Benchmark](#securityhub-standards-cis-config-resources)
+ [Erforderliche Ressourcen für den Standard NIST SP 800-53 Revision 5](#nist-config-resources)
+ [Erforderliche Ressourcen für den Standard NIST SP 800-171 Revision 2](#nist-800-171-config-resources)
+ [Erforderliche Ressourcen für PCI DSS v3.2.1](#securityhub-standards-pci-config-resources)
+ [Erforderliche Ressourcen für den AWS Resource Tagging-Standard](#tagging-config-resources)
## Erforderliche Ressourcen für alle Security Hub CSPM-Steuerelemente
Damit Security Hub CSPM Ergebnisse für durch Änderungen ausgelöste Kontrollen generiert, die aktiviert sind und eine AWS Config Regel verwenden, müssen Sie die folgenden Ressourcentypen in aufzeichnen. AWS Config In dieser Tabelle ist auch angegeben, mit welchen Kontrollen ein bestimmter Ressourcentyp bewertet wird. Ein einzelnes Steuerelement kann mehr als einen Ressourcentyp auswerten.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/controls-config-resources.html)
## Erforderliche Ressourcen für den Standard AWS Fundational Security Best Practices
Damit Security Hub CSPM die Ergebnisse für durch Änderungen ausgelöste Kontrollen, die den Standard „Best Practices von AWS Foundation Security“ (v.1.0.0) erfüllen, aktiviert sind und eine AWS Config Regel verwenden, korrekt melden kann, müssen Sie die folgenden Ressourcentypen in aufzeichnen. AWS Config Informationen zu diesem Standard finden Sie unter. [AWS Standard für grundlegende Best Practices im Bereich Sicherheit im Security Hub CSPM](fsbp-standard.md)
| AWS-Service | Ressourcentypen |
| --- | --- |
| Amazon API Gateway | `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage` |
| AWS AppSync | `AWS::AppSync::ApiCache`, `AWS::AppSync::GraphQLApi` |
| AWS Backup | `AWS::Backup::RecoveryPoint` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| AWS CodeBuild | `AWS::CodeBuild::Project`, `AWS::CodeBuild::ReportGroup` |
| Amazon Cognito | `AWS::Cognito::IdentityPool`, `AWS::Cognito::UserPool` |
| Amazon Connect | `AWS::Connect::Instance` |
| AWS DataSync | `AWS::DataSync::Task` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask` |
| Amazon DynamoDB | `AWS::DynamoDB::Table` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::SnapshotBlockPublicAccess`, `AWS::EC2::SpotFleet`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPCBlockPublicAccessOptions`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::Repository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::CapacityProvider`, `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`, `AWS::ECS::TaskSet` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint`, `AWS::EFS::FileSystem` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer` |
| ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EMR | `AWS::EMR::SecurityConfiguration` |
| AWS Glue | `AWS::Glue::Job`, `AWS::Glue::MLTransform` |
| AWS Identity and Access Management (ICH BIN) | `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Key` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon Managed Streaming for Apache Kafka (Amazon MSK) | `AWS::MSK::Cluster`, `AWS::KafkaConnect::Connector` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| OpenSearch Amazon-Dienst | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBProxy`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup` |
| Amazon Redshift Serverless | `AWS::RedshiftServerless::Workgroup` |
| Amazon Route 53 | `AWS::Route53::HostedZone` |
| Amazon Simple Storage Service (Amazon-S3) | `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`, `AWS::S3::MultiRegionAccessPoint`, `AWS::S3Express::DirectoryBucket` |
| Amazon SageMaker KI | `AWS::SageMaker::Model`, `AWS::SageMaker::NotebookInstance` |
| Amazon-Simple-Notification-Service (Amazon-SNS) | `AWS::SNS::Topic` |
| Amazon-Simple-Queue-Service (Amazon SQS) | `AWS::SQS::Queue` |
| AWS Secrets Manager | `AWS::SecretsManager::Secret` |
| AWS Step Functions | `AWS::StepFunctions::StateMachine` |
| AWS Transfer Family | `AWS::Transfer::Connector` |
| AWS WAF | `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL` |
| Amazon WorkSpaces | `AWS::WorkSpaces::WorkSpace` |
## Erforderliche Ressourcen für den CIS AWS Foundations Benchmark
Um Sicherheitsüberprüfungen für aktivierte Kontrollen durchzuführen, die für den Center for Internet Security (CIS) AWS Foundations Benchmark gelten, führt Security Hub CSPM entweder genau die für die Prüfungen vorgeschriebenen Prüfschritte durch oder verwendet spezifische AWS Config verwaltete Regeln. Informationen zu diesem Standard in Security Hub CSPM finden Sie unter. [Benchmark der AWS GUS-Stiftungen im Security Hub CSPM](cis-aws-foundations-benchmark.md)
### Erforderliche Ressourcen für CIS v5.0.0
Damit Security Hub CSPM die Ergebnisse für aktivierte, durch Änderungen ausgelöste CIS v5.0.0-Steuerelemente, die eine AWS Config Regel verwenden, korrekt melden kann, müssen Sie die folgenden Ressourcentypen in aufzeichnen. AWS Config
| AWS-Service | Ressourcentypen |
| --- | --- |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::FileSystem` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBInstance`, `AWS::RDS::DBCluster` |
| Amazon Simple Storage Service (Amazon-S3) | `AWS::S3::Bucket` |
### Erforderliche Ressourcen für CIS v3.0.0
Damit Security Hub CSPM die Ergebnisse für aktivierte, durch Änderungen ausgelöste CIS v3.0.0-Steuerelemente, die eine AWS Config Regel verwenden, korrekt melden kann, müssen Sie die folgenden Ressourcentypen in aufzeichnen. AWS Config
| AWS-Service | Ressourcentypen |
| --- | --- |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBInstance` |
| Amazon Simple Storage Service (Amazon-S3) | `AWS::S3::Bucket` |
### Erforderliche Ressourcen für CIS v1.4.0
Damit Security Hub CSPM die Ergebnisse für aktivierte, durch Änderungen ausgelöste CIS v1.4.0-Steuerelemente, die eine AWS Config Regel verwenden, korrekt melden kann, müssen Sie die folgenden Ressourcentypen in aufzeichnen. AWS Config
| AWS-Service | Ressourcentypen |
| --- | --- |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBInstance` |
| Amazon Simple Storage Service (Amazon-S3) | `AWS::S3::Bucket` |
### Erforderliche Ressourcen für CIS v1.2.0
Damit Security Hub CSPM die Ergebnisse für aktivierte, durch Änderungen ausgelöste CIS v1.2.0-Steuerelemente, die eine AWS Config Regel verwenden, korrekt melden kann, müssen Sie die folgenden Ressourcentypen in aufzeichnen. AWS Config
| AWS-Service | Ressourcentypen |
| --- | --- |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::SecurityGroup` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` |
## Erforderliche Ressourcen für den Standard NIST SP 800-53 Revision 5
Damit Security Hub CSPM die Ergebnisse für durch Änderungen ausgelöste Kontrollen, die für den Standard NIST SP 800-53 Revision 5 gelten, aktiviert sind und eine AWS Config Regel verwenden, korrekt melden kann, müssen Sie die folgenden Ressourcentypen in aufzeichnen. AWS Config Informationen zu diesem Standard finden Sie unter. [NIST SP 800-53 Revision 5 im Security Hub CSPM](standards-reference-nist-800-53.md)
| AWS-Service | Ressourcentypen |
| --- | --- |
| Amazon API Gateway | `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage` |
| AWS AppSync | `AWS::AppSync::GraphQLApi` |
| AWS Backup | `AWS::Backup::RecoveryPoint` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| AWS CodeBuild | `AWS::CodeBuild::Project` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask` |
| Amazon DynamoDB | `AWS::DynamoDB::Table` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::Repository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer` |
| Amazon ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EMR | `AWS::EMR::SecurityConfiguration` |
| Amazon EventBridge | `AWS::Events::Endpoint`, `AWS::Events::EventBus` |
| AWS Glue | `AWS::Glue::Job` |
| AWS Identity and Access Management (ICH BIN) | `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon Managed Streaming for Apache Kafka (Amazon MSK) | `AWS::MSK::Cluster` |
| Amazon MQ | `AWS::AmazonMQ::Broker` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| OpenSearch Amazon-Dienst | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup` |
| Amazon Route 53 | `AWS::Route53::HostedZone` |
| Amazon Simple Storage Service (Amazon-S3) | `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket` |
| AWS Service Catalog | `AWS::ServiceCatalog::Portfolio` |
| Amazon-Simple-Notification-Service (Amazon-SNS) | `AWS::SNS::Topic` |
| Amazon-Simple-Queue-Service (Amazon SQS) | `AWS::SQS::Queue` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
| Amazon SageMaker KI | `AWS::SageMaker::NotebookInstance` |
| AWS Secrets Manager | `AWS::SecretsManager::Secret` |
| AWS Transfer Family | `AWS::Transfer::Connector` |
| AWS WAF | `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL` |
## Erforderliche Ressourcen für den Standard NIST SP 800-171 Revision 2
Damit Security Hub CSPM die Ergebnisse für durch Änderungen ausgelöste Kontrollen, die für den Standard NIST SP 800-171 Revision 2 gelten, aktiviert sind und eine AWS Config Regel verwenden, korrekt melden kann, müssen Sie die folgenden Ressourcentypen in aufzeichnen. AWS Config Informationen zu diesem Standard finden Sie unter. [NIST SP 800-171 Revision 2 im Security Hub CSPM](standards-reference-nist-800-171.md)
| AWS-Service | Ressourcentypen |
| --- | --- |
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` |
| Amazon API Gateway | `AWS::ApiGateway::Stage` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` |
| AWS Identity and Access Management(ICH BIN) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` |
| AWS WAF | `AWS::WAFv2::RuleGroup` |
## Erforderliche Ressourcen für PCI DSS v3.2.1
Damit Security Hub CSPM die Ergebnisse für Kontrollen, die für Version 3.2.1 des Payment Card Industry Data Security Standard (PCI DSS) gelten, aktiviert sind und eine AWS Config Regel verwenden, korrekt melden kann, müssen Sie die folgenden Ressourcentypen in aufzeichnen. AWS Config Informationen zu diesem Standard finden Sie unter. [PCI DSS im Security Hub CSPM](pci-standard.md)
| AWS-Service | Ressourcentypen |
| --- | --- |
| AWS CodeBuild | `AWS::CodeBuild::Project` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::SecurityGroup` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup` |
| AWS Identity and Access Management (ICH BIN) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| AWS Lambda | `AWS::Lambda::Function` |
| OpenSearch Amazon-Dienst | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot` |
| Amazon Redshift | `AWS::Redshift::Cluster` |
| Amazon Simple Storage Service (Amazon-S3) | `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
## Erforderliche Ressourcen für den AWS Resource Tagging-Standard
Alle Steuerelemente, die für den AWS Resource Tagging-Standard gelten, werden durch Änderungen ausgelöst und verwenden eine AWS Config Regel. Damit Security Hub CSPM die Ergebnisse dieser Kontrollen korrekt melden kann, müssen Sie die folgenden Ressourcentypen in aufzeichnen. AWS Config Informationen zu diesem Standard finden Sie unter. [AWS Standard für Ressourcen-Tagging in Security Hub CSPM](standards-tagging.md)
| AWS-Service | Ressourcentypen |
| --- | --- |
| AWS Amplify | `AWS::Amplify::App`, `AWS::Amplify::Branch` |
| Amazon AppFlow | `AWS::AppFlow::Flow` |
| AWS App Runner | `AWS::AppRunner::Service`, `AWS::AppRunner::VpcConnector` |
| AWS AppConfig | `AWS::AppConfig::Application`, `AWS::AppConfig::ConfigurationProfile`, `AWS::AppConfig::Environment`, `AWS::AppConfig::ExtensionAssociation` |
| AWS AppSync | `AWS::AppSync::GraphQLApi` |
| Amazon Athena | `AWS::Athena::DataCatalog`, `AWS::Athena::WorkGroup` |
| AWS Backup | `AWS::Backup::BackupPlan`, `AWS::Backup::BackupVault`, `AWS::Backup::RecoveryPlan`, `AWS::Backup::ReportPlan` |
| AWS Batch | `AWS::Batch::ComputeEnvironment`, `AWS::Batch::JobQueue`, `AWS::Batch::SchedulingPolicy` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| AWS CloudTrail | `AWS::CloudTrail::Trail` |
| AWS CodeArtifact | `AWS::CodeArtifact::Repository` |
| Amazon CodeGuru | `AWS::CodeGuruProfiler::ProfilingGroup`, `AWS::CodeGuruReviewer::RepositoryAssociation` |
| Amazon Connect | `AWS::CustomerProfiles::ObjectType` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Certificate`, `AWS::DMS::EventSubscription` `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationSubnetGroup` |
| AWS DataSync | `AWS::DataSync::Task` |
| Amazon Detective | `AWS::Detective::Graph` |
| Amazon DynamoDB | `AWS::DynamoDB::Trail` |
| Amazon Elastic Compute Cloud (EC2) | `AWS::EC2::CustomerGateway`, `AWS::EC2::DHCPOptions`, `AWS::EC2::EIP`, `AWS::EC2::FlowLog`, `AWS::EC2::Instance`, `AWS::EC2::InternetGateway`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NatGateway`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::PrefixList`, `AWS::EC2::RouteTable`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TrafficMirrorFilter`, `AWS::EC2::TrafficMirrorSession`, `AWS::EC2::TrafficMirrorTarget`, `AWS::EC2::TransitGateway`, `AWS::EC2::TransitGatewayAttachment`, `AWS::EC2::TransitGatewayRouteTable`, `AWS::EC2::Volume`, `AWS::EC2::VPC`, `AWS::EC2::VPCEndpointService`, `AWS::EC2::VPCPeeringConnection`, `AWS::EC2::VPNGateway` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::PublicRepository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster`, `AWS::EKS::IdentityProviderConfig` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EventBridge | `AWS::Events::EventBus` |
| Amazon Fraud Detector | `AWS::FraudDetector::EntityType`, `AWS::FraudDetector::Label` `AWS::FraudDetector::Outcome`, `AWS::FraudDetector::Variable` |
| AWS Global Accelerator | `AWS::GlobalAccelerator::Accelerator` |
| AWS Glue | `AWS::Glue::Job` |
| Amazon GuardDuty | `AWS::GuardDuty::Detector`, `AWS::GuardDuty::Filter`, `AWS::GuardDuty::IPSet` |
| AWS Identity and Access Management (ICH BIN) | `AWS::IAM::Role`, `AWS::IAM::User` |
| AWS Identity and Access Management Access Analyzer (IAM-Zugriffsanalysator) | `AWS::AccessAnalyzer::Analyzer` |
| AWS IoT | `AWS::IoT::Authorizer`, `AWS::IoT::Dimension`, `AWS::IoT::MitigationAction`, `AWS::IoT::Policy`, `AWS::IoT::RoleAlias`, `AWS::IoT::SecurityProfile` |
| AWS IoT Events | `AWS::IoTEvents::AlarmModel`, `AWS::IoTEvents::DetectorModel`, `AWS::IoTEvents::Input` |
| AWS IoT SiteWise | `AWS::IoTSiteWise::Dashboard`, `AWS::IoTSiteWise::Gateway`, `AWS::IoTSiteWise::Portal`, `AWS::IoTSiteWise::Project` |
| AWS IoT TwinMaker | `AWS::IoTTwinMaker::Entity`, `AWS::IoTTwinMaker::Scene`, `AWS::IoTTwinMaker::SyncJob`, `AWS::IoTTwinMaker::Workspace` |
| AWS IoT Drahtlos | `AWS::IoTWireless::FuotaTask`, `AWS::IoTWireless::MulticastGroup`, `AWS::IoTWireless::ServiceProfile` |
| Amazon Interactive Video Service (Amazon IVS) | `AWS::IVS::Channel`, `AWS::IVS::PlaybackKeyPair`, `AWS::IVS::RecordingConfiguration` |
| Amazon Keyspaces (für Apache Cassandra) | `AWS::Cassandra::Keyspace` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon MQ | `AWS::AmazonMQ::Broker` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy` |
| OpenSearch Amazon-Dienst | `AWS::OpenSearch::Domain` |
| AWS Private Certificate Authority | `AWS::ACMPCA::CertificateAuthority` |
| Amazon Relational Database Service | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSecurityGroup`, `AWS::RDS::DBSnapshot`, `AWS::RDS::DBSubnetGroup` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterParameterGroup`, `AWS::Redshift::ClusterSnapshot`, `AWS::Redshift::ClusterSubnetGroup`, `AWS::Redshift::EventSubscription` |
| Amazon Route 53 | `AWS::Route53::HealthCheck` |
| Amazon SageMaker KI | `AWS::SageMaker::AppImageConfig`, `AWS::SageMaker::Image` |
| AWS Secrets Manager | `AWS::SecretsManager::Secret` |
| Amazon Simple Email Service (Amazon SES) | `AWS::SES::ConfigurationSet`, `AWS::SES::ContactList` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| Amazon-Simple-Queue-Service (Amazon SQS) | `AWS::SQS::Queue` |
| AWS Step Functions | `AWS::StepFunctions::Activity` |
| AWS Systems Manager (SSM) | `AWS::SSM::Document` |
| AWS Transfer Family | `AWS::Transfer::Agreement`, `AWS::Transfer::Certificate`, `AWS::Transfer::Connector`, `AWS::Transfer::Profile`, `AWS::Transfer::Workflow` |
# Zeitplan für die Ausführung von Sicherheitsprüfungen
Nachdem Sie einen Sicherheitsstandard aktiviert haben, beginnt AWS Security Hub CSPM, alle Prüfungen innerhalb von zwei Stunden durchzuführen. Die meisten Prüfungen werden innerhalb von 25 Minuten ausgeführt. Security Hub CSPM führt Prüfungen durch, indem es die Regel auswertet, die einer Kontrolle zugrunde liegt. Bis ein Steuerelement seinen ersten Prüflauf abgeschlossen hat, lautet sein Status **Keine** Daten.
Wenn Sie einen neuen Standard aktivieren, kann es bis zu 24 Stunden dauern, bis Security Hub CSPM Ergebnisse für Kontrollen generiert, die dieselbe zugrunde liegende AWS Config serviceverknüpfte Regel verwenden wie aktivierte Steuerelemente aus anderen aktivierten Standards. Wenn Sie beispielsweise das [Lambda.1-Steuerelement](lambda-controls.md#lambda-1) im Standard AWS Foundation Security Best Practices (FSBP) aktivieren, erstellt Security Hub CSPM die serviceverknüpfte Regel und generiert Ergebnisse in der Regel innerhalb von Minuten. Wenn Sie danach das Lambda.1-Steuerelement im Payment Card Industry Data Security Standard (PCI DSS) aktivieren, kann es bis zu 24 Stunden dauern, bis Security Hub CSPM Ergebnisse für die Kontrolle generiert, da es dieselbe serviceverknüpfte Regel verwendet.
Nach der ersten Überprüfung kann der Zeitplan für jede Kontrolle entweder periodisch oder durch Änderungen ausgelöst werden. Für ein Steuerelement, das auf einer verwalteten AWS Config Regel basiert, enthält die Beschreibung des Steuerelements einen Link zur Regelbeschreibung im *AWS Config Entwicklerhandbuch*. Diese Beschreibung gibt an, ob es sich bei der Regel um eine Änderung handelt oder ob es sich um eine periodische Regel handelt
## Regelmäßige Sicherheitsüberprüfungen
Regelmäßige Sicherheitsüberprüfungen werden automatisch innerhalb von 12 oder 24 Stunden nach der letzten Ausführung ausgeführt. Security Hub CSPM bestimmt die Periodizität, und Sie können sie nicht ändern. Bei regelmäßigen Kontrollen erfolgt die Bewertung zu dem Zeitpunkt, zu dem die Prüfung ausgeführt wird.
Wenn Sie den Workflow-Status eines periodischen Kontrollbefundes aktualisieren und dann bei der nächsten Überprüfung der Konformitätsstatus des Ergebnisses unverändert bleibt, bleibt der Workflow-Status in seinem geänderten Status. Wenn Sie beispielsweise eine fehlerhafte Suche für das [KMS.4-Steuerelement](kms-controls.md#kms-4) haben (die *AWS KMS key Rotation sollte aktiviert sein*) und das Ergebnis anschließend korrigieren, ändert Security Hub CSPM den Workflow-Status von zu. `NEW` `RESOLVED` Wenn Sie die KMS-Schlüsselrotation vor der nächsten regelmäßigen Überprüfung deaktivieren, bleibt der Workflow-Status des Ergebnisses erhalten. `RESOLVED`
Prüfungen, die benutzerdefinierte Lambda-Funktionen von Security Hub CSPM verwenden, werden regelmäßig durchgeführt.
## Durch Änderungen ausgelöste Sicherheitsüberprüfungen
Durch Änderungen ausgelöste Sicherheitsüberprüfungen werden ausgeführt, wenn sich der Status der zugehörigen Ressource ändert. AWS Config ermöglicht es Ihnen, zwischen der *kontinuierlichen Aufzeichnung* von Änderungen des Ressourcenstatus und der *täglichen* Aufzeichnung zu wählen. Wenn Sie die tägliche Aufzeichnung wählen AWS Config , werden die Ressourcenkonfigurationsdaten am Ende jedes 24-Stunden-Zeitraums bereitgestellt, wenn sich der Ressourcenstatus ändert. Wenn es keine Änderungen gibt, werden keine Daten geliefert. Dies kann die Generierung von Security Hub CSPM-Ergebnissen verzögern, bis ein Zeitraum von 24 Stunden abgeschlossen ist. Unabhängig von Ihrem gewählten Aufzeichnungszeitraum überprüft Security Hub CSPM alle 18 Stunden, ob keine Ressourcen-Updates von verpasst AWS Config wurden.
Im Allgemeinen verwendet Security Hub CSPM, wann immer dies möglich ist, durch Änderungen ausgelöste Regeln. Damit eine Ressource eine durch Änderungen ausgelöste Regel verwenden kann, muss sie Konfigurationselemente unterstützen. AWS Config
# Generierung und Aktualisierung von Kontrollbefunden
AWS Security Hub CSPM generiert und aktualisiert Kontrollergebnisse, wenn es Prüfungen anhand von Sicherheitskontrollen durchführt. Die Kontrollergebnisse verwenden das [AWS Security Finding Format (ASFF)](securityhub-findings-format.md).
Security Hub CSPM berechnet normalerweise Gebühren für jede Sicherheitsüberprüfung für eine Kontrolle. Wenn jedoch mehrere Kontrollen dieselbe AWS Config Regel verwenden, berechnet Security Hub CSPM für jede Überprüfung anhand der Regel nur einmal eine Gebühr. Die AWS Config `iam-password-policy` Regel wird beispielsweise von mehreren Kontrollen im CIS AWS Foundations Benchmark-Standard und im Standard AWS Foundational Security Best Practices verwendet. Jedes Mal, wenn Security Hub CSPM eine Prüfung anhand dieser Regel durchführt, generiert es ein separates Kontrollergebnis für jede zugehörige Kontrolle, berechnet jedoch nur einmal für die Prüfung eine Gebühr.
Wenn die Größe eines Kontrollergebnisses das Maximum von 240 KB überschreitet, entfernt Security Hub CSPM das `Resource.Details` Objekt aus dem Befund. Bei Kontrollen, die durch AWS Config Ressourcen unterstützt werden, können Sie die Ressourcendetails mithilfe der AWS Config Konsole überprüfen.
**Topics**
+ [Konsolidierte Kontrollergebnisse](#consolidated-control-findings)
+ [Generierung, Aktualisierung und Archivierung von Kontrollbefunden](#securityhub-standards-results-updating)
+ [Automatisierung und Unterdrückung von Kontrollbefunden](#automation-control-findings)
+ [Einzelheiten zur Einhaltung der Kontrollbestimmungen](#control-findings-asff-compliance)
+ [ProductFields Einzelheiten zu den Kontrollbefunden](#control-findings-asff-productfields)
+ [Schweregrade der Kontrollbefunde](#control-findings-severity)
## Konsolidierte Kontrollergebnisse
Wenn konsolidierte Kontrollergebnisse für Ihr Konto aktiviert sind, generiert Security Hub CSPM für jede Sicherheitsüberprüfung einer Kontrolle ein einzelnes Ergebnis oder ein einzelnes Befundupdate, auch wenn eine Kontrolle für mehrere aktivierte Standards gilt. Eine Liste der Kontrollen und der Standards, für die sie gelten, finden Sie unter. [Kontrollreferenz für Security Hub CSPM](securityhub-controls-reference.md) Wir empfehlen, konsolidierte Kontrollergebnisse zu aktivieren, um das Störgeräusch zu reduzieren.
Wenn Sie Security Hub CSPM AWS-Konto vor dem 23. Februar 2023 aktiviert haben, können Sie konsolidierte Kontrollergebnisse aktivieren, indem Sie den Anweisungen weiter unten in diesem Abschnitt folgen. Wenn Sie Security Hub CSPM am oder nach dem 23. Februar 2023 aktivieren, werden die konsolidierten Kontrollergebnisse automatisch für Ihr Konto aktiviert.
Wenn Sie die [Security Hub CSPM-Integration mit](securityhub-accounts-orgs.md) Mitgliedskonten verwenden AWS Organizations oder Mitgliedskonten über einen [manuellen Einladungsprozess](account-management-manual.md) eingeladen haben, ist Consolidated Control Findings nur dann für Mitgliedskonten aktiviert, wenn sie für das Administratorkonto aktiviert ist. Wenn die Funktion für das Administratorkonto deaktiviert ist, ist sie auch für Mitgliedskonten deaktiviert. Dieses Verhalten gilt für neue und bestehende Mitgliedskonten. Wenn der Administrator die [zentrale Konfiguration](central-configuration-intro.md) verwendet, um Security Hub CSPM für mehrere Konten zu verwalten, kann er außerdem keine zentralen Konfigurationsrichtlinien verwenden, um konsolidierte Kontrollergebnisse für die Konten zu aktivieren oder zu deaktivieren.
Wenn Sie konsolidierte Kontrollergebnisse für Ihr Konto deaktivieren, generiert oder aktualisiert Security Hub CSPM ein separates Kontrollergebnis für jeden aktivierten Standard, der eine Kontrolle enthält. Wenn Sie beispielsweise vier Standards aktivieren, die sich eine Kontrolle teilen, erhalten Sie nach einer Sicherheitsüberprüfung für die Kontrolle vier separate Ergebnisse. Wenn Sie konsolidierte Kontrollergebnisse aktivieren, erhalten Sie nur ein Ergebnis.
Wenn Sie konsolidierte Kontrollergebnisse aktivieren, erstellt Security Hub CSPM neue standardunabhängige Ergebnisse und archiviert die ursprünglichen standardbasierten Ergebnisse. Einige Felder und Werte für Kontrollergebnisse werden sich ändern, was sich auf Ihre bestehenden Workflows auswirken kann. Informationen zu diesen Änderungen finden Sie unter[Konsolidierte Kontrollergebnisse — ASFF-Änderungen](asff-changes-consolidation.md#securityhub-findings-format-consolidated-control-findings). Die Aktivierung konsolidierter Kontrollergebnisse kann sich auch auf die Ergebnisse auswirken, die integrierte Drittanbieterprodukte von Security Hub CSPM erhalten. Wenn Sie die Lösung [Automated Security Response auf AWS Version 2.0.0](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/) verwenden, beachten Sie, dass sie konsolidierte Kontrollergebnisse unterstützt.
Um Consolidated Control Findings zu aktivieren oder zu deaktivieren, müssen Sie mit einem Administratorkonto oder einem eigenständigen Konto angemeldet sein.
**Anmerkung**
Nachdem Sie die konsolidierten Kontrollergebnisse aktiviert haben, kann es bis zu 24 Stunden dauern, bis Security Hub CSPM neue konsolidierte Ergebnisse generiert und die vorhandenen standardbasierten Ergebnisse archiviert hat. Ebenso kann es nach der Deaktivierung konsolidierter Kontrollergebnisse bis zu 24 Stunden dauern, bis Security Hub CSPM neue standardbasierte Ergebnisse generiert und die vorhandenen konsolidierten Ergebnisse archiviert hat. In diesen Zeiten kann es sein, dass Sie in Ihrem Konto eine Mischung aus standardunabhängigen und standardbasierten Ergebnissen sehen.
------
#### [ Security Hub CSPM console ]
**Um konsolidierte Kontrollergebnisse zu aktivieren oder zu deaktivieren**
1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Klicken Sie im Navigationsbereich unter **Settings** auf **General**.
1. **Wählen Sie im Bereich **Steuerelemente** die Option Bearbeiten aus.**
1. Verwenden Sie den Schalter **Konsolidierte Kontrollergebnisse**, um konsolidierte Kontrollergebnisse zu aktivieren oder zu deaktivieren.
1. Wählen Sie **Speichern**.
------
#### [ Security Hub CSPM API ]
Verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html)Betrieb der Security Hub CSPM-API, um konsolidierte Kontrollergebnisse programmgesteuert zu aktivieren oder zu deaktivieren. Oder, wenn Sie den verwenden, führen Sie den Befehl aus AWS CLI. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html)
Geben Sie für den `control-finding-generator` Parameter `SECURITY_CONTROL` an, ob konsolidierte Kontrollergebnisse aktiviert werden sollen. Geben Sie an, um konsolidierte Kontrollergebnisse zu deaktivieren`STANDARD_CONTROL`.
Mit dem folgenden AWS CLI Befehl werden beispielsweise konsolidierte Kontrollbefunde aktiviert.
```
$ aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL
```
Mit dem folgenden AWS CLI Befehl werden konsolidierte Kontrollergebnisse deaktiviert.
```
$ aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL
```
------
## Generierung, Aktualisierung und Archivierung von Kontrollbefunden
[Security Hub CSPM führt Sicherheitsüberprüfungen nach einem Zeitplan durch.](securityhub-standards-schedule.md) Wenn Security Hub CSPM zum ersten Mal eine Sicherheitsüberprüfung für ein Steuerelement durchführt, generiert es für jede AWS Ressource, die das Steuerelement überprüft, ein neues Ergebnis. Jedes Mal, wenn Security Hub CSPM anschließend eine Sicherheitsüberprüfung für die Kontrolle durchführt, aktualisiert es die vorhandenen Ergebnisse, um die Ergebnisse der Prüfung zu melden. Das bedeutet, dass Sie anhand der Daten einzelner Ergebnisse die Konformität bestimmter Ressourcen anhand bestimmter Kontrollen nachverfolgen können.
Wenn sich beispielsweise der Konformitätsstatus einer Ressource `PASSED` für eine bestimmte Kontrolle von `FAILED` zu ändert, generiert Security Hub CSPM kein neues Ergebnis. Stattdessen aktualisiert Security Hub CSPM die vorhandenen Ergebnisse für das Steuerelement und die Ressource. In diesem Ergebnis ändert Security Hub CSPM den Wert für das Feld Compliance-Status (`Compliance.Status`) auf. `PASSED` Security Hub CSPM aktualisiert auch die Werte für zusätzliche Felder, um die Ergebnisse der Prüfung widerzuspiegeln, z. B. den Schweregrad, den Workflow-Status und Zeitstempel, die angeben, wann Security Hub CSPM die Prüfung zuletzt ausgeführt und das Ergebnis aktualisiert hat.
Bei der Meldung von Änderungen des Compliance-Status aktualisiert Security Hub CSPM möglicherweise eines der folgenden Felder in einem Kontrollergebnis:
+ `Compliance.Status`— Der neue Konformitätsstatus der Ressource für die angegebene Kontrolle.
+ `FindingProviderFields.Severity.Label`— Die neue qualitative Darstellung des Schweregrads des Befundes, z. B. `LOW``MEDIUM`, oder`HIGH`.
+ `FindingProviderFields.Severity.Original`— Die neue quantitative Darstellung des Schweregrads des Fehlers, z. B. `0` für eine konforme Ressource.
+ `FirstObservedAt`— Wann sich der Konformitätsstatus der Ressource zuletzt geändert hat.
+ `LastObservedAt`— Wann Security Hub CSPM die Sicherheitsüberprüfung für das angegebene Steuerelement und die angegebene Ressource zuletzt ausgeführt hat.
+ `ProcessedAt`— Wann Security Hub CSPM zuletzt mit der Verarbeitung des Ergebnisses begann.
+ `ProductFields.PreviousComplianceStatus`— Der vorherige Konformitätsstatus (`Compliance.Status`) der Ressource für die angegebene Kontrolle.
+ `UpdatedAt`— Wann Security Hub CSPM das Ergebnis zuletzt aktualisiert hat.
+ `Workflow.Status`— Der Stand der Untersuchung des Ergebnisses, basierend auf dem neuen Konformitätsstatus der Ressource für die angegebene Kontrolle.
Ob Security Hub CSPM ein Feld aktualisiert, hängt in erster Linie von den Ergebnissen der letzten Sicherheitsprüfung für die entsprechende Kontrolle und Ressource ab. Wenn sich beispielsweise der Konformitätsstatus einer Ressource `FAILED` für eine bestimmte Kontrolle von `PASSED` zu ändert, ändert Security Hub CSPM den Workflow-Status des Ergebnisses auf. `NEW` Um Aktualisierungen einzelner Ergebnisse nachzuverfolgen, können Sie auf die Historie eines Befundes zurückgreifen. Einzelheiten zu einzelnen Feldern in Ergebnissen finden Sie unter [AWS Security Finding Format (ASFF)](securityhub-findings-format.md).
In bestimmten Fällen generiert Security Hub CSPM neue Ergebnisse für nachfolgende Prüfungen durch eine Kontrolle, anstatt bestehende Ergebnisse zu aktualisieren. Dies kann der Fall sein, wenn ein Problem mit der AWS Config Regel vorliegt, die ein Steuerelement unterstützt. In diesem Fall archiviert Security Hub CSPM den vorhandenen Befund und generiert für jede Prüfung einen neuen Befund. In den neuen Ergebnissen lautet der Compliance-Status `NOT_AVAILABLE` und der Datensatzstatus lautet. `ARCHIVED` Nachdem Sie das Problem mit der AWS Config Regel behoben haben, generiert Security Hub CSPM neue Ergebnisse und beginnt, diese zu aktualisieren, um nachfolgende Änderungen am Compliance-Status einzelner Ressourcen nachzuverfolgen.
Security Hub CSPM generiert und aktualisiert nicht nur Kontrollergebnisse, sondern archiviert auch automatisch Kontrollergebnisse, die bestimmte Kriterien erfüllen. Security Hub CSPM archiviert einen Befund, wenn das Steuerelement deaktiviert ist, die angegebene Ressource gelöscht wurde oder die angegebene Ressource nicht mehr existiert. Eine Ressource ist möglicherweise nicht mehr vorhanden, da der zugehörige Dienst nicht mehr verwendet wird. Insbesondere archiviert Security Hub CSPM automatisch ein Kontrollergebnis, wenn das Ergebnis eines der folgenden Kriterien erfüllt:
+ Das Ergebnis wurde seit 3‐5 Tagen nicht aktualisiert. Beachten Sie, dass die Archivierung auf der Grundlage dieses Zeitrahmens nach bestem Wissen und Gewissen erfolgt und nicht garantiert werden kann.
+ `NOT_APPLICABLE`Bei der zugehörigen AWS Config Bewertung wurde der Konformitätsstatus der angegebenen Ressource ermittelt.
Um festzustellen, ob ein Ergebnis archiviert ist, können Sie im Feld Datensatzstatus (`RecordState`) des Ergebnisses nachschlagen. Wenn ein Ergebnis archiviert ist, lautet der Wert für dieses Feld`ARCHIVED`.
Security Hub CSPM speichert archivierte Kontrollergebnisse 30 Tage lang. Nach 30 Tagen laufen die Ergebnisse ab und Security Hub CSPM löscht sie dauerhaft. Um festzustellen, ob ein archiviertes Kontrollergebnis abgelaufen ist, stützt Security Hub CSPM seine Berechnung auf den Wert für das `UpdatedAt` Feld des Ergebnisses.
Um archivierte Kontrollergebnisse länger als 30 Tage zu speichern, können Sie die Ergebnisse in einen S3-Bucket exportieren. Sie können dies tun, indem Sie eine benutzerdefinierte Aktion mit einer EventBridge Amazon-Regel verwenden. Weitere Informationen finden Sie unter [Verwendung EventBridge für automatisierte Reaktionen und Problembehebungen](securityhub-cloudwatch-events.md).
**Anmerkung**
Vor dem 3. Juli 2025 generierte und aktualisierte Security Hub CSPM Kontrollergebnisse unterschiedlich, wenn sich der Compliance-Status einer Ressource für eine Kontrolle änderte. Zuvor hat Security Hub CSPM einen neuen Kontrollbefund erstellt und den vorhandenen Befund für eine Ressource archiviert. Daher haben Sie möglicherweise mehrere archivierte Ergebnisse für eine bestimmte Kontrolle und Ressource, bis diese Ergebnisse ablaufen (nach 30 Tagen).
## Automatisierung und Unterdrückung von Kontrollbefunden
Sie können die CSPM-Automatisierungsregeln von Security Hub verwenden, um bestimmte Kontrollergebnisse zu aktualisieren oder zu unterdrücken. Wenn Sie ein Ergebnis unterdrücken, können Sie weiterhin darauf zugreifen. Eine Unterdrückung deutet jedoch darauf hin, dass Sie der Meinung sind, dass keine Maßnahmen erforderlich sind, um das Ergebnis zu beheben.
Durch das Unterdrücken von Ergebnissen können Sie das Suchrauschen reduzieren. Sie können beispielsweise Kontrollergebnisse unterdrücken, die in Testkonten generiert wurden. Oder Sie könnten Ergebnisse unterdrücken, die sich auf bestimmte Ressourcen beziehen. Weitere Informationen zur automatischen Aktualisierung oder Unterdrückung von Ergebnissen finden Sie unter[Grundlegendes zu den Automatisierungsregeln in Security Hub CSPM](automation-rules.md).
Automatisierungsregeln eignen sich, wenn Sie bestimmte Kontrollergebnisse aktualisieren oder unterdrücken möchten. Wenn ein Steuerelement jedoch für Ihre Organisation oder Ihren Anwendungsfall nicht relevant ist, empfehlen wir, [das Steuerelement zu deaktivieren](disable-controls-overview.md). Wenn Sie eine Kontrolle deaktivieren, führt Security Hub CSPM keine Sicherheitsprüfungen für sie durch und es werden Ihnen keine Gebühren dafür berechnet.
## Einzelheiten zur Einhaltung der Kontrollbestimmungen
Bei Ergebnissen, die durch Sicherheitsprüfungen für Kontrollen generiert wurden, enthalten das [Compliance-Objekt](asff-top-level-attributes.md#asff-compliance) und die Felder im AWS Security Finding Format (ASFF) Konformitätsdetails für einzelne Ressourcen, die von einer Kontrolle überprüft wurden. Dazu gehören die folgenden Informationen:
+ `AssociatedStandards`— Die aktivierten Standards, in denen das Steuerelement aktiviert ist.
+ `RelatedRequirements`— Die entsprechenden Anforderungen für die Steuerung in allen aktivierten Standards. Diese Anforderungen ergeben sich aus Sicherheits-Frameworks von Drittanbietern für die Steuerung, wie dem Payment Card Industry Data Security Standard (PCI DSS) oder dem Standard NIST SP 800-171 Revision 2.
+ `SecurityControlId`— Die Kennung für die Steuerung aller Standards, die Security Hub CSPM unterstützt.
+ `Status`— Das Ergebnis der letzten Überprüfung, die Security Hub CSPM für die Kontrolle durchgeführt hat. Die Ergebnisse früherer Prüfungen werden in der Befundhistorie gespeichert.
+ `StatusReasons`— Ein Array, das die Gründe für den durch das `Status` Feld angegebenen Wert auflistet. Für jeden Grund enthält dies einen Ursachencode und eine Beschreibung.
In der folgenden Tabelle sind Ursachencodes und Beschreibungen aufgeführt, die ein Ergebnis in der `StatusReasons` Matrix enthalten könnte. Die Behebungsschritte hängen davon ab, welche Kontrolle ein Ergebnis mit einem bestimmten Ursachencode generiert hat. Die Anleitungen zur Problembehebung für eine Kontrolle finden Sie in der. [Kontrollreferenz für Security Hub CSPM](securityhub-controls-reference.md)
| Ursachencode | Compliance status (Compliance-Status) | Description |
| --- | --- | --- |
| `CLOUDTRAIL_METRIC_FILTER_NOT_VALID` | `FAILED` | Für den CloudTrail Trail mit mehreren Regionen gibt es keinen gültigen metrischen Filter. |
| `CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT` | `FAILED` | Metrische Filter sind für den Trail mit mehreren Regionen CloudTrail nicht vorhanden. |
| `CLOUDTRAIL_MULTI_REGION_NOT_PRESENT` | `FAILED` | Das Konto verfügt nicht über einen CloudTrail Trail für mehrere Regionen mit der erforderlichen Konfiguration. |
| `CLOUDTRAIL_REGION_INVAILD` | `WARNING` | CloudTrail Wanderwege mit mehreren Regionen befinden sich nicht in der aktuellen Region. |
| `CLOUDWATCH_ALARM_ACTIONS_NOT_VALID` | `FAILED` | Es sind keine gültigen Alarmaktionen vorhanden. |
| `CLOUDWATCH_ALARMS_NOT_PRESENT` | `FAILED` | CloudWatch Alarme sind im Konto nicht vorhanden. |
| `CONFIG_ACCESS_DENIED` | `NOT_AVAILABLE` AWS Config Status ist `ConfigError` | AWS Config Zugriff verweigert. Stellen Sie sicher, dass es aktiviert AWS Config ist und dass ihm ausreichende Berechtigungen erteilt wurden. |
| `CONFIG_EVALUATIONS_EMPTY` | `PASSED` | AWS Config hat Ihre Ressourcen anhand der Regel bewertet. Die Regel galt nicht für die AWS Ressourcen in ihrem Geltungsbereich, die angegebenen Ressourcen wurden gelöscht oder die Bewertungsergebnisse wurden gelöscht. |
| `CONFIG_RECORDER_CUSTOM_ROLE` | `FAILED`(für Config.1) | Der AWS Config Rekorder verwendet eine benutzerdefinierte IAM-Rolle anstelle der AWS Config serviceverknüpften Rolle, und der `includeConfigServiceLinkedRoleCheck` benutzerdefinierte Parameter für Config.1 ist nicht auf festgelegt. `false` |
| `CONFIG_RECORDER_DISABLED` | `FAILED`(für Config.1) | AWS Config ist nicht aktiviert, wenn der Konfigurationsrekorder eingeschaltet ist. |
| `CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES` | `FAILED`(für Config.1) | AWS Config zeichnet nicht alle Ressourcentypen auf, die den aktivierten Security Hub CSPM-Steuerelementen entsprechen. Schalten Sie die Aufzeichnung für die folgenden Ressourcen ein:. *Resources that aren't being recorded* |
| `CONFIG_RETURNS_NOT_APPLICABLE` | `NOT_AVAILABLE` | Der Konformitätsstatus ist darauf `NOT_AVAILABLE` zurückzuführen, dass der Status **Nicht zutreffend AWS Config zurückgegeben wurde**. AWS Config gibt keinen Grund für den Status an. Hier sind einige mögliche Gründe für den Status „**Nicht zutreffend**“: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/controls-findings-create-update.html) |
| `CONFIG_RULE_EVALUATION_ERROR` | `NOT_AVAILABLE` AWS Config Der Status ist `ConfigError` | Dieser Ursachencode wird für verschiedene Arten von Auswertungsfehlern verwendet. Die Beschreibung enthält die spezifischen Ursacheninformationen. Die Art des Fehlers kann einer der folgenden sein: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/controls-findings-create-update.html) |
| `CONFIG_RULE_NOT_FOUND` | `NOT_AVAILABLE` AWS Config Status ist `ConfigError` | Die AWS Config Regel wird gerade erstellt. |
| `INTERNAL_SERVICE_ERROR` | `NOT_AVAILABLE` | Es ist ein unbekannter Fehler aufgetreten. |
| `LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE` | `FAILED` | Security Hub CSPM kann keine Überprüfung anhand einer benutzerdefinierten Lambda-Laufzeit durchführen. |
| `S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION` | `WARNING` | Das Ergebnis befindet sich in einem `WARNING` Status, weil sich der S3-Bucket, der dieser Regel zugeordnet ist, in einer anderen Region oder einem anderen Konto befindet. Diese Regel unterstützt keine regionsübergreifenden oder kontenübergreifenden Prüfungen. Es wird empfohlen, diese Kontrolle in dieser Region oder diesem Konto zu deaktivieren. Führen Sie sie nur in der Region oder dem Konto aus, in dem sich die Ressource befindet. |
| `SNS_SUBSCRIPTION_NOT_PRESENT` | `FAILED` | Für die CloudWatch Logs-Metrikfilter gibt es kein gültiges Amazon SNS SNS-Abonnement. |
| `SNS_TOPIC_CROSS_ACCOUNT` | `WARNING` | Das Ergebnis befindet sich in einem `WARNING` Zustand. Das mit dieser Regel verknüpfte SNS-Thema gehört einem anderen Konto. Das aktuelle Konto kann die Abonnementinformationen nicht abrufen. Das Konto, dem das SNS-Thema gehört, muss dem aktuellen Konto die `sns:ListSubscriptionsByTopic` Berechtigung für das SNS-Thema gewähren. |
| `SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION` | `WARNING` | Das Ergebnis weist einen `WARNING` Status auf, da sich das mit dieser Regel verknüpfte SNS-Thema in einer anderen Region oder einem anderen Konto befindet. Diese Regel unterstützt keine regionsübergreifenden oder kontenübergreifenden Prüfungen. Es wird empfohlen, diese Kontrolle in dieser Region oder diesem Konto zu deaktivieren. Führen Sie sie nur in der Region oder dem Konto aus, in dem sich die Ressource befindet. |
| `SNS_TOPIC_INVALID` | `FAILED` | Das mit dieser Regel verknüpfte SNS-Thema ist ungültig. |
| `THROTTLING_ERROR` | `NOT_AVAILABLE` | Die entsprechende API-Operation hat die zulässige Rate überschritten. |
## ProductFields Einzelheiten zu den Kontrollbefunden
Bei Ergebnissen, die bei Sicherheitsprüfungen für Kontrollen generiert wurden, kann das [ProductFields](asff-top-level-attributes.md#asff-productfields)Attribut im AWS Security Finding Format (ASFF) die folgenden Felder enthalten.
`ArchivalReasons:0/Description`
Beschreibt, warum Security Hub CSPM einen Befund archiviert hat.
Security Hub CSPM archiviert beispielsweise vorhandene Ergebnisse, wenn Sie eine Kontrolle oder einen Standard deaktivieren oder wenn Sie [konsolidierte Kontrollergebnisse](#consolidated-control-findings) aktivieren oder deaktivieren.
`ArchivalReasons:0/ReasonCode`
Gibt an, warum Security Hub CSPM einen Befund archiviert hat.
Security Hub CSPM archiviert beispielsweise vorhandene Ergebnisse, wenn Sie eine Kontrolle oder einen Standard deaktivieren oder wenn Sie [konsolidierte Kontrollergebnisse](#consolidated-control-findings) aktivieren oder deaktivieren.
`PreviousComplianceStatus`
Der vorherige Konformitätsstatus (`Compliance.Status`) der Ressource für die angegebene Kontrolle, zum Zeitpunkt der letzten Aktualisierung des Ergebnisses. Wenn sich der Konformitätsstatus der Ressource während der letzten Aktualisierung nicht geändert hat, entspricht dieser Wert dem Wert für das `Compliance.Status` Ergebnisfeld. Eine Liste möglicher Werte finden Sie unter [Bewertung des Konformitätsstatus und des Kontrollstatus](controls-overall-status.md).
`StandardsGuideArn` oder `StandardsArn`
Der ARN des Standards, der dem Steuerelement zugeordnet ist.
Für den Benchmark-Standard der CIS AWS Foundations lautet das Feld`StandardsGuideArn`. Für die Standards PCI DSS und AWS Foundational Security Best Practices lautet das Feld. `StandardsArn`
Diese Felder werden zugunsten von entfernt, `Compliance.AssociatedStandards` wenn Sie [konsolidierte Kontrollergebnisse](#consolidated-control-findings) aktivieren.
`StandardsGuideSubscriptionArn` oder `StandardsSubscriptionArn`
Der ARN des Standardabonnements des Kontos.
Für den Benchmark-Standard der CIS AWS Foundations lautet das Feld`StandardsGuideSubscriptionArn`. Für die Standards PCI DSS und AWS Foundational Security Best Practices lautet das Feld. `StandardsSubscriptionArn`
Diese Felder werden entfernt, wenn Sie [konsolidierte Kontrollergebnisse](#consolidated-control-findings) aktivieren.
`RuleId` oder `ControlId`
Der Bezeichner für das Steuerelement.
Für Version 1.2.0 des CIS AWS Foundations Benchmark-Standards lautet `RuleId` das Feld. Für andere Standards, einschließlich nachfolgender Versionen des CIS AWS Foundations Benchmark-Standards, lautet `ControlId` das Feld.
Diese Felder werden zugunsten von entfernt, `Compliance.SecurityControlId` wenn Sie [konsolidierte Kontrollergebnisse](#consolidated-control-findings) aktivieren.
`RecommendationUrl`
Die URL mit Behebungsinformationen für das Steuerelement. Dieses Feld wird entfernt, `Remediation.Recommendation.Url` wenn Sie [konsolidierte Kontrollergebnisse](#consolidated-control-findings) aktivieren.
`RelatedAWSResources:0/name`
Der Name der Ressource, die dem Ergebnis zugeordnet ist.
`RelatedAWSResource:0/type`
Der Typ der Ressource, die dem Steuerelement zugeordnet ist.
`StandardsControlArn`
Der ARN des Steuerelements. Dieses Feld wird entfernt, wenn Sie [konsolidierte Kontrollergebnisse](#consolidated-control-findings) aktivieren.
`aws/securityhub/ProductName`
Für Kontrollergebnisse lautet der Produktname`Security Hub`.
`aws/securityhub/CompanyName`
Bei Kontrollergebnissen lautet der Firmenname`AWS`.
`aws/securityhub/annotation`
Eine Beschreibung des bei der Kontrolle aufgedeckten Problems.
`aws/securityhub/FindingId`
Die Kennung für den Befund.
Dieses Feld verweist nicht auf einen Standard, wenn Sie [konsolidierte Kontrollergebnisse](#consolidated-control-findings) aktivieren.
## Schweregrade der Kontrollbefunde
Der Schweregrad, der einer Security Hub-CSPM-Steuerung zugewiesen wurde, weist auf die Wichtigkeit der Kontrolle hin. Der Schweregrad einer Kontrolle bestimmt den Schweregrad, der den Kontrollergebnissen zugewiesen wird.
### Schweregradkriterien
Der Schweregrad einer Kontrolle wird anhand der folgenden Kriterien bestimmt:
+ **Wie schwierig ist es für einen Bedrohungsakteur, die mit der Kontrolle verbundene Konfigurationsschwäche auszunutzen?** Die Schwierigkeit wird durch den Grad an Raffinesse oder Komplexität bestimmt, der erforderlich ist, um die Schwachstelle zur Ausführung eines Bedrohungsszenarios auszunutzen.
+ **Wie wahrscheinlich ist es, dass die Schwachstelle zu einer Beeinträchtigung Ihrer Ressourcen AWS-Konten oder Ihrer Ressourcen führt?** Eine Beeinträchtigung Ihrer AWS-Konten Ressourcen bedeutet, dass die Vertraulichkeit, Integrität oder Verfügbarkeit Ihrer Daten oder AWS Infrastruktur in irgendeiner Weise beeinträchtigt wird. Die Wahrscheinlichkeit einer Gefährdung gibt an, wie wahrscheinlich es ist, dass das Bedrohungsszenario zu einer Störung oder einem Angriff auf Ihre Ressourcen AWS-Services oder Ihre Ressourcen führt.
Betrachten Sie als Beispiel die folgenden Konfigurationsschwächen:
+ Benutzerzugriffsschlüssel werden nicht alle 90 Tage ausgetauscht.
+ Der IAM-Root-Benutzerschlüssel ist vorhanden.
Beide Schwächen sind für einen Gegner gleichermaßen schwer auszunutzen. In beiden Fällen kann der Angreifer Anmeldeinformationen stehlen oder eine andere Methode verwenden, um an einen Benutzerschlüssel zu gelangen. Er kann es dann verwenden, um auf unautorisierte Weise auf Ihre Ressourcen zuzugreifen.
Die Wahrscheinlichkeit einer Kompromittierung ist jedoch viel höher, wenn der Bedrohungsakteur den Root-Benutzerzugriffsschlüssel erwirbt, da er dadurch besseren Zugriff hat. Infolgedessen hat die Schwäche des Root-Benutzerschlüssels einen höheren Schweregrad.
Der Schweregrad berücksichtigt nicht die Wichtigkeit der zugrunde liegenden Ressource. Kritikalität ist der Grad der Wichtigkeit der Ressourcen, die mit dem Ergebnis verknüpft sind. Beispielsweise ist eine Ressource, die einer geschäftskritischen Anwendung zugeordnet ist, kritischer als eine, die nicht produktionstechnischen Tests zugeordnet ist. Verwenden Sie das `Criticality` Feld des AWS Security Finding Formats (ASFF), um Informationen zur Ressourcenkritik zu erfassen.
In der folgenden Tabelle werden die Sicherheitslabel den Schwierigkeiten bei der Ausnutzung und der Wahrscheinlichkeit einer Gefährdung zugeordnet.
| | | | | |
| --- |--- |--- |--- |--- |
| | **Ein Kompromiss ist sehr wahrscheinlich** | **Kompromiss wahrscheinlich** | **Kompromiss unwahrscheinlich** | **Ein Kompromiss ist höchst unwahrscheinlich** |
| **Sehr einfach auszunutzen** | Kritisch | Kritisch | Hoch | Mittel |
| **Etwas einfach auszunutzen** | Kritisch | Hoch | Mittel | Mittel |
| **Etwas schwer auszunutzen** | Hoch | Mittel | Mittel | Niedrig |
| **Sehr schwer auszunutzen** | Mittel | Mittel | Niedrig | Niedrig |
### Schweregraddefinitionen
Die Schweregrade sind wie folgt definiert.
**Kritisch — Das Problem sollte sofort behoben werden, um eine Eskalation zu vermeiden.**
Beispielsweise wird ein offener S3-Bucket mit kritischem Schweregrad bewertet. Da so viele Bedrohungsakteure nach offenen S3-Buckets suchen, ist es wahrscheinlich, dass Daten in exponierten S3-Buckets von anderen entdeckt und abgerufen werden.
Im Allgemeinen gelten öffentlich zugängliche Ressourcen als kritische Sicherheitslücken. Sie sollten kritische Ergebnisse mit äußerster Dringlichkeit behandeln. Sie sollten auch die Wichtigkeit der Ressource berücksichtigen.
**Hoch — Das Problem muss als kurzfristige Priorität angegangen werden.**
Wenn eine Standard-VPC-Sicherheitsgruppe beispielsweise für eingehenden und ausgehenden Datenverkehr geöffnet ist, wird sie als hochgradig eingestuft. Für einen Bedrohungsakteur ist es ziemlich einfach, eine VPC mit dieser Methode zu kompromittieren. Es ist auch wahrscheinlich, dass der Bedrohungsakteur in der Lage sein wird, Ressourcen zu unterbrechen oder zu exfiltrieren, sobald sie sich in der VPC befinden.
Security Hub CSPM empfiehlt, dass Sie einen Befund mit hohem Schweregrad als kurzfristige Priorität behandeln. Sie sollten sofort Abhilfemaßnahmen ergreifen. Sie sollten auch die Wichtigkeit der Ressource berücksichtigen.
**Mittel — Das Problem sollte als mittelfristige Priorität angegangen werden.**
Mangelnde Verschlüsselung für Daten bei der Übertragung wird beispielsweise als mittelgradig eingestuft. Um diese Schwachstelle auszunutzen, ist ein ausgeklügelter man-in-the-middle Angriff erforderlich. Mit anderen Worten, es ist etwas schwierig. Es ist wahrscheinlich, dass einige Daten gefährdet werden, wenn das Bedrohungsszenario erfolgreich ist.
Security Hub CSPM empfiehlt, dass Sie die betroffene Ressource so schnell wie möglich untersuchen. Sie sollten auch die Wichtigkeit der Ressource berücksichtigen.
**Niedrig — Das Problem erfordert keine eigenständigen Maßnahmen.**
Beispielsweise wird das Versäumnis, forensische Informationen zu sammeln, als niedriger Schweregrad angesehen. Diese Kontrolle kann dazu beitragen, future Kompromisse zu verhindern, aber das Fehlen von Forensik führt nicht direkt zu einem Kompromiss.
Bei Problemen mit geringem Schweregrad müssen Sie nicht sofort Maßnahmen ergreifen, sie können jedoch Kontext bieten, wenn Sie sie mit anderen Problemen korrelieren.
**Informativ — Es wurde keine Sicherheitslücke in der Konfiguration gefunden.**
Mit anderen Worten, der Status ist `PASSED``WARNING`, oder`NOT AVAILABLE`.
Es gibt keine empfohlene Aktion. Informationsergebnisse helfen Kunden dabei, nachzuweisen, dass sie sich in einem konformen Zustand befinden.
# Bewertung des Konformitätsstatus und des Kontrollstatus
Das `Compliance.Status` Feld des AWS Security Finding Formats beschreibt das Ergebnis eines Kontrollbefundes. AWS Security Hub CSPM verwendet den Compliance-Status von Kontrollfeststellungen, um einen allgemeinen Kontrollstatus zu ermitteln. Der Kontrollstatus wird auf der Detailseite einer Kontrolle in der Security Hub CSPM-Konsole angezeigt.
## Bewertung des Compliance-Status der CSPM-Ergebnisse von Security Hub
Dem Konformitätsstatus für jedes Ergebnis wird einer der folgenden Werte zugewiesen:
+ `PASSED`— Zeigt an, dass das Steuerelement die Sicherheitsüberprüfung für den Befund bestanden hat. Dadurch wird der Security Hub CSPM `Workflow.Status` automatisch auf eingestellt. `RESOLVED`
+ `FAILED`— Zeigt an, dass das Steuerelement die Sicherheitsüberprüfung für das Ergebnis nicht bestanden hat.
+ `WARNING`— Weist darauf hin, dass Security Hub CSPM nicht feststellen kann, ob sich die Ressource im Status „`PASSED`oder`FAILED`“ befindet. Beispielsweise ist die [AWS Config Ressourcenaufzeichnung](securityhub-setup-prereqs.md#config-resource-recording) für den entsprechenden Ressourcentyp nicht aktiviert.
+ `NOT_AVAILABLE`— Zeigt an, dass die Prüfung nicht abgeschlossen werden kann, weil ein Server ausgefallen ist, die Ressource gelöscht wurde `NOT_APPLICABLE` oder das Ergebnis der AWS Config Auswertung Wenn das AWS Config Evaluierungsergebnis war`NOT_APPLICABLE`, archiviert Security Hub CSPM den Befund automatisch.
Wenn sich der Compliance-Status für ein Ergebnis von `PASSED` zu`FAILED`, oder `WARNING``NOT_AVAILABLE`, ändert und `Workflow.Status` entweder `NOTIFIED` oder lautet`RESOLVED`, wechselt `Workflow.Status` Security Hub CSPM automatisch zu. `NEW`
Wenn Sie nicht über Ressourcen verfügen, die einer Kontrolle entsprechen, generiert Security Hub CSPM einen `PASSED` Befund auf Kontoebene. Wenn Sie über eine Ressource verfügen, die einem Steuerelement entspricht, die Ressource dann aber löschen, erstellt Security Hub CSPM einen `NOT_AVAILABLE` Befund und archiviert ihn sofort. Nach 18 Stunden erhalten Sie einen `PASSED` Befund, da Sie nicht mehr über Ressourcen verfügen, die der Kontrolle entsprechen.
## Ableitung des Kontrollstatus aus dem Compliance-Status
Security Hub CSPM leitet aus dem Compliance-Status der Kontrollfeststellungen einen allgemeinen Kontrollstatus ab. Bei der Bestimmung des Kontrollstatus ignoriert Security Hub CSPM Ergebnisse mit einem `RecordState` von `ARCHIVED` und Ergebnisse mit einem von. `Workflow.Status` `SUPPRESSED`
Dem Kontrollstatus wird einer der folgenden Werte zugewiesen:
+ **Bestanden** — Zeigt an, dass alle Ergebnisse den Konformitätsstatus haben`PASSED`.
+ **Fehlgeschlagen** — Zeigt an, dass mindestens ein Ergebnis den Konformitätsstatus hat`FAILED`.
+ **Unbekannt** — Gibt an, dass mindestens ein Ergebnis den Konformitätsstatus `WARNING` oder hat`NOT_AVAILABLE`. Keine Ergebnisse haben den Konformitätsstatus`FAILED`.
+ **Keine Daten** — Zeigt an, dass keine Ergebnisse für die Kontrolle vorliegen. Beispielsweise hat ein neu aktiviertes Steuerelement diesen Status, bis Security Hub CSPM beginnt, Ergebnisse dafür zu generieren. Ein Steuerelement hat diesen Status auch, wenn alle seine Ergebnisse aktuell nicht verfügbar sind `SUPPRESSED` oder nicht verfügbar sind. AWS-Region
+ **Deaktiviert** — Zeigt an, dass das Steuerelement im aktuellen Konto und in der Region deaktiviert ist. Für dieses Steuerelement werden derzeit keine Sicherheitsüberprüfungen im Girokonto und in der Region durchgeführt. Die Ergebnisse einer deaktivierten Kontrolle können sich jedoch bis zu 24 Stunden nach der Deaktivierung auf den Compliance-Status auswirken.
Bei einem Administratorkonto spiegelt der Kontrollstatus den Kontrollstatus für das Administratorkonto und die Mitgliedskonten wider. Insbesondere wird der Gesamtstatus eines Steuerelements als **Fehlgeschlagen** angezeigt, wenn für das Steuerelement ein oder mehrere fehlerhafte Ergebnisse im Administratorkonto oder in einem der Mitgliedskonten gefunden wurden. Wenn Sie eine Aggregationsregion festgelegt haben, spiegelt der Kontrollstatus in der Aggregationsregion den Kontrollstatus in der Aggregationsregion und den verknüpften Regionen wider. Insbesondere wird der Gesamtstatus eines Steuerelements als **Fehlgeschlagen** angezeigt, wenn für das Steuerelement ein oder mehrere fehlgeschlagene Ergebnisse in der Aggregationsregion oder einer der verknüpften Regionen vorliegen.
Security Hub CSPM generiert den anfänglichen Kontrollstatus in der Regel innerhalb von 30 Minuten nach Ihrem ersten Besuch der **Übersichtsseite** oder der Seite **Sicherheitsstandards auf der Security** Hub CSPM-Konsole. Sie müssen die [AWS Config Ressourcenaufzeichnung](controls-config-resources.md) konfiguriert haben, damit der Kontrollstatus angezeigt wird. Nachdem die Kontrollstatus zum ersten Mal generiert wurden, aktualisiert Security Hub CSPM die Kontrollstatus alle 24 Stunden auf der Grundlage der Ergebnisse der letzten 24 Stunden. Ein Zeitstempel auf der Seite mit den Kontrolldetails gibt an, wann der Kontrollstatus zuletzt aktualisiert wurde.
**Anmerkung**
Nach der ersten Aktivierung eines Steuerelements kann es bis zu 24 Stunden dauern, bis Kontrollstatus in den Regionen China und den AWS GovCloud (US) Region generiert werden.
# Berechnung von Sicherheitswerten
Auf der AWS Security Hub CSPM-Konsole werden auf der **Übersichtsseite** und der **Kontrollseite** eine zusammenfassende Sicherheitsbewertung für alle Ihre aktivierten Standards angezeigt. Auf der Seite **Sicherheitsstandards** zeigt Security Hub CSPM außerdem eine Sicherheitsbewertung von 0 bis 100 Prozent für jeden aktivierten Standard an.
Wenn Sie Security Hub CSPM zum ersten Mal aktivieren, berechnet Security Hub CSPM die zusammenfassende Sicherheitsbewertung und die Standardsicherheitsbewertungen innerhalb von 30 Minuten nach Ihrem ersten Besuch der Seite **Zusammenfassung** oder **Sicherheitsstandards** auf der Konsole. Bewertungen werden nur für Standards generiert, die aktiviert sind, wenn Sie diese Seiten auf der Konsole aufrufen. Darüber hinaus muss die AWS Config Ressourcenaufzeichnung konfiguriert werden, damit die Ergebnisse angezeigt werden. Die zusammenfassende Sicherheitsbewertung ist der Durchschnitt der Standardsicherheitsbewertungen. Um eine Liste der derzeit aktivierten Standards zu überprüfen, können Sie den [GetEnabledStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)Betrieb der Security Hub CSPM-API verwenden.
Nach der erstmaligen Score-Generierung aktualisiert Security Hub CSPM die Sicherheitswerte alle 24 Stunden. Security Hub CSPM zeigt einen Zeitstempel an, der angibt, wann eine Sicherheitsbewertung zuletzt aktualisiert wurde. Beachten Sie, dass es bis zu 24 Stunden dauern kann, bis zum ersten Mal Sicherheitsbewertungen in den China Regionen und AWS GovCloud (US) Regions generiert werden.
Wenn Sie die Option „[Konsolidierte Kontrollergebnisse](controls-findings-create-update.md#consolidated-control-findings)“ aktivieren, kann es bis zu 24 Stunden dauern, bis Ihre Sicherheitsbewertungen aktualisiert werden. Darüber hinaus werden durch die Aktivierung einer neuen Aggregationsregion oder die Aktualisierung verknüpfter Regionen bestehende Sicherheitsbewertungen zurückgesetzt. Es kann bis zu 24 Stunden dauern, bis Security Hub CSPM neue Sicherheitsbewertungen generiert, die Daten aus den aktualisierten Regionen enthalten.
## Methode zur Berechnung von Sicherheitseinstufungen
Sicherheitswerte stellen das Verhältnis zwischen **bestandenen** Kontrollen und aktivierten Kontrollen dar. Die Punktzahl wird als Prozentsatz angezeigt, der auf die nächste ganze Zahl auf- oder abgerundet ist.
Security Hub CSPM berechnet eine zusammenfassende Sicherheitsbewertung für alle Ihre aktivierten Standards. Security Hub CSPM berechnet außerdem eine Sicherheitsbewertung für jeden aktivierten Standard. **Für die Berechnung der Punktzahl umfassen aktivierte Kontrollen Kontrollen mit dem Status „Bestanden“, „**Fehlgeschlagen**“ **und** „Unbekannt“.** Steuerelemente mit dem Status **Keine Daten** sind von der Punkteberechnung ausgeschlossen.
Security Hub CSPM ignoriert archivierte und unterdrückte Ergebnisse bei der Berechnung des Kontrollstatus. Dies kann sich auf die Sicherheitswerte auswirken. **Wenn Sie beispielsweise alle fehlgeschlagenen Ergebnisse für eine Kontrolle unterdrücken, erhält sie den Status Bestanden, was wiederum Ihre Sicherheitswerte verbessern kann.** Weitere Informationen zum Kontrollstatus finden Sie unter[Bewertung des Konformitätsstatus und des Kontrollstatus](controls-overall-status.md).
**Beispiel für eine Bewertung:**
| Standard | Kontrollen bestanden | Fehlgeschlagene Kontrollen | Unbekannte Kontrollen | Standardpunktzahl |
| --- | --- | --- | --- | --- |
| AWS Bewährte grundlegende Sicherheitsmethoden v1.0.0 | 168 | 22 | 0 | 88% |
| Benchmark AWS v1.4.0 für GUS-Stiftungen | 8 | 29 | 0 | 22% |
| Benchmark AWS v1.2.0 für GUS-Stiftungen | 6 | 35 | 0 | 15% |
| NIST-Sonderpublikation 800-53 Revision 5 | 159 | 56 | 0 | 74% |
| PCI DSS v3.2.1 | 28 | 17 | 0 | 62% |
Bei der Berechnung der zusammenfassenden Sicherheitsbewertung zählt Security Hub CSPM jede Kontrolle standardübergreifend nur einmal. Wenn Sie beispielsweise ein Steuerelement aktiviert haben, das für drei aktivierte Standards gilt, zählt es für Bewertungszwecke nur als ein aktiviertes Steuerelement.
In diesem Beispiel beträgt die Gesamtzahl der aktivierten Kontrollen für alle aktivierten Standards zwar 528, Security Hub CSPM zählt jedoch jedes einzelne Steuerelement zu Bewertungszwecken nur einmal. Die Anzahl der einzelnen aktivierten Kontrollen liegt wahrscheinlich unter 528. Wenn wir davon ausgehen, dass die Anzahl der eindeutigen aktivierten Kontrollen 515 und die Anzahl der eindeutigen bestandenen Kontrollen 357 beträgt, liegt der Gesamtwert bei 69%. Diese Punktzahl wird berechnet, indem die Anzahl der eindeutigen bestandenen Kontrollen durch die Anzahl der eindeutigen aktivierten Kontrollen dividiert wird.
Möglicherweise haben Sie eine Gesamtpunktzahl, die von der Standardsicherheitsbewertung abweicht, auch wenn Sie in Ihrem Konto in der aktuellen Region nur einen Standard aktiviert haben. Dies kann der Fall sein, wenn Sie mit einem Administratorkonto angemeldet sind und für Mitgliedskonten zusätzliche Standards oder andere Standards aktiviert sind. Dies kann auch der Fall sein, wenn Sie sich die Punktzahl aus der Aggregationsregion ansehen und zusätzliche Standards oder andere Standards in verknüpften Regionen aktiviert sind.
## Sicherheitsbewertungen für Administratorkonten
Wenn Sie mit einem Administratorkonto angemeldet sind, beziehen sich die Sicherheitsbewertung und die Standardwerte auf den Kontrollstatus im Administratorkonto und in allen Mitgliedskonten.
Wenn der Status einer Kontrolle auch nur in einem Mitgliedskonto **Fehlgeschlagen** lautet, lautet ihr Status im Administratorkonto **Fehlgeschlagen** und wirkt sich auf die Punktzahlen des Administratorkontos aus.
Wenn Sie mit einem Administratorkonto angemeldet sind und Ergebnisse in einer Aggregationsregion anzeigen, berücksichtigen die Sicherheitsbewertungen den Kontrollstatus in allen Mitgliedskonten *und* allen verknüpften Regionen.
## Sicherheitswerte, wenn Sie eine Aggregationsregion festgelegt haben
Wenn Sie eine Aggregation festgelegt haben AWS-Region, berücksichtigen die zusammenfassende Sicherheitsbewertung und die Standardwerte den gesamten Kontrollstatus verknüpfte Regionen.
Wenn der Status eines Steuerelements auch nur in einer verknüpften Region „**Fehlgeschlagen**“ lautet, lautet sein Status in der Aggregationsregion „**Fehlgeschlagen**“, was sich auf die Werte der Aggregationsregion auswirkt.
Wenn Sie mit einem Administratorkonto angemeldet sind und sich Punktzahlen in einer Aggregationsregion ansehen, berücksichtigen die Sicherheitsbewertungen den Kontrollstatus in allen Mitgliedskonten *und* allen verknüpften Regionen.