Evaluación del estado de control y el estado de conformidad en Security Hub - AWS Security Hub
Evaluación del estado de conformidad de los resultados de Security HubObtención del estado de control a partir del estado de conformidad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Evaluación del estado de control y el estado de conformidad en Security Hub

El Compliance.Status campo del formato de comprobación de AWS seguridad describe el resultado de una comprobación de control. Security Hub utiliza el estado de conformidad de los resultados de control para determinar un estado de control general. El estado de control se muestra en la página de detalles de un control de la consola de Security Hub.

Evaluación del estado de conformidad de los resultados de Security Hub

El estado de conformidad para cada resultado se asigna uno de los siguientes valores:

  • PASSED: indica que el control superó el control de seguridad correspondiente a este resultado. Establece automáticamente el Workflow.Status de Security Hub como RESOLVED.

    Si el Compliance.Status para un resultado cambia de PASSED a FAILED, WARNING, o NOT_AVAILABLE; y Workflow.Status era NOTIFIED o RESOLVED; entonces Security Hub establece el Workflow.Status automáticamente como NEW.

    Si no dispone de los recursos correspondientes para un control, Security Hub produce un resultado PASSED a nivel de cuenta. Si tiene un recurso correspondiente para un control, pero luego lo elimina, Security Hub crea un resultado NOT_AVAILABLE y lo archiva inmediatamente. Al cabo de 18 horas, recibirá un resultado PASSED porque ya no dispone de los recursos correspondientes al control.

  • FAILED: indica que el control no superó el control de seguridad correspondiente a este resultado.

  • WARNING: indica que el control se completó, pero que Security Hub no puede determinar si el recurso tiene el estado PASSED o FAILED.

  • NOT_AVAILABLE— Indica que la comprobación no se puede completar porque se ha producido un error en el servidor, se ha eliminado el recurso o se ha producido el resultado de la AWS Config evaluaciónNOT_APPLICABLE.

    Si el resultado AWS Config de la evaluación fueNOT_APPLICABLE, Security Hub archiva automáticamente el hallazgo.

Obtención del estado de control a partir del estado de conformidad

Security Hub obtiene un estado de control general a partir del estado de conformidad de los resultados de control. Al determinar el estado de control, Security Hub ignora los resultados que tienen un RecordState como ARCHIVED y los resultados que tienen un Workflow.Status como SUPPRESSED.

El estado de control tiene asignado uno de los siguientes valores:

  • Aprobado: indica que todos los resultados tienen un estado de conformidad como PASSED.

  • Con fallos: indica que al menos un resultado tiene un estado de conformidad como FAILED.

  • Desconocido: indica que al menos un resultado tiene un estado de conformidad como WARNING o NOT_AVAILABLE. Ningún resultado tiene un estado de conformidad como FAILED.

  • Sin datos: indica que no hay ningún resultado para el control. Por ejemplo, un control recién activado tiene este estado hasta que Security Hub comience a generar resultados para él. Un control también tiene este estado si todos los resultados son SUPPRESSED o si no están disponibles en la región actual.

  • Desactivado: indica que el control está desactivado en la cuenta actual y en la región. No se están realizando controles de seguridad para este control en la cuenta y la región actuales. Sin embargo, los resultados de un control desactivado pueden tener un valor para el estado de conformidad hasta 24 horas después de la desactivación.

Para una cuenta de administrador, el estado de control refleja el estado de control de la cuenta de administrador y de las cuentas de los miembros. En concreto, el estado general de un control aparece como Con fallos si el control tiene uno o más resultados fallidos en la cuenta del administrador o en cualquiera de las cuentas de los miembros. Si estableció una región de agregación, el estado de control de la región de agregación refleja el estado de control de dicha región y las regiones vinculadas. En concreto, el estado general de un control aparece como Con fallos si el control tiene uno o más resultados fallidos en la región de agregación o en cualquiera de las regiones vinculadas.

Por lo general, Security Hub genera el estado de control inicial 30 minutos después de la primera visita a la página Resumen o a la página Normas de seguridad de la consola de Security Hub. El registro de recursos de AWS Config debe estar configurado para que aparezca el estado de control. Una vez que se generan los estados de control por primera vez, Security Hub actualiza los estados de control cada 24 horas en función de los resultados de las 24 horas anteriores. Una marca de tiempo en la página de detalles de control indica cuándo se actualizó por última vez el estado de control.

nota

Una vez activado un control, pueden pasar hasta 24 horas hasta que se generen los estados de control por primera vez en las regiones de China y de AWS GovCloud (US) Region.