Evaluación del estado de cumplimiento y el estado de control en Security Hub - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Evaluación del estado de cumplimiento y el estado de control en Security Hub

El Compliance.Status campo de la AWS El formato de búsqueda de seguridad describe el resultado de una detección de control. Security Hub utiliza el estado de conformidad de los resultados de control para determinar un estado de control general. El estado del control se muestra en la página de detalles de un control de la consola de Security Hub.

Evaluación del estado de conformidad de las conclusiones de Security Hub

Al estado de conformidad de cada hallazgo se le asigna uno de los siguientes valores:

  • PASSED— Indica que el control ha superado la comprobación de seguridad de esta constatación. Establece automáticamente el Security Hub Workflow.Status enRESOLVED.

    Si Compliance.Status para una búsqueda cambia de PASSED aFAILED, o WARNINGNOT_AVAILABLE, y Workflow.Status fue NOTIFIED o oRESOLVED, entonces Security Hub se establece Workflow.Status automáticamente enNEW.

    Si no dispone de los recursos correspondientes a un control, Security Hub produce un PASSED hallazgo a nivel de cuenta. Si tiene un recurso correspondiente a un control, pero luego lo elimina, Security Hub crea un NOT_AVAILABLE hallazgo y lo archiva inmediatamente. Al cabo de 18 horas, recibirá PASSED un resultado porque ya no dispone de los recursos correspondientes al control.

  • FAILED— Indica que el control no pasó el control de seguridad correspondiente a este hallazgo.

  • WARNING— Indica que la comprobación se ha completado, pero Security Hub no puede determinar si el recurso está en FAILED estado PASSED o.

  • NOT_AVAILABLE— Indica que la comprobación no se puede completar porque se ha producido un error en el servidor, se ha eliminado el recurso o se debe a AWS Config la evaluación fueNOT_APPLICABLE.

    Si el archivo de AWS Config El resultado de la evaluación fue NOT_APPLICABLE que Security Hub archiva automáticamente el hallazgo.

Deducir el estado de control a partir del estado de cumplimiento

Security Hub obtiene un estado de control general a partir del estado de cumplimiento de las conclusiones del control. Al determinar el estado de control, Security Hub ignora los hallazgos que tienen un RecordState de ARCHIVED y los hallazgos que tienen un Workflow.Status deSUPPRESSED.

Al estado de control se le asigna uno de los siguientes valores:

  • Aprobado: indica que todos los hallazgos tienen un estado de conformidad dePASSED.

  • Fallado: indica que al menos un hallazgo tiene un estado de conformidad deFAILED.

  • Desconocido: indica que al menos un hallazgo tiene un estado de conformidad de WARNING oNOT_AVAILABLE. Ningún hallazgo tiene un estado de conformidad deFAILED.

  • Sin datos: indica que no hay ningún resultado para el control. Por ejemplo, un control recién habilitado tiene este estado hasta que Security Hub comience a generar resultados para él. Un control también tiene este estado si todos los resultados están disponibles SUPPRESSED o si no están disponibles en la región actual.

  • Desactivado: indica que el control está deshabilitado en la cuenta corriente y en la región. Actualmente no se están realizando comprobaciones de seguridad para este control en la cuenta corriente ni en la región. Sin embargo, los resultados de un control desactivado pueden tener un valor de conformidad hasta 24 horas después de la desactivación.

En el caso de una cuenta de administrador, el estado de control refleja el estado de control de la cuenta de administrador y de las cuentas de los miembros. En concreto, el estado general de un control aparece como Fallido si el control detecta uno o más errores en la cuenta del administrador o en alguna de las cuentas de los miembros. Si ha establecido una región de agregación, el estado del control en la región de agregación refleja el estado de control en la región de agregación y en las regiones vinculadas. En concreto, el estado general de un control aparece como Fallido si el control tiene uno o más resultados erróneos en la región de agregación o en alguna de las regiones vinculadas.

Por lo general, Security Hub genera el estado de control inicial 30 minutos después de la primera visita a la página de resumen o a la página de normas de seguridad de la consola de Security Hub. Debe tener AWS Config el registro de recursos está configurado para que aparezca el estado del control. Una vez que se generan los estados de control por primera vez, Security Hub actualiza los estados de control cada 24 horas en función de los resultados de las 24 horas anteriores. Una marca de tiempo en la página de detalles del control indica cuándo se actualizó por última vez el estado del control.

nota

Una vez activado un control, pueden pasar hasta 24 horas hasta que se generen los estados de control por primera vez en las regiones de China y AWS GovCloud (US) Region.