Affichage des contrôles AWS Security Hub dans AWS Trusted Advisor - AWS Support
PrérequisAfficher les résultats de Security HubActualiser les résultats de Security HubDésactiver Security Hub de Trusted AdvisorRésolution des problèmes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Affichage des contrôles AWS Security Hub dans AWS Trusted Advisor

Une fois que vous avez activé AWS Security Hub pour le Compte AWS, vous pouvez consulter les contrôles de sécurité et leurs résultats dans la console de Trusted Advisor. Vous pouvez utiliser les contrôles de Security Hub pour identifier les vulnérabilités de sécurité de votre compte de la même manière que vous pouvez utiliser les vérifications Trusted Advisor. Vous pouvez afficher l'état de la vérification, la liste des ressources affectées, puis suivre les recommandations de Security Hub pour résoudre les problèmes de sécurité. Vous pouvez utiliser cette fonction pour trouver des recommandations de sécurité à partir de Trusted Advisor et Security Hub dans un emplacement pratique.

Remarques

  • À partir de Trusted Advisor, vous pouvez afficher les contrôles de la norme de sécurité Bonnes pratiques de sécurité de base AWS, sauf pour les contrôles dotés de Category: Recover > Resilience (Catégorie : Récupérer > Résilience). Pour obtenir la liste des contrôles pris en charge, consultez les contrôles des Bonnes pratiques de sécurité de base de AWS dans le Guide de l'utilisateur de AWS Security Hub.

    Pour plus d'informations sur les catégories de Security Hub, consultez Catégories de contrôle.

  • Actuellement, lorsque Security Hub ajoute de nouveaux contrôles de la norme de sécurité Bonnes pratiques de sécurité de base AWS, il peut y avoir un délai de deux à quatre semaines avant de pouvoir les consulter dans Trusted Advisor. Ce délai est réduit au minimum, mais n'est pas garanti.

Prérequis

Vous devez respecter les conditions requises suivantes pour activer l'intégration de Security Hub avec Trusted Advisor :

  • Vous devez posséder un plan de support Business, Enterprise On-Ramp ou Enterprise pour utiliser cette fonction. Vous pouvez trouver un plan de support à partir du Centre AWS Support ou à partir de la page Plans de support. Pour plus d'informations, consultez Comparer les plans de AWS Support.

  • Vous devez activer l'enregistrement de ressource dans AWS Config pour les Régions AWS souhaitées pour les contrôles de Security Hub. Pour plus d'informations, consultez Activation et configuration de AWS Config.

  • Vous devez activer Security Hub et sélectionner la norme de sécurité Bonnes pratiques de sécurité de base v1.0.0 de AWS. Si vous ne l'avez pas encore fait, consultez Configuration de AWS Security Hub dans le Guide de l'utilisateur de AWS Security Hub.

Note

Si vous avez déjà complété ces conditions préalables, vous pouvez passer directement à Afficher les résultats de Security Hub.

À propos des comptes AWS Organizations

Si vous avez déjà complété les conditions préalables pour un compte de gestion, cette intégration est automatiquement activée pour tous les comptes membres de votre organisation. Les comptes membres individuels n'ont pas besoin de contacter AWS Support pour activer cette fonction. Toutefois, les comptes membres de votre organisation doivent activer Security Hub s'ils veulent consulter leurs résultats dans Trusted Advisor.

Si vous souhaitez désactiver cette intégration pour un compte membre spécifique, consultez Désactiver cette fonction pour les comptes AWS Organizations.

Afficher les résultats de Security Hub

Après avoir activé Security Hub pour votre compte, l'affichage des résultats de Security Hub peut prendre jusqu'à 24 heures pour s'afficher dans la page Security (Sécurité) de la console de Trusted Advisor.

Afficher les résultats de Security Hub dans Trusted Advisor

  1. Accédez à la console de Trusted Advisor, puis choisissez la catégorie Security (Sécurité).

  2. Dans le champ de la Search by keyword (Recherche par mot-clé), saisissez le nom ou la description du contrôle.

    Astuce

    Pour la Source, vous pouvez choisir AWS Security Hub pour filtrer les contrôles de Security Hub.

  3. Choisissez le nom du contrôle de Security Hub pour afficher les informations suivantes :

    • Description : décrit comment ce contrôle vérifie les vulnérabilités de sécurité de votre compte.

    • Source : indique si la vérification provient de AWS Trusted Advisor ou AWS Security Hub. Pour les contrôles de Security Hub, vous pouvez trouver l'ID du contrôle.

    • Alert Criteria (Critères d'alerte) : l'état du contrôle. Par exemple, si Security Hub détecte un problème important, le statut peut être Red: Critical or High (Rouge : Critique ou Élevé).

    • Recommended Action (Action recommandée) : utilisez le lien de la documentation de Security Hub pour trouver les étapes recommandées et résoudre le problème.

    • Security Hub resources (Ressources de Security Hub) : vous pouvez trouver les ressources de votre compte où Security Hub a détecté un problème.

Remarques

  • Vous devez utiliser Security Hub pour exclure des ressources des résultats. Actuellement, vous ne pouvez pas utiliser la console de Trusted Advisor pour exclure des éléments des contrôles de Security Hub. Pour plus d'informations, consultez Paramètres de l'état du flux de travail pour les résultats.

  • La fonction de vue organisationnelle prend en charge cette intégration avec Security Hub. Vous pouvez afficher les résultats des contrôles de Security Hub dans l'ensemble de votre organisation, puis créer et télécharger des rapports. Pour plus d'informations, consultez Vue organisationnelle pour AWS Trusted Advisor.

Exemple : le contrôle de Security Hub pour la clé d'accès utilisateur IAM ne devrait pas exister

Voici un exemple de résultat pour un contrôle de Security Hub dans la console de Trusted Advisor.

Faites une capture d'écran d'un contrôle de Security Hub pour un problème d'accès à la racine IAM.

Actualiser les résultats de Security Hub

Après avoir activé une norme de sécurité, Security Hub peut prendre jusqu'à deux heures pour vous fournir des résultats des ressources. Les données peuvent prendre jusqu'à 24 heurs pour s'afficher dans la console de Trusted Advisor. Si vous avez récemment activé la norme de sécurité AWS Bonnes pratiques de sécurité de base v1.0.0, vérifiez la console de Trusted Advisor plus tard.

Note

  • La planification d'actualisation de chaque contrôle de Security Hub est périodique ou déclenchée par des modifications. Actuellement, vous ne pouvez pas utiliser la console de Trusted Advisor ou l'API AWS Support pour actualiser les contrôles de Security Hub. Pour plus d'informations, consultez Planification de l'exécution des vérifications de sécurité.

  • Vous devez utiliser Security Hub pour exclure des ressources de vos résultats. Actuellement, vous ne pouvez pas utiliser la console de Trusted Advisor pour exclure des éléments des contrôles de Security Hub. Pour plus d'informations, consultez Paramètres de l'état du flux de travail pour les résultats.

Désactiver Security Hub de Trusted Advisor

Suivez cette procédure si vous ne souhaitez pas que les informations de Security Hub s'affichent dans la console de Trusted Advisor. Cette procédure désactive uniquement l'intégration de Security Hub avec Trusted Advisor. Elle n'affectera pas vos configurations de Security Hub. Vous pouvez continuer à utiliser la console de Security Hub pour afficher vos contrôles de sécurité, vos ressources, et vos recommandations.

Pour désactiver l'intégration de Security Hub

  1. Contactez AWS Support et demandez la désactivation de l'intégration de Security Hub avec Trusted Advisor.

    Une fois que AWS Support désactive cette fonction, Security Hub n'envoie plus de données à Trusted Advisor. Vos données de Security Hub seront supprimées de Trusted Advisor.

  2. Si vous souhaitez activer à nouveau cette intégration, contactez AWS Support.

Désactiver cette fonction pour les comptes AWS Organizations

Si vous avez déjà complété la procédure précédente pour un compte de gestion, l'intégration de Security Hub est automatiquement supprimée de tous les comptes membres de votre organisation. Les comptes membres individuels de votre organisation n'ont pas besoin de contacter AWS Support séparément.

Si vous êtes un compte membre au sein d'une organisation, vous pouvez contacter AWS Support pour supprimer cette fonction de votre compte uniquement.

Résolution des problèmes

Si vous rencontrez des problèmes avec cette intégration, consultez les informations de dépannage suivantes.

Je ne vois pas les résultats de Security Hub dans la console de Trusted Advisor

Vérifiez si vous avez complété les étapes suivantes :

  • Vous devez avoir un plan de support Business, Enterprise On-Ramp ou Enterprise.

  • Vous avez activé l'enregistrement de ressource dans AWS Config au sein de la même région de Security Hub.

  • Vous avez activé Security Hub et sélectionné la norme de sécurité AWS Bonnes pratiques de sécurité de base v1.0.0.

  • Les nouveaux contrôles provenant de Security Hub sont ajoutés en tant que vérifications dans Trusted Advisor dans un délai de deux à quatre semaines. Consultez la note.

Pour plus d'informations, consultez le Prérequis.

J'ai configuré Security Hub et AWS Config correctement, mais les résultats ne s'affichent toujours pas

Security Hub peut prendre jusqu'à deux heures pour obtenir des résultats des ressources. Les données peuvent prendre jusqu'à 24 heurs pour s'afficher dans la console de Trusted Advisor. Vérifiez la console de Trusted Advisor plus tard.

Remarques

  • Seuls les résultats pour vos contrôles dans la norme de sécurité AWS Bonnes pratiques de sécurité de base s'afficheront dans Trusted Advisor, sauf pour les contrôles dotés de Category: Recover > Resilience (Catégorie : Récupérer > Résilience).

  • S'il y a un problème de service avec Security Hub ou si Security Hub n'est pas disponible, les résultats peuvent prendre jusqu'à 24 heures pour s'afficher dans Trusted Advisor. Vérifiez la console de Trusted Advisor plus tard.

Je souhaite désactiver des contrôles spécifiques de Security Hub

Security Hub envoie vos données à Trusted Advisor automatiquement. Si vous désactivez un contrôle de Security Hub ou si vous ne disposez plus de ressources pour ce contrôle, les résultats ne s'afficheront pas dans Trusted Advisor.

Vous pouvez vous connecter à la console de Security Hub et vérifier si le contrôle est activé ou désactivé.

Si vous désactivez un contrôle de Security Hub ou tous les contrôles de la norme de sécurité Bonnes pratiques de sécurité de base AWS, vos résultats seront archivés dans les cinq jours suivants. Cette période d'archivage de 5 jours est approximative et n'est pas garantie. Lorsque vos résultats sont archivés, ils sont supprimés de Trusted Advisor.

Pour plus d'informations, consultez les rubriques suivantes :

Je souhaite trouver mes ressources de Security Hub exclues

À partir de la console de Trusted Advisor, vous pouvez choisir le nom de contrôle de votre Security Hub, puis choisir l'option Excluded items (Éléments exclus). Cette option affiche toutes les ressources supprimées dans Security Hub.

Si l'état du flux de travail d'une ressource est défini sur SUPPRESSED, cette ressource est alors un élément exclu dans Trusted Advisor. Vous ne pouvez pas supprimer les ressources de Security Hub à partir de la console de Trusted Advisor. Pour ce faire, utilisez la console de Security Hub. Pour plus d'informations, consultez Paramètres de l'état du flux de travail pour les résultats.

Je souhaite activer ou désactiver cette fonction pour un compte membre appartenant à une organisation AWS

Par défaut, les comptes membres héritent de la fonction du compte de gestion pour AWS Organizations. Si le compte de gestion a activé la fonction, alors tous les comptes de l'organisation disposeront également de cette fonction. Si vous possédez un compte membre et souhaitez apporter des modifications spécifiques au compte, vous devez contacter AWS Support.

Je vois plusieurs Régions AWS pour la même ressource affectée pour une vérification Security Hub

Certains Services AWS sont globaux et ne sont pas spécifiques à une région, comme IAM et Amazon CloudFront. Par défaut, les ressources globales telles que les compartiments Amazon S3 apparaissent dans la région USA Est (Virginie du Nord).

Pour les vérifications Security Hub qui évaluent les ressources pour les services globaux, vous pouvez voir plus d'un élément pour les ressources affectées. Par exemple, si l'option Hardware MFA should be enabled for the root user identifie que votre compte n'a pas activé cette fonction, vous verrez plusieurs régions dans le tableau pour la même ressource.

Vous pouvez configurer Security Hub et AWS Config pour que plusieurs régions n'apparaissent pas pour la même ressource. Pour plus d'informations, consultez Contrôles des bonnes pratiques de base AWS que vous pourriez vouloir désactiver.

J'ai désactivé Security Hub ou AWS Config dans une région

Si vous arrêtez l'enregistrement des ressources avec AWS Config ou que vous désactivez Security Hub dans une Région AWS, Trusted Advisor ne reçoit plus de données pour aucun contrôle dans cette région. Trusted Advisor supprime vos résultats de dans les 7 à 9 jours. Ce délai est réduit au minimum, mais n'est pas garanti. Pour de plus amples informations, veuillez consulter Disabling Security Hub (Désactiver Security Hub).

Pour désactiver cette fonction pour votre compte, consultez Désactiver Security Hub de Trusted Advisor.

Mon contrôle est archivé dans Security Hub, mais je vois toujours les résultats dans Trusted Advisor

Lorsque le statut RecordState passe à ARCHIVED pour un résultat, Trusted Advisor supprime le résultat pour ce contrôle Security Hub de votre compte. Il se peut que le résultat soit encore visible dans Trusted Advisor pendant 7 à 9 jours avant qu'il ne soit supprimé. Ce délai est réduit au minimum, mais n'est pas garanti.

Je n'arrive toujours pas à visualiser les résultats de mon Security Hub

Si vous rencontrez toujours des problèmes avec cette fonction, vous pouvez créer une demande de support technique dans le Centre AWS Support.