Consolidation des résultats des contrôles Compliancedétails relatifs aux résultats des contrôles ProductFieldsdétails relatifs aux résultats des contrôles Affecter la gravité des résultats des contrôles Règles de mise à jour des résultats des contrôles

Génération et mise à jour des résultats de contrôle

AWS Security Hub génère des résultats en effectuant des vérifications par rapport aux contrôles de sécurité. Ces résultats s'appuient sur AWS Format de recherche de sécurité (ASFF). Notez que si la taille de recherche dépasse le maximum de 240 Ko, l'Resource.Detailsobjet est supprimé. Pour les commandes soutenues par AWS Config ressources, vous pouvez consulter le détail des ressources sur AWS Config console.

Security Hub facture normalement chaque contrôle de sécurité effectué pour un contrôle. Toutefois, si plusieurs contrôles utilisent le même AWS Config règle, Security Hub ne facture qu'une seule fois pour chaque vérification effectuée par rapport au AWS Config règle. Si vous activez les résultats de contrôle consolidés, Security Hub génère un résultat unique pour un contrôle de sécurité, même lorsque le contrôle est inclus dans plusieurs normes activées.

Par exemple, le AWS Config la règle iam-password-policy est utilisée par plusieurs contrôles dans le Center for Internet Security (CIS) AWS La norme Foundations Benchmark et la norme Foundational Security Best Practices. Chaque fois que Security Hub effectue une vérification par rapport à cela AWS Config règle, elle génère un résultat distinct pour chaque contrôle associé, mais ne facture qu'une seule fois pour le contrôle.

Consolidation des résultats des contrôles

Si vous activez la fonctionnalité de consolidation des résultats de contrôle dans votre compte, Security Hub génère une seule nouvelle découverte ou mise à jour pour chaque contrôle de sécurité d'un contrôle, même si un contrôle s'applique à plusieurs normes activées. Pour consulter la liste des contrôles et des normes auxquelles ils s'appliquent, voirRéférence des contrôles Security Hub. Nous recommandons d'activer les résultats de contrôle consolidés afin de réduire le bruit de détection.

Si vous avez activé Security Hub pour Compte AWS avant le 23 février 2023, vous pouvez activer les résultats de contrôle consolidés en suivant les instructions fournies plus loin dans cette section. Si vous activez Security Hub le 23 février 2023 ou après cette date, les résultats de contrôle consolidés sont automatiquement activés dans votre compte. Toutefois, si vous utilisez l'intégration Security Hub avec AWS Organizationsou comptes de membres invités via un processus d'invitation manuel, les résultats de contrôle consolidés ne sont activés dans les comptes membres que s'ils sont activés dans le compte administrateur. Si la fonctionnalité est désactivée dans le compte administrateur, elle est désactivée dans les comptes membres. Ce comportement s'applique aux comptes de membres nouveaux et existants.

Si vous désactivez les résultats de contrôle consolidés dans votre compte, Security Hub génère un résultat distinct par contrôle de sécurité pour chaque norme activée incluant un contrôle. Par exemple, si quatre normes activées partagent un contrôle avec le même sous-jacent AWS Config En règle générale, vous recevez quatre résultats distincts après un contrôle de sécurité du contrôle. Si vous activez les résultats de contrôle consolidés, vous ne recevez qu'un seul résultat. Pour plus d'informations sur l'impact de la consolidation sur vos résultats, consultezExemples de résultats de contrôle dans Security Hub.

Lorsque vous activez les résultats de contrôle consolidés, Security Hub crée de nouveaux résultats indépendants des normes et archive les résultats standard d'origine. Certains champs et valeurs de recherche de contrôles vont changer et peuvent avoir un impact sur les flux de travail existants. Pour plus d'informations sur ces modifications, consultez Conclusions de contrôle consolidées — ASFF modifications.

L'activation des résultats de contrôle consolidés peut également affecter les résultats que les intégrations tierces reçoivent de Security Hub. Réponse de sécurité automatisée sur AWS La version 2.0.0 prend en charge les résultats de contrôle consolidés.

Pour activer ou désactiver les résultats de contrôle consolidés, vous devez être connecté à un compte administrateur ou à un compte autonome.

Note

Une fois les résultats de contrôle consolidés activés, Security Hub peut avoir besoin de 24 heures pour générer de nouveaux résultats consolidés et archiver les résultats originaux basés sur des normes. De même, une fois les résultats de contrôle consolidés désactivés, Security Hub peut avoir besoin de 24 heures pour générer de nouveaux résultats normalisés et archiver les résultats consolidés. Pendant ces périodes, il est possible que vous constatiez une combinaison de résultats indépendants des normes et de résultats basés sur les normes dans votre compte.

`Compliance`détails relatifs aux résultats des contrôles

Pour les résultats générés par les vérifications de sécurité des contrôles, le Compliancechamp du AWS Le format de recherche de sécurité (ASFF) contient des détails relatifs aux résultats des contrôles. Le champ Compliance comprend les informations suivantes.

AssociatedStandards: Les normes activées dans lesquelles un contrôle est activé.
RelatedRequirements: La liste des exigences associées au contrôle dans toutes les normes activées. Les exigences proviennent du cadre de sécurité tiers pour le contrôle, tel que la norme de sécurité des données de l'industrie des cartes de paiement (PCIDSS).
SecurityControlId: Identifiant pour un contrôle des normes de sécurité prises en charge par Security Hub.
Status: Résultat de la dernière vérification effectuée par Security Hub pour un contrôle donné. Les résultats des vérifications antérieures sont archivés pendant 90 jours.
StatusReasons: Contient une liste des raisons expliquant la valeur deCompliance.Status. Pour chaque raison, StatusReasons comprend le code de motif et une description.

Le tableau suivant répertorie les codes de motif et les descriptions de statut disponibles. Les étapes de correction dépendent du contrôle qui a généré un résultat avec le code de motif. Choisissez un contrôle parmi les Référence des contrôles Security Hub pour voir les étapes de correction associées à ce contrôle.

Code de motif	Compliance.Status	Description
`CLOUDTRAIL_METRIC_FILTER_NOT_VALID`	`FAILED`	Le CloudTrail parcours multirégional ne possède pas de filtre métrique valide.
`CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT`	`FAILED`	Les filtres métriques ne sont pas présents pour le CloudTrail parcours multirégional.
`CLOUDTRAIL_MULTI_REGION_NOT_PRESENT`	`FAILED`	Le compte ne dispose pas d'un CloudTrail parcours multirégional avec la configuration requise.
`CLOUDTRAIL_REGION_INVAILD`	`WARNING`	Les CloudTrail sentiers multirégionaux ne se trouvent pas dans la région actuelle.
`CLOUDWATCH_ALARM_ACTIONS_NOT_VALID`	`FAILED`	Aucune action d'alarme valide n'est présente.
`CLOUDWATCH_ALARMS_NOT_PRESENT`	`FAILED`	CloudWatch les alarmes n'existent pas dans le compte.
`CONFIG_ACCESS_DENIED`	`NOT_AVAILABLE` AWS Config le statut est `ConfigError`	AWS Config accès refusé. Vérifiez que AWS Config est activé et dispose d'autorisations suffisantes.
`CONFIG_EVALUATIONS_EMPTY`	`PASSED`	AWS Config a évalué vos ressources en fonction de la règle. La règle ne s'appliquait pas à AWS ressources dans son champ d'application, les ressources spécifiées ont été supprimées ou les résultats de l'évaluation ont été supprimés.
`CONFIG_RETURNS_NOT_APPLICABLE`	`NOT_AVAILABLE`	Le statut de conformité est `NOT_AVAILABLE` dû au fait que AWS Config a renvoyé le statut Non applicable. AWS Config ne fournit pas la raison du statut. Voici quelques raisons pouvant expliquer le statut Non applicable : La ressource a été retirée du champ d'application du AWS Config règle. Le AWS Config la règle a été supprimée. La ressource a été supprimée. Le AWS Config la logique des règles peut produire un statut Non applicable.
`CONFIG_RULE_EVALUATION_ERROR`	`NOT_AVAILABLE` AWS Config le statut est `ConfigError`	Ce code de motif est utilisé pour plusieurs types d'erreur d'évaluation différents. La description fournit des informations sur la raison spécifique. Le type d'erreur peut être l'un des suivants : Impossibilité d'effectuer l'évaluation en raison d'un manque d'autorisations. La description fournit l'autorisation spécifique manquante. Valeur manquante ou non valide pour un paramètre. La description fournit le paramètre et les conditions requises pour la valeur du paramètre. Erreur de lecture à partir d'un compartiment S3. La description identifie le compartiment et indique l'erreur spécifique. Une personne disparue AWS abonnement. Un délai d'attente général pour l'évaluation. Un compte suspendu.
`CONFIG_RULE_NOT_FOUND`	`NOT_AVAILABLE` AWS Config le statut est `ConfigError`	Le AWS Config Une règle est en cours de création.
`INTERNAL_SERVICE_ERROR`	`NOT_AVAILABLE`	Une erreur inconnue s'est produite.
`LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE`	FAILED	Security Hub n'est pas en mesure d'effectuer une vérification par rapport à un environnement d'exécution Lambda personnalisé.
`S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION`	`WARNING`	Le résultat est dans un `WARNING` état, car le compartiment S3 associé à cette règle se trouve dans une région ou un compte différent. Cette règle ne prend pas en charge les vérifications entre régions ou entre comptes. Il est recommandé de désactiver ce contrôle dans cette région ou ce compte. Exécutez-le uniquement dans la région ou le compte où se trouve la ressource.
`SNS_SUBSCRIPTION_NOT_PRESENT`	`FAILED`	Les filtres métriques CloudWatch Logs ne disposent pas d'un SNS abonnement Amazon valide.
`SNS_TOPIC_CROSS_ACCOUNT`	WARNING	Le résultat est en `WARNING` état. Le SNS sujet associé à cette règle appartient à un autre compte. Le compte courant ne peut pas obtenir les informations d'abonnement. Le compte propriétaire du SNS sujet doit accorder au compte courant l'`sns:ListSubscriptionsByTopic`autorisation pour le SNS sujet.
`SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION`	`WARNING`	Le résultat est invalide `WARNING` car le SNS sujet associé à cette règle se trouve dans une autre région ou dans un autre compte. Cette règle ne prend pas en charge les vérifications entre régions ou entre comptes. Il est recommandé de désactiver ce contrôle dans cette région ou ce compte. Exécutez-le uniquement dans la région ou le compte où se trouve la ressource.
`SNS_TOPIC_INVALID`	`FAILED`	Le SNS sujet associé à cette règle n'est pas valide.
`THROTTLING_ERROR`	`NOT_AVAILABLE`	L'APIopération en question a dépassé le taux autorisé.

`ProductFields`détails relatifs aux résultats des contrôles

Lorsque Security Hub exécute des contrôles de sécurité et génère des résultats de contrôle, l'ProductFieldsattribut ASFF inclut les champs suivants :

ArchivalReasons:0/Description

Décrit pourquoi Security Hub a archivé les résultats existants.

Par exemple, Security Hub archive les résultats existants lorsque vous désactivez un contrôle ou une norme et lorsque vous activez ou désactivez les résultats de contrôle consolidés.

ArchivalReasons:0/ReasonCode

Explique pourquoi Security Hub a archivé les résultats existants.

Par exemple, Security Hub archive les résultats existants lorsque vous désactivez un contrôle ou une norme et lorsque vous activez ou désactivez les résultats de contrôle consolidés.

StandardsGuideArn ou StandardsArn

Le ARN de la norme associée à la commande.

Pour le CIS AWS La norme de référence des fondations, le terrain estStandardsGuideArn.

Pour PCI DSS et AWS Normes des meilleures pratiques de sécurité fondamentales, le domaine estStandardsArn.

Ces champs sont supprimés au profit de Compliance.AssociatedStandards si vous activez les résultats de contrôle consolidés.

StandardsGuideSubscriptionArn ou StandardsSubscriptionArn

L'abonnement ARN du compte à la norme.

Pour le CIS AWS La norme de référence des fondations, le terrain estStandardsGuideSubscriptionArn.

Pour le PCI DSS et AWS Normes des meilleures pratiques de sécurité fondamentales, le domaine estStandardsSubscriptionArn.

Ces champs sont supprimés si vous activez les résultats de contrôle consolidés.

RuleId ou ControlId

Identifiant du contrôle.

Pour le CIS AWS La norme de référence des fondations, le terrain estRuleId.

Pour les autres normes, le champ estControlId.

Ces champs sont supprimés au profit de Compliance.SecurityControlId si vous activez les résultats de contrôle consolidés.

RecommendationUrl

URLAux informations de correction pour le contrôle. Ce champ est supprimé au profit de Remediation.Recommendation.Url si vous activez les résultats de contrôle consolidés.

RelatedAWSResources:0/name

Nom de la ressource associée à la découverte.

RelatedAWSResource:0/type

Type de ressource associé au contrôle.

StandardsControlArn

Celui ARN de la commande. Ce champ est supprimé si vous activez les résultats de contrôle consolidés.

aws/securityhub/ProductName

Pour les résultats basés sur le contrôle, le nom du produit est Security Hub.

aws/securityhub/CompanyName

Pour les résultats basés sur le contrôle, le nom de l'entreprise est AWS.

aws/securityhub/annotation

Description du problème découvert par le contrôle.

aws/securityhub/FindingId

Identifiant de la découverte. Ce champ ne fait pas référence à une norme si vous activez les résultats de contrôle consolidés.

Affecter la gravité des résultats des contrôles

La sévérité attribuée à un contrôle Security Hub identifie l'importance du contrôle. La sévérité d'un contrôle détermine le label de gravité attribué aux résultats du contrôle.

Critères de sévérité

La sévérité d'un contrôle est déterminée sur la base d'une évaluation des critères suivants :

Est-il difficile pour un auteur de menaces de tirer parti de la faiblesse de configuration associée au contrôle ?

La difficulté est déterminée par le degré de sophistication ou de complexité requis pour utiliser la faiblesse afin de réaliser un scénario de menace.
Quelle est la probabilité que cette faiblesse compromette votre Comptes AWS ou des ressources ?

Un compromis de votre Comptes AWS ou des ressources signifient que la confidentialité, l'intégrité ou la disponibilité de vos données ou AWS l'infrastructure est endommagée d'une manière ou d'une autre.

La probabilité d'une compromission indique la probabilité que le scénario de menace entraîne une interruption ou une violation de votre AWS services ou ressources.

À titre d'exemple, considérez les faiblesses de configuration suivantes :

Les clés d'accès des utilisateurs ne sont pas renouvelées tous les 90 jours.
IAMla clé utilisateur root existe.

Il est tout aussi difficile pour un adversaire de tirer parti de ces deux faiblesses. Dans les deux cas, l'adversaire peut avoir recours au vol d'informations d'identification ou à une autre méthode pour obtenir une clé utilisateur. Ils peuvent ensuite l'utiliser pour accéder à vos ressources de manière non autorisée.

Cependant, le risque de compromission est beaucoup plus élevé si l'auteur de la menace obtient la clé d'accès de l'utilisateur root, car cela lui donne un meilleur accès. Par conséquent, la faiblesse de la clé de l'utilisateur root est plus grave.

La gravité ne tient pas compte de la criticité de la ressource sous-jacente. La criticité est le niveau d'importance des ressources associées à la découverte. Par exemple, une ressource associée à une application critique est plus critique qu'une ressource associée à des tests hors production. Pour saisir des informations sur la criticité des ressources, utilisez le Criticality champ du AWS Format de recherche de sécurité (ASFF).

Le tableau suivant décrit la difficulté d'exploitation et le risque de compromission des étiquettes de sécurité.

	Compromis très probable	Compromis probable	Compromis peu probable	Compromis très peu probable
Très facile à exploiter	Critique	Critique	Élevé	Moyen
Assez facile à exploiter	Critique	Élevé	Moyen	Moyen
Assez difficile à exploiter	Élevé	Moyen	Moyen	Faible
Très difficile à exploiter	Moyen	Moyen	Faible	Faible

Définitions de gravité

Les étiquettes de gravité sont définies comme suit.

Critique — Le problème doit être résolu immédiatement pour éviter qu'il ne s'aggrave.

Par exemple, un compartiment S3 ouvert est considéré comme une résultat dont la gravité est critique. Étant donné que de nombreux acteurs de la menace recherchent des compartiments S3 ouverts, les données contenues dans les compartiments S3 exposés sont susceptibles d'être découvertes et d'être consultées par d'autres personnes.

En général, les ressources accessibles au public sont considérées comme des problèmes de sécurité critiques. Vous devez traiter les résultats critiques avec la plus grande urgence. Vous devez également tenir compte de l'importance de la ressource.

Élevé — Le problème doit être traité en priorité à court terme.

Par exemple, si un groupe VPC de sécurité par défaut est ouvert au trafic entrant et sortant, il est considéré comme très sévère. Il est assez facile pour un acteur menaçant de compromettre VPC l'utilisation de cette méthode. Il est également probable que l'auteur de la menace soit en mesure de perturber ou d'exfiltrer les ressources une fois qu'elles se trouvent dans le. VPC

Security Hub vous recommande de traiter une constatation de gravité élevée comme une priorité à court terme. Vous devez prendre des mesures correctives immédiates. Vous devez également tenir compte de l'importance de la ressource.

Moyen — Le problème devrait être traité en priorité à moyen terme.

Par exemple, l'absence de chiffrement des données en transit est considérée comme une constatation de gravité moyenne. Une man-in-the-middle attaque sophistiquée est nécessaire pour tirer parti de cette faiblesse. En d'autres termes, c'est un peu difficile. Il est probable que certaines données soient compromises si le scénario de menace est réussi.

Security Hub vous recommande de rechercher la ressource impliquée dès que possible. Vous devez également tenir compte de l'importance de la ressource.

Faible — Le problème ne nécessite aucune action en soi.

Par exemple, l'absence de collecte d'informations médico-légales est considérée comme peu grave. Ce contrôle peut aider à prévenir de futurs compromis, mais l'absence de criminalistique ne mène pas directement à un compromis.

Il n'est pas nécessaire de prendre des mesures immédiates en cas de constatation de faible gravité, mais ils peuvent fournir un contexte lorsque vous les mettez en corrélation avec d'autres problèmes.

Information — Aucune faiblesse de configuration n'a été détectée.

En d'autres termes, le statut est PASSEDWARNING, ouNOT AVAILABLE.

Aucune action spécifique n'est recommandée. Les résultats fournis à titre informatif aident les clients à démontrer qu'ils sont dans un état de conformité.

Règles de mise à jour des résultats des contrôles

Une vérification ultérieure par rapport à une règle donnée peut générer un nouveau résultat. Par exemple, le statut « Éviter l'utilisation de l'utilisateur root » peut passer de FAILED àPASSED. Dans ce cas, un nouveau résultat contenant le résultat le plus récent est généré.

Si une vérification ultérieure par rapport à une règle donnée génère un résultat identique au résultat actuel, le résultat existant est mis à jour. Aucun nouveau résultat n'est généré.

Security Hub archive automatiquement les résultats des contrôles si la ressource associée est supprimée, si la ressource n'existe pas ou si le contrôle est désactivé. Il est possible qu'une ressource n'existe plus car le service associé n'est pas utilisé actuellement. Les résultats sont archivés automatiquement selon l'un des critères suivants :

Le résultat n'est pas mis à jour pendant trois à cinq jours (notez que c'est le meilleur effort possible et que cela n'est pas garanti).
L'associé AWS Config évaluation renvoyéeNOT_APPLICABLE.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Planification de l'exécution des vérifications de sécurité

État de conformité et statut de contrôle