Conclusions de contrôle consolidées Génération de nouveaux résultats ou mise à jour de résultats existants Contrôle, recherche, automatisation et suppression Détails de conformité pour les résultats des contrôles ProductFields détails relatifs aux résultats des contrôles Niveau de gravité des résultats de contrôle

Génération et mise à jour des résultats de contrôle

AWS Security Hub génère des résultats en effectuant des vérifications par rapport aux contrôles de sécurité. Ces résultats utilisent le format AWS de recherche de sécurité (ASFF). Notez que si la taille de recherche dépasse le maximum de 240 Ko, l'Resource.Detailsobjet est supprimé. Pour les contrôles basés sur des AWS Config ressources, vous pouvez consulter les détails des ressources sur la AWS Config console.

Security Hub facture normalement chaque contrôle de sécurité effectué pour un contrôle. Toutefois, si plusieurs contrôles utilisent la même AWS Config règle, Security Hub ne facture qu'une seule fois pour chaque vérification effectuée par rapport à la AWS Config règle. Si vous activez les résultats de contrôle consolidés, Security Hub génère un résultat unique pour un contrôle de sécurité, même lorsque le contrôle est inclus dans plusieurs normes activées.

Par exemple, la AWS Config règle iam-password-policy est utilisée par plusieurs contrôles de la norme Center for Internet Security (CIS) AWS Foundations Benchmark et de la norme Foundational Security Best Practices. Chaque fois que Security Hub effectue une vérification par rapport à cette AWS Config règle, il génère un résultat distinct pour chaque contrôle associé, mais ne facture qu'une seule fois pour le contrôle.

Conclusions de contrôle consolidées

Si les résultats de contrôle consolidés sont activés dans votre compte, Security Hub génère une seule nouvelle découverte ou mise à jour des résultats pour chaque contrôle de sécurité d'un contrôle, même si un contrôle s'applique à plusieurs normes activées. Pour consulter la liste des contrôles et des normes auxquelles ils s'appliquent, voirRéférence des contrôles Security Hub. Nous recommandons d'activer les résultats de contrôle consolidés afin de réduire le bruit de détection.

Si vous avez activé Security Hub Compte AWS avant le 23 février 2023, vous pouvez activer les résultats de contrôle consolidés en suivant les instructions fournies plus loin dans cette section. Si vous activez Security Hub le 23 février 2023 ou après cette date, les résultats de contrôle consolidés sont automatiquement activés dans votre compte. Toutefois, si vous utilisez l'intégration de Security Hub avec des comptes membres AWS Organizations ou si vous les invitez par le biais d'un processus d'invitation manuel, les résultats de contrôle consolidés ne sont activés dans les comptes membres que s'ils sont activés dans le compte administrateur. Si la fonctionnalité est désactivée dans le compte administrateur, elle est désactivée dans les comptes membres. Ce comportement s'applique aux comptes de membres nouveaux et existants.

Si vous désactivez les résultats de contrôle consolidés dans votre compte, Security Hub génère un résultat distinct par contrôle de sécurité pour chaque norme activée incluant un contrôle. Par exemple, si quatre normes activées partagent un contrôle avec la même AWS Config règle sous-jacente, vous recevez quatre résultats distincts après un contrôle de sécurité du contrôle. Si vous activez les résultats de contrôle consolidés, vous ne recevez qu'un seul résultat.

Lorsque vous activez les résultats de contrôle consolidés, Security Hub crée de nouveaux résultats indépendants des normes et archive les résultats standard d'origine. Certains champs et valeurs de recherche de contrôles vont changer et peuvent avoir un impact sur les flux de travail existants. Pour plus d'informations sur ces modifications, consultez Conclusions de contrôle consolidées — modifications apportées à l'ASFF.

L'activation des résultats de contrôle consolidés peut également affecter les résultats que les produits tiers intégrés reçoivent de Security Hub. La réponse de sécurité automatisée de la AWS version 2.0.0 prend en charge les résultats de contrôle consolidés.

Pour activer ou désactiver les résultats de contrôle consolidés, vous devez être connecté à un compte administrateur ou à un compte autonome.

Note

Une fois les résultats de contrôle consolidés activés, Security Hub peut avoir besoin de 24 heures pour générer de nouveaux résultats consolidés et archiver les résultats originaux basés sur des normes. De même, une fois les résultats de contrôle consolidés désactivés, Security Hub peut avoir besoin de 24 heures pour générer de nouveaux résultats normalisés et archiver les résultats consolidés. Pendant ces périodes, il est possible que vous constatiez une combinaison de résultats indépendants des normes et de résultats basés sur les normes dans votre compte.

Génération de nouveaux résultats ou mise à jour de résultats existants

Security Hub exécute des contrôles de sécurité selon un calendrier. Une vérification ultérieure par rapport à un contrôle donné peut générer un nouveau résultat. Par exemple, le statut d'un contrôle peut passer de FAILED àPASSED. Dans ce cas, Security Hub génère une nouvelle découverte contenant le résultat le plus récent.

Si une vérification ultérieure par rapport à une règle donnée génère un résultat identique au résultat actuel, Security Hub met à jour le résultat existant. Aucun nouveau résultat n'est généré.

Security Hub archive automatiquement les résultats des contrôles si la ressource associée est supprimée, si la ressource n'existe pas ou si le contrôle est désactivé. Il est possible qu'une ressource n'existe plus car le service associé n'est pas utilisé actuellement. Les résultats sont archivés automatiquement en fonction de l'un des critères suivants :

Le résultat n'est pas mis à jour pendant 3 à 5 jours (notez que c'est le meilleur effort possible et que cela n'est pas garanti).
L' AWS Config évaluation associée a été renvoyéeNOT_APPLICABLE.

Contrôle, recherche, automatisation et suppression

Vous pouvez utiliser les règles d'automatisation du Security Hub pour mettre à jour ou supprimer des résultats de contrôle spécifiques. Lorsque vous supprimez un résultat, celui-ci est toujours accessible dans votre compte, mais cela indique que vous pensez qu'aucune action n'est nécessaire pour y remédier. En supprimant les résultats non pertinents, vous pouvez réduire le bruit de recherche. Par exemple, vous pouvez supprimer les résultats de contrôle générés dans les comptes de test. Vous pouvez également supprimer les résultats liés à des ressources spécifiques. Pour plus d'informations sur la mise à jour automatique ou la suppression des résultats, consultezComprendre les règles d'automatisation dans Security Hub.

Les règles d'automatisation sont appropriées lorsque vous souhaitez mettre à jour ou supprimer des résultats de contrôle spécifiques. Toutefois, si un contrôle n'est pas pertinent pour votre organisation ou votre cas d'utilisation, nous vous recommandons de le désactiver. Lorsque vous désactivez un contrôle, Security Hub n'effectue aucun contrôle de sécurité sur celui-ci et vous n'êtes pas débité.

Détails de conformité pour les résultats des contrôles

Pour les résultats générés par les contrôles de sécurité des contrôles, le Compliancechamp du format AWS de constatation de sécurité (ASFF) contient les détails relatifs aux résultats des contrôles. Le champ Compliance comprend les informations suivantes.

AssociatedStandards: Les normes activées dans lesquelles un contrôle est activé.
RelatedRequirements: La liste des exigences associées au contrôle dans toutes les normes activées. Les exigences proviennent du cadre de sécurité tiers pour le contrôle, tel que la norme de sécurité des données de l'industrie des cartes de paiement (PCIDSS).
SecurityControlId: Identifiant pour un contrôle des normes de sécurité prises en charge par Security Hub.
Status: Résultat de la dernière vérification effectuée par Security Hub pour un contrôle donné. Les résultats des vérifications antérieures sont archivés pendant 90 jours.
StatusReasons: Contient une liste des raisons expliquant la valeur deCompliance.Status. Pour chaque raison, StatusReasons comprend le code de motif et une description.

Le tableau suivant répertorie les codes de motif et les descriptions de statut disponibles. Les étapes de correction dépendent du contrôle qui a généré un résultat avec le code de motif. Choisissez un contrôle parmi les Référence des contrôles Security Hub pour voir les étapes de correction associées à ce contrôle.

Code de motif	Compliance.Status	Description
`CLOUDTRAIL_METRIC_FILTER_NOT_VALID`	`FAILED`	Le CloudTrail parcours multirégional ne possède pas de filtre métrique valide.
`CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT`	`FAILED`	Les filtres métriques ne sont pas présents pour le CloudTrail parcours multirégional.
`CLOUDTRAIL_MULTI_REGION_NOT_PRESENT`	`FAILED`	Le compte ne dispose pas d'un CloudTrail parcours multirégional avec la configuration requise.
`CLOUDTRAIL_REGION_INVAILD`	`WARNING`	Les CloudTrail sentiers multirégionaux ne se trouvent pas dans la région actuelle.
`CLOUDWATCH_ALARM_ACTIONS_NOT_VALID`	`FAILED`	Aucune action d'alarme valide n'est présente.
`CLOUDWATCH_ALARMS_NOT_PRESENT`	`FAILED`	CloudWatch les alarmes n'existent pas dans le compte.
`CONFIG_ACCESS_DENIED`	`NOT_AVAILABLE` AWS Config le statut est `ConfigError`	AWS Config accès refusé. Vérifiez qu'il AWS Config est activé et que des autorisations suffisantes ont été accordées.
`CONFIG_EVALUATIONS_EMPTY`	`PASSED`	AWS Config a évalué vos ressources en fonction de la règle. La règle ne s'appliquait pas aux AWS ressources incluses dans son champ d'application, les ressources spécifiées ont été supprimées ou les résultats de l'évaluation ont été supprimés.
`CONFIG_RECORDER_CUSTOM_ROLE`	`FAILED`(pour Config.1)	L' AWS Config enregistreur utilise un IAM rôle personnalisé au lieu du rôle AWS Config lié au service, et le paramètre `includeConfigServiceLinkedRoleCheck` personnalisé de Config.1 n'est pas défini sur. `false`
`CONFIG_RECORDER_DISABLED`	`FAILED`(pour Config.1)	AWS Config n'est pas activé lorsque l'enregistreur de configuration est activé.
`CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES`	`FAILED`(pour Config.1)	AWS Config n'enregistre pas tous les types de ressources correspondant aux contrôles Security Hub activés. Activez l'enregistrement pour les ressources suivantes :`Resources that aren't being recorded`.
`CONFIG_RETURNS_NOT_APPLICABLE`	`NOT_AVAILABLE`	Le statut de conformité est `NOT_AVAILABLE` dû au fait que le statut « Non applicable » a été AWS Config renvoyé. AWS Config ne fournit pas la raison du statut. Voici quelques raisons pouvant expliquer le statut Non applicable : La ressource a été supprimée du champ d'application de la AWS Config règle. La AWS Config règle a été supprimée. La ressource a été supprimée. La logique des AWS Config règles peut produire un statut Non applicable.
`CONFIG_RULE_EVALUATION_ERROR`	`NOT_AVAILABLE` AWS Config le statut est `ConfigError`	Ce code de motif est utilisé pour plusieurs types d'erreur d'évaluation différents. La description fournit des informations sur la raison spécifique. Le type d'erreur peut être l'un des suivants : Impossibilité d'effectuer l'évaluation en raison d'un manque d'autorisations. La description fournit l'autorisation spécifique manquante. Valeur manquante ou non valide pour un paramètre. La description fournit le paramètre et les conditions requises pour la valeur du paramètre. Erreur de lecture à partir d'un compartiment S3. La description identifie le compartiment et indique l'erreur spécifique. AWS Abonnement manquant. Un délai d'attente général pour l'évaluation. Un compte suspendu.
`CONFIG_RULE_NOT_FOUND`	`NOT_AVAILABLE` AWS Config le statut est `ConfigError`	La AWS Config règle est en cours de création.
`INTERNAL_SERVICE_ERROR`	`NOT_AVAILABLE`	Une erreur inconnue s'est produite.
`LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE`	FAILED	Security Hub n'est pas en mesure d'effectuer une vérification par rapport à un environnement d'exécution Lambda personnalisé.
`S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION`	`WARNING`	Le résultat est dans un `WARNING` état, car le compartiment S3 associé à cette règle se trouve dans une région ou un compte différent. Cette règle ne prend pas en charge les vérifications entre régions ou entre comptes. Il est recommandé de désactiver ce contrôle dans cette région ou ce compte. Exécutez-le uniquement dans la région ou le compte où se trouve la ressource.
`SNS_SUBSCRIPTION_NOT_PRESENT`	`FAILED`	Les filtres métriques CloudWatch Logs ne disposent pas d'un SNS abonnement Amazon valide.
`SNS_TOPIC_CROSS_ACCOUNT`	WARNING	Le résultat est en `WARNING` état. Le SNS sujet associé à cette règle appartient à un autre compte. Le compte courant ne peut pas obtenir les informations d'abonnement. Le compte propriétaire du SNS sujet doit accorder au compte courant l'`sns:ListSubscriptionsByTopic`autorisation pour le SNS sujet.
`SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION`	`WARNING`	Le résultat est invalide `WARNING` car le SNS sujet associé à cette règle se trouve dans une autre région ou dans un autre compte. Cette règle ne prend pas en charge les vérifications entre régions ou entre comptes. Il est recommandé de désactiver ce contrôle dans cette région ou ce compte. Exécutez-le uniquement dans la région ou le compte où se trouve la ressource.
`SNS_TOPIC_INVALID`	`FAILED`	Le SNS sujet associé à cette règle n'est pas valide.
`THROTTLING_ERROR`	`NOT_AVAILABLE`	L'APIopération en question a dépassé le taux autorisé.

ProductFields détails relatifs aux résultats des contrôles

Lorsque Security Hub exécute des contrôles de sécurité et génère des résultats de contrôle, l'ProductFieldsattribut ASFF inclut les champs suivants :

ArchivalReasons:0/Description

Décrit pourquoi Security Hub a archivé les résultats existants.

Par exemple, Security Hub archive les résultats existants lorsque vous désactivez un contrôle ou une norme et lorsque vous activez ou désactivez les résultats de contrôle consolidés.

ArchivalReasons:0/ReasonCode

Explique pourquoi Security Hub a archivé les résultats existants.

Par exemple, Security Hub archive les résultats existants lorsque vous désactivez un contrôle ou une norme et lorsque vous activez ou désactivez les résultats de contrôle consolidés.

StandardsGuideArn ou StandardsArn

Le ARN de la norme associée au contrôle.

Pour la norme CIS AWS Foundations Benchmark, le champ estStandardsGuideArn.

Pour PCI DSS les normes des meilleures pratiques de sécurité AWS fondamentales, le domaine estStandardsArn.

Ces champs sont supprimés au profit de Compliance.AssociatedStandards si vous activez les résultats de contrôle consolidés.

StandardsGuideSubscriptionArn ou StandardsSubscriptionArn

L'abonnement ARN du compte à la norme.

Pour la norme CIS AWS Foundations Benchmark, le champ estStandardsGuideSubscriptionArn.

Pour les normes PCI DSS et les meilleures pratiques de sécurité AWS fondamentales, le domaine estStandardsSubscriptionArn.

Ces champs sont supprimés si vous activez les résultats de contrôle consolidés.

RuleId ou ControlId

Identifiant du contrôle.

Pour la norme CIS AWS Foundations Benchmark, le champ estRuleId.

Pour les autres normes, le champ estControlId.

Ces champs sont supprimés au profit de Compliance.SecurityControlId si vous activez les résultats de contrôle consolidés.

RecommendationUrl

URLAux informations de correction pour le contrôle. Ce champ est supprimé au profit de Remediation.Recommendation.Url si vous activez les résultats de contrôle consolidés.

RelatedAWSResources:0/name

Nom de la ressource associée à la découverte.

RelatedAWSResource:0/type

Type de ressource associé au contrôle.

StandardsControlArn

Celui ARN de la commande. Ce champ est supprimé si vous activez les résultats de contrôle consolidés.

aws/securityhub/ProductName

Pour les résultats basés sur le contrôle, le nom du produit est Security Hub.

aws/securityhub/CompanyName

Pour les résultats basés sur le contrôle, le nom de l'entreprise est AWS.

aws/securityhub/annotation

Description du problème découvert par le contrôle.

aws/securityhub/FindingId

Identifiant de la découverte. Ce champ ne fait pas référence à une norme si vous activez les résultats de contrôle consolidés.

Niveau de gravité des résultats de contrôle

La sévérité attribuée à un contrôle Security Hub identifie l'importance du contrôle. La sévérité d'un contrôle détermine le label de gravité attribué aux résultats du contrôle.

Critères de sévérité

La sévérité d'un contrôle est déterminée sur la base d'une évaluation des critères suivants :

Est-il difficile pour un auteur de menaces de tirer parti de la faiblesse de configuration associée au contrôle ?

La difficulté est déterminée par le degré de sophistication ou de complexité requis pour utiliser la faiblesse afin de réaliser un scénario de menace.
Quelle est la probabilité que cette faiblesse compromette vos ressources Comptes AWS ou celles de vos ressources ?

La compromission de vos ressources Comptes AWS ou de vos ressources signifie que la confidentialité, l'intégrité ou la disponibilité de vos données ou de votre AWS infrastructure sont compromises d'une manière ou d'une autre.

La probabilité d'une compromission indique la probabilité que le scénario de menace entraîne une interruption ou une violation de vos AWS services ou ressources.

À titre d'exemple, considérez les faiblesses de configuration suivantes :

Les clés d'accès des utilisateurs ne sont pas renouvelées tous les 90 jours.
IAMla clé utilisateur root existe.

Il est tout aussi difficile pour un adversaire de tirer parti de ces deux faiblesses. Dans les deux cas, l'adversaire peut avoir recours au vol d'informations d'identification ou à une autre méthode pour obtenir une clé utilisateur. Ils peuvent ensuite l'utiliser pour accéder à vos ressources de manière non autorisée.

Cependant, le risque de compromission est beaucoup plus élevé si l'auteur de la menace obtient la clé d'accès de l'utilisateur root, car cela lui donne un meilleur accès. Par conséquent, la faiblesse de la clé de l'utilisateur root est plus grave.

La gravité ne tient pas compte de la criticité de la ressource sous-jacente. La criticité est le niveau d'importance des ressources associées à la découverte. Par exemple, une ressource associée à une application critique est plus critique qu'une ressource associée à des tests hors production. Pour saisir des informations sur la criticité des ressources, utilisez le Criticality champ du format AWS Security Finding (ASFF).

Le tableau suivant décrit la difficulté d'exploitation et le risque de compromission des étiquettes de sécurité.

	Compromis très probable	Compromis probable	Compromis peu probable	Compromis très peu probable
Très facile à exploiter	Critique	Critique	Élevé	Moyen
Assez facile à exploiter	Critique	Élevé	Moyen	Moyen
Assez difficile à exploiter	Élevé	Moyen	Moyen	Faible
Très difficile à exploiter	Moyen	Moyen	Faible	Faible

Définitions de gravité

Les étiquettes de gravité sont définies comme suit.

Critique — Le problème doit être résolu immédiatement pour éviter qu'il ne s'aggrave.

Par exemple, un compartiment S3 ouvert est considéré comme une résultat dont la gravité est critique. Étant donné que de nombreux acteurs malveillants recherchent des compartiments S3 ouverts, les données contenues dans les compartiments S3 exposés sont susceptibles d'être découvertes et d'être consultées par d'autres personnes.

En général, les ressources accessibles au public sont considérées comme des problèmes de sécurité critiques. Vous devez traiter les résultats critiques avec la plus grande urgence. Vous devez également tenir compte de l'importance de la ressource.

Élevé — Le problème doit être traité en priorité à court terme.

Par exemple, si un groupe VPC de sécurité par défaut est ouvert au trafic entrant et sortant, il est considéré comme très sévère. Il est assez facile pour un acteur de menace de compromettre VPC l'utilisation de cette méthode. Il est également probable que l'auteur de la menace soit en mesure de perturber ou d'exfiltrer les ressources une fois qu'elles se trouvent dans le. VPC

Security Hub vous recommande de traiter une constatation de gravité élevée comme une priorité à court terme. Vous devez prendre des mesures correctives immédiates. Vous devez également tenir compte de l'importance de la ressource.

Moyen — Le problème devrait être traité en priorité à moyen terme.

Par exemple, l'absence de chiffrement des données en transit est considérée comme une constatation de gravité moyenne. Une man-in-the-middle attaque sophistiquée est nécessaire pour tirer parti de cette faiblesse. En d'autres termes, c'est un peu difficile. Il est probable que certaines données soient compromises si le scénario de menace est réussi.

Security Hub vous recommande de rechercher la ressource impliquée dès que possible. Vous devez également tenir compte de l'importance de la ressource.

Faible — Le problème ne nécessite aucune action en soi.

Par exemple, l'absence de collecte d'informations médico-légales est considérée comme peu grave. Ce contrôle peut aider à prévenir de futurs compromis, mais l'absence de criminalistique ne mène pas directement à un compromis.

Il n'est pas nécessaire de prendre des mesures immédiates en cas de constatation de faible gravité, mais ils peuvent fournir un contexte lorsque vous les mettez en corrélation avec d'autres problèmes.

Information — Aucune faiblesse de configuration n'a été détectée.

En d'autres termes, le statut est PASSEDWARNING, ouNOT AVAILABLE.

Aucune action spécifique n'est recommandée. Les résultats fournis à titre informatif aident les clients à démontrer qu'ils sont dans un état de conformité.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Planification de l'exécution des vérifications de sécurité

État de conformité et statut de contrôle