Comprendre les contrôles de sécurité dans Security Hub - AWS Security Hub
Vue consolidée des contrôlesNote de sécurité récapitulative pour les contrôles

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comprendre les contrôles de sécurité dans Security Hub

Un contrôle de sécurité est une mesure de protection dans le cadre d'une norme de sécurité qui aide une organisation à protéger la confidentialité, l'intégrité et la disponibilité de ses informations. Dans Security Hub, un contrôle est lié à une AWS ressource spécifique.

Lorsque vous activez un contrôle dans une ou plusieurs normes, Security Hub commence à effectuer des contrôles de sécurité sur celui-ci. Les contrôles de sécurité aboutissent aux conclusions du Security Hub. Lorsque vous désactivez un contrôle, Security Hub arrête d'exécuter les contrôles de sécurité sur celui-ci et les résultats ne sont plus générés.

Vous pouvez activer ou désactiver les contrôles individuellement pour un seul compte et Région AWS. Pour gagner du temps et réduire les variations de configuration dans les environnements multicomptes, nous vous recommandons d'utiliser une configuration centralisée pour activer ou désactiver les contrôles. Grâce à la configuration centralisée, l'administrateur délégué du Security Hub peut créer des politiques qui spécifient la manière dont un contrôle doit être configuré sur plusieurs comptes et régions. Pour plus d'informations sur l'activation et la désactivation des contrôles, consultezActivation des contrôles dans Security Hub.

Vue consolidée des contrôles

La page Controls de la console Security Hub affiche tous les contrôles actuellement disponibles Région AWS (vous pouvez consulter les contrôles dans le contexte d'une norme en vous rendant sur la page des normes de sécurité et en choisissant une norme activée). Security Hub attribue aux contrôles un identifiant, un titre et une description de contrôle de sécurité cohérents selon les normes. IDsLes contrôles incluent le numéro pertinent Service AWS et un numéro unique (par exemple, CodeBuild .3).

Les informations suivantes sont disponibles sur la page Contrôles de la console Security Hub :

  • Un score de sécurité global basé sur la proportion de contrôles réussis par rapport au nombre total de contrôles activés avec des données

  • Répartition des statuts de contrôle entre tous les contrôles Security Hub pris en charge

  • Nombre total de contrôles de sécurité réussis et échoués.

  • Le nombre de contrôles de sécurité échoués pour des contrôles de gravité variable, ainsi que des liens permettant d'afficher plus de détails sur ces contrôles échoués.

  • Liste des contrôles Security Hub, avec des filtres permettant d'afficher des sous-ensembles spécifiques de contrôles.

Sur la page Contrôles, vous pouvez choisir un contrôle pour en afficher les détails et prendre des mesures en fonction des résultats générés par le contrôle. À partir de cette page, vous pouvez également activer ou désactiver un contrôle de sécurité dans votre Compte AWS et Région AWS. Les actions d'activation et de désactivation de la page Contrôles s'appliquent à toutes les normes. Pour de plus amples informations, veuillez consulter Activation des contrôles dans Security Hub.

Pour les comptes d'administrateur, la page Contrôles reflète l'état des contrôles sur les comptes des membres. Si une vérification de contrôle échoue dans au moins un compte membre, le statut du contrôle est Échoué. Si vous avez défini une région d'agrégation, la page Contrôles reflète l'état des contrôles dans toutes les régions liées. Si une vérification de contrôle échoue dans au moins une région liée, le statut du contrôle est Échoué.

La vue consolidée des contrôles entraîne des modifications des champs de recherche des contrôles dans le format AWS de recherche de sécurité (ASFF), ce qui peut affecter les flux de travail. Pour de plus amples informations, veuillez consulter Vue consolidée des contrôles — ASFF modifications.

Note de sécurité récapitulative pour les contrôles

La page Contrôles affiche un score de sécurité récapitulatif compris entre 0 et 100 %. Le score de sécurité récapitulatif est calculé en fonction de la proportion de contrôles réussis par rapport au nombre total de contrôles activés avec des données issues de toutes les normes.

Note

Pour consulter le score de sécurité global des contrôles, vous devez ajouter l'autorisation d'appel BatchGetControlEvaluationsau IAM rôle que vous utilisez pour accéder à Security Hub. Cette autorisation n'est pas requise pour consulter les scores de sécurité relatifs à des normes spécifiques.

Lorsque vous activez Security Hub, Security Hub calcule le score de sécurité initial dans les 30 minutes suivant votre première visite sur la page Résumé ou sur la page des normes de sécurité de la console Security Hub. Jusqu'à 24 heures peuvent être nécessaires pour générer des scores de sécurité pour la première fois dans les régions chinoises et AWS GovCloud (US) Region.

Outre le score de sécurité global, Security Hub calcule un score de sécurité standard pour chaque norme activée dans les 30 minutes suivant votre première visite sur la page de résumé ou sur la page des normes de sécurité. Pour afficher la liste des normes actuellement activées, utilisez l'GetEnabledStandardsAPIopération.

AWS Config doit être activé avec l'enregistrement des ressources pour que les scores apparaissent. Pour plus d'informations sur la façon dont Security Hub calcule les scores de sécurité, consultezCalcul des scores de sécurité.

Après la première génération de scores, Security Hub met à jour les scores de sécurité toutes les 24 heures. Security Hub affiche un horodatage pour indiquer la date de dernière mise à jour d'un score de sécurité.

Si vous avez défini une région d'agrégation, le score de sécurité global reflète les résultats des contrôles effectués dans les régions liées.