Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Comprendre les contrôles de sécurité et les scores dans Security Hub CSPM
Pour chaque contrôle que vous activez, AWS Security Hub CSPM exécute des contrôles de sécurité. Un contrôle de sécurité produit un résultat qui vous indique si une AWS ressource spécifique est conforme aux règles incluses dans le contrôle.
Certains contrôles sont effectués selon un calendrier périodique. Les autres contrôles ne sont exécutés qu'en cas de modification de l'état de la ressource. Pour de plus amples informations, veuillez consulter [Planification de l'exécution des vérifications de sécurité](securityhub-standards-schedule.md).
De nombreux contrôles de sécurité utilisent des règles AWS Config gérées ou personnalisées pour établir les exigences de conformité. Pour exécuter ces vérifications, vous devez configurer AWS Config et activer l'enregistrement des ressources pour les ressources requises. Pour plus d'informations sur la configuration AWS Config, consultez[Activation et configuration AWS Config pour Security Hub CSPM](securityhub-setup-prereqs.md). Pour obtenir la liste des AWS Config ressources que vous devez enregistrer pour chaque norme, consultez[AWS Config Ressources requises pour les résultats des contrôles](controls-config-resources.md). Les autres contrôles utilisent des fonctions Lambda personnalisées, qui sont gérées par Security Hub CSPM et ne nécessitent aucun prérequis.
Lorsque Security Hub CSPM exécute des contrôles de sécurité, il génère des résultats et leur attribue un statut de conformité. Pour plus d'informations sur le statut de conformité, consultez[Évaluation de l'état de conformité des résultats du Security Hub CSPM](controls-overall-status.md#controls-overall-status-compliance-status).
Security Hub CSPM utilise l'état de conformité des résultats des contrôles pour déterminer un état de contrôle global. Sur la base de l'état du contrôle, Security Hub CSPM calcule également un score de sécurité pour tous les contrôles activés et pour des normes spécifiques. Pour plus d’informations, consultez [Évaluation de l'état de conformité et de l'état du contrôle](controls-overall-status.md) et [Calcul des scores de sécurité](standards-security-score.md).
Si vous avez activé les résultats de contrôle consolidés, Security Hub CSPM génère un résultat unique même lorsqu'un contrôle est associé à plusieurs normes. Pour de plus amples informations, veuillez consulter [Conclusions de contrôle consolidées](controls-findings-create-update.md#consolidated-control-findings).
**Topics**
+ [
# AWS Config Ressources requises pour les résultats des contrôles
](controls-config-resources.md)
+ [
# Planification de l'exécution des vérifications de sécurité
](securityhub-standards-schedule.md)
+ [
# Génération et mise à jour des résultats de contrôle
](controls-findings-create-update.md)
+ [
# Évaluation de l'état de conformité et de l'état du contrôle
](controls-overall-status.md)
+ [
# Calcul des scores de sécurité
](standards-security-score.md)
# AWS Config Ressources requises pour les résultats des contrôles
Dans AWS Security Hub CSPM, certains contrôles utilisent des AWS Config règles liées aux services qui détectent les modifications de configuration de vos ressources. AWS Pour que Security Hub CSPM puisse générer des résultats précis pour ces contrôles, vous devez activer AWS Config et activer l'enregistrement des ressources dans. AWS Config Pour plus d'informations sur la manière dont Security Hub CSPM utilise AWS Config les règles et sur la manière de les activer et de les configurer AWS Config, consultez. [Activation et configuration AWS Config pour Security Hub CSPM](securityhub-setup-prereqs.md) Pour obtenir des informations détaillées sur l'enregistrement des ressources, consultez la section [Utilisation de l'enregistreur de configuration](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) dans le *manuel du AWS Config développeur*.
Pour recevoir des résultats de contrôle précis, vous devez activer l'enregistrement des AWS Config ressources pour les contrôles activés avec un type de planification *déclenché par des modifications*. Certains contrôles dotés d'un type de calendrier *périodique* nécessitent également un enregistrement des ressources. Cette page répertorie les ressources requises pour ces contrôles Security Hub CSPM.
Les contrôles CSPM du Security Hub peuvent s'appuyer sur des AWS Config règles gérées ou sur des règles CSPM personnalisées du Security Hub. Assurez-vous qu'aucune politique Gestion des identités et des accès AWS (IAM) ou politique AWS Organizations gérée n' AWS Config empêche d'avoir l'autorisation d'enregistrer vos ressources. Les contrôles CSPM du Security Hub évaluent directement les configurations des ressources et ne tiennent pas compte AWS Organizations des politiques.
**Note**
Régions AWS Lorsqu'un contrôle n'est pas disponible, la ressource correspondante n'est pas disponible dans AWS Config. Pour obtenir la liste de ces limites, voir[Limites régionales relatives aux contrôles CSPM du Security Hub](regions-controls.md).
**Topics**
+ [
## Ressources requises pour tous les contrôles Security Hub CSPM
](#all-controls-config-resources)
+ [
## Ressources requises pour la norme des meilleures pratiques de sécurité AWS fondamentales
](#securityhub-standards-fsbp-config-resources)
+ [
## Ressources nécessaires pour le test de référence AWS des fondations du CIS
](#securityhub-standards-cis-config-resources)
+ [
## Ressources requises pour la norme NIST SP 800-53 Revision 5
](#nist-config-resources)
+ [
## Ressources requises pour la norme NIST SP 800-171 Revision 2
](#nist-800-171-config-resources)
+ [
## Ressources requises pour la norme PCI DSS v3.2.1
](#securityhub-standards-pci-config-resources)
+ [
## Ressources requises pour la norme de balisage AWS des ressources
](#tagging-config-resources)
## Ressources requises pour tous les contrôles Security Hub CSPM
Pour que Security Hub CSPM puisse générer des résultats pour les contrôles déclenchés par des modifications qui sont activés et utilisent une AWS Config règle, vous devez enregistrer les types de ressources suivants dans. AWS Config Ce tableau indique également quels contrôles évaluent un type de ressource particulier. Un seul contrôle peut évaluer plusieurs types de ressources.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/controls-config-resources.html)
## Ressources requises pour la norme des meilleures pratiques de sécurité AWS fondamentales
Pour que Security Hub CSPM puisse rapporter avec précision les résultats des contrôles déclenchés par des modifications qui s'appliquent à la norme AWS Foundational Security Best Practices (v.1.0.0), sont activés et utilisent une AWS Config règle, vous devez enregistrer les types de ressources suivants dans. AWS Config Pour plus d'informations sur cette norme, consultez[AWS Norme relative aux meilleures pratiques de sécurité fondamentales dans Security Hub CSPM](fsbp-standard.md).
| Service AWS | Types de ressources |
| --- | --- |
| Amazon API Gateway | `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage` |
| AWS AppSync | `AWS::AppSync::ApiCache`, `AWS::AppSync::GraphQLApi` |
| AWS Backup | `AWS::Backup::RecoveryPoint` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| AWS CodeBuild | `AWS::CodeBuild::Project`, `AWS::CodeBuild::ReportGroup` |
| Amazon Cognito | `AWS::Cognito::IdentityPool`, `AWS::Cognito::UserPool` |
| Amazon Connect | `AWS::Connect::Instance` |
| AWS DataSync | `AWS::DataSync::Task` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask` |
| Amazon DynamoDB | `AWS::DynamoDB::Table` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::SnapshotBlockPublicAccess`, `AWS::EC2::SpotFleet`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPCBlockPublicAccessOptions`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::Repository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::CapacityProvider`, `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`, `AWS::ECS::TaskSet` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint`, `AWS::EFS::FileSystem` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer` |
| ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EMR | `AWS::EMR::SecurityConfiguration` |
| AWS Glue | `AWS::Glue::Job`, `AWS::Glue::MLTransform` |
| Gestion des identités et des accès AWS (JE SUIS) | `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Key` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon Managed Streaming for Apache Kafka (Amazon MSK) | `AWS::MSK::Cluster`, `AWS::KafkaConnect::Connector` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| Amazon OpenSearch Service | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBProxy`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup` |
| Amazon Redshift sans serveur | `AWS::RedshiftServerless::Workgroup` |
| Amazon Route 53 | `AWS::Route53::HostedZone` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`, `AWS::S3::MultiRegionAccessPoint`, `AWS::S3Express::DirectoryBucket` |
| Amazon SageMaker AI | `AWS::SageMaker::Model`, `AWS::SageMaker::NotebookInstance` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service (Amazon SQS) | `AWS::SQS::Queue` |
| AWS Secrets Manager | `AWS::SecretsManager::Secret` |
| AWS Step Functions | `AWS::StepFunctions::StateMachine` |
| AWS Transfer Family | `AWS::Transfer::Connector` |
| AWS WAF | `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL` |
| Amazon WorkSpaces | `AWS::WorkSpaces::WorkSpace` |
## Ressources nécessaires pour le test de référence AWS des fondations du CIS
Pour effectuer des contrôles de sécurité pour les contrôles activés qui s'appliquent au Center for Internet Security (CIS) AWS Foundations Benchmark, Security Hub CSPM exécute les étapes d'audit exactes prescrites pour les contrôles ou utilise des règles AWS Config gérées spécifiques. Pour plus d'informations sur cette norme dans Security Hub CSPM, consultez. [La référence de CIS AWS Foundations en matière de Security Hub (CSPM)](cis-aws-foundations-benchmark.md)
### Ressources requises pour CIS v5.0.0
Pour que Security Hub CSPM puisse rapporter avec précision les résultats des contrôles déclenchés par des modifications CIS v5.0.0 activés qui utilisent une AWS Config règle, vous devez enregistrer les types de ressources suivants dans. AWS Config
| Service AWS | Types de ressources |
| --- | --- |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::FileSystem` |
| Gestion des identités et des accès AWS (JE SUIS) | `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBInstance`, `AWS::RDS::DBCluster` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` |
### Ressources requises pour CIS v3.0.0
Pour que Security Hub CSPM puisse rapporter avec précision les résultats des contrôles déclenchés par des modifications CIS v3.0.0 activés qui utilisent une AWS Config règle, vous devez enregistrer les types de ressources suivants dans. AWS Config
| Service AWS | Types de ressources |
| --- | --- |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC` |
| Gestion des identités et des accès AWS (JE SUIS) | `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBInstance` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` |
### Ressources requises pour CIS v1.4.0
Pour que Security Hub CSPM puisse rapporter avec précision les résultats des contrôles déclenchés par des modifications CIS v1.4.0 activés qui utilisent une AWS Config règle, vous devez enregistrer les types de ressources suivants dans. AWS Config
| Service AWS | Types de ressources |
| --- | --- |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup` |
| Gestion des identités et des accès AWS (JE SUIS) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBInstance` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` |
### Ressources requises pour CIS v1.2.0
Pour que Security Hub CSPM puisse rapporter avec précision les résultats des contrôles déclenchés par des modifications CIS v1.2.0 activés qui utilisent une AWS Config règle, vous devez enregistrer les types de ressources suivants dans. AWS Config
| Service AWS | Types de ressources |
| --- | --- |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::SecurityGroup` |
| Gestion des identités et des accès AWS (JE SUIS) | `AWS::IAM::Policy`, `AWS::IAM::User` |
## Ressources requises pour la norme NIST SP 800-53 Revision 5
Pour que Security Hub CSPM puisse rapporter avec précision les résultats des contrôles déclenchés par des modifications qui s'appliquent à la norme NIST SP 800-53 Revision 5, sont activés et utilisent une AWS Config règle, vous devez enregistrer les types de ressources suivants dans. AWS Config Pour plus d'informations sur cette norme, consultez[NIST SP 800-53, révision 5 dans Security Hub CSPM](standards-reference-nist-800-53.md).
| Service AWS | Types de ressources |
| --- | --- |
| Amazon API Gateway | `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage` |
| AWS AppSync | `AWS::AppSync::GraphQLApi` |
| AWS Backup | `AWS::Backup::RecoveryPoint` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| AWS CodeBuild | `AWS::CodeBuild::Project` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask` |
| Amazon DynamoDB | `AWS::DynamoDB::Table` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::Repository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer` |
| Amazon ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EMR | `AWS::EMR::SecurityConfiguration` |
| Amazon EventBridge | `AWS::Events::Endpoint`, `AWS::Events::EventBus` |
| AWS Glue | `AWS::Glue::Job` |
| Gestion des identités et des accès AWS (JE SUIS) | `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon Managed Streaming for Apache Kafka (Amazon MSK) | `AWS::MSK::Cluster` |
| Amazon MQ | `AWS::AmazonMQ::Broker` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| Amazon OpenSearch Service | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup` |
| Amazon Route 53 | `AWS::Route53::HostedZone` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket` |
| AWS Service Catalog | `AWS::ServiceCatalog::Portfolio` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service (Amazon SQS) | `AWS::SQS::Queue` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
| Amazon SageMaker AI | `AWS::SageMaker::NotebookInstance` |
| AWS Secrets Manager | `AWS::SecretsManager::Secret` |
| AWS Transfer Family | `AWS::Transfer::Connector` |
| AWS WAF | `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL` |
## Ressources requises pour la norme NIST SP 800-171 Revision 2
Pour que Security Hub CSPM puisse rapporter avec précision les résultats des contrôles déclenchés par des modifications qui s'appliquent à la norme NIST SP 800-171 Revision 2, sont activés et utilisent une AWS Config règle, vous devez enregistrer les types de ressources suivants dans. AWS Config Pour plus d'informations sur cette norme, consultez[NIST SP 800-171, révision 2 dans Security Hub CSPM](standards-reference-nist-800-171.md).
| Service AWS | Types de ressources |
| --- | --- |
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` |
| Amazon API Gateway | `AWS::ApiGateway::Stage` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` |
| Gestion des identités et des accès AWS(JE SUIS) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` |
| AWS WAF | `AWS::WAFv2::RuleGroup` |
## Ressources requises pour la norme PCI DSS v3.2.1
Pour que Security Hub CSPM puisse rapporter avec précision les résultats des contrôles qui s'appliquent à la version 3.2.1 de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), sont activés et utilisent une AWS Config règle, vous devez enregistrer les types de ressources suivants dans. AWS Config Pour plus d'informations sur cette norme, consultez[PCI DSS dans Security Hub CSPM](pci-standard.md).
| Service AWS | Types de ressources |
| --- | --- |
| AWS CodeBuild | `AWS::CodeBuild::Project` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::SecurityGroup` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup` |
| Gestion des identités et des accès AWS (JE SUIS) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon OpenSearch Service | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot` |
| Amazon Redshift | `AWS::Redshift::Cluster` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
## Ressources requises pour la norme de balisage AWS des ressources
Tous les contrôles qui s'appliquent à la norme de balisage AWS des ressources sont déclenchés par des modifications et utilisent une AWS Config règle. Pour que Security Hub CSPM puisse rapporter avec précision les résultats de ces contrôles, vous devez enregistrer les types de ressources suivants dans. AWS Config Pour plus d'informations sur cette norme, consultez[AWS Norme de balisage des ressources dans Security Hub CSPM](standards-tagging.md).
| Service AWS | Types de ressources |
| --- | --- |
| AWS Amplify | `AWS::Amplify::App`, `AWS::Amplify::Branch` |
| Amazon AppFlow | `AWS::AppFlow::Flow` |
| AWS App Runner | `AWS::AppRunner::Service`, `AWS::AppRunner::VpcConnector` |
| AWS AppConfig | `AWS::AppConfig::Application`, `AWS::AppConfig::ConfigurationProfile`, `AWS::AppConfig::Environment`, `AWS::AppConfig::ExtensionAssociation` |
| AWS AppSync | `AWS::AppSync::GraphQLApi` |
| Amazon Athena | `AWS::Athena::DataCatalog`, `AWS::Athena::WorkGroup` |
| AWS Backup | `AWS::Backup::BackupPlan`, `AWS::Backup::BackupVault`, `AWS::Backup::RecoveryPlan`, `AWS::Backup::ReportPlan` |
| AWS Batch | `AWS::Batch::ComputeEnvironment`, `AWS::Batch::JobQueue`, `AWS::Batch::SchedulingPolicy` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| AWS CloudTrail | `AWS::CloudTrail::Trail` |
| AWS CodeArtifact | `AWS::CodeArtifact::Repository` |
| Amazon CodeGuru | `AWS::CodeGuruProfiler::ProfilingGroup`, `AWS::CodeGuruReviewer::RepositoryAssociation` |
| Amazon Connect | `AWS::CustomerProfiles::ObjectType` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Certificate`, `AWS::DMS::EventSubscription` `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationSubnetGroup` |
| AWS DataSync | `AWS::DataSync::Task` |
| Amazon Detective | `AWS::Detective::Graph` |
| Amazon DynamoDB | `AWS::DynamoDB::Trail` |
| Amazon Elastic Compute Cloud (EC2) | `AWS::EC2::CustomerGateway`, `AWS::EC2::DHCPOptions`, `AWS::EC2::EIP`, `AWS::EC2::FlowLog`, `AWS::EC2::Instance`, `AWS::EC2::InternetGateway`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NatGateway`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::PrefixList`, `AWS::EC2::RouteTable`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TrafficMirrorFilter`, `AWS::EC2::TrafficMirrorSession`, `AWS::EC2::TrafficMirrorTarget`, `AWS::EC2::TransitGateway`, `AWS::EC2::TransitGatewayAttachment`, `AWS::EC2::TransitGatewayRouteTable`, `AWS::EC2::Volume`, `AWS::EC2::VPC`, `AWS::EC2::VPCEndpointService`, `AWS::EC2::VPCPeeringConnection`, `AWS::EC2::VPNGateway` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::PublicRepository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster`, `AWS::EKS::IdentityProviderConfig` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EventBridge | `AWS::Events::EventBus` |
| Amazon Fraud Detector | `AWS::FraudDetector::EntityType`, `AWS::FraudDetector::Label` `AWS::FraudDetector::Outcome`, `AWS::FraudDetector::Variable` |
| AWS Global Accelerator | `AWS::GlobalAccelerator::Accelerator` |
| AWS Glue | `AWS::Glue::Job` |
| Amazon GuardDuty | `AWS::GuardDuty::Detector`, `AWS::GuardDuty::Filter`, `AWS::GuardDuty::IPSet` |
| Gestion des identités et des accès AWS (JE SUIS) | `AWS::IAM::Role`, `AWS::IAM::User` |
| AWS Identity and Access Management Access Analyzer (Analyseur d'accès IAM) | `AWS::AccessAnalyzer::Analyzer` |
| AWS IoT | `AWS::IoT::Authorizer`, `AWS::IoT::Dimension`, `AWS::IoT::MitigationAction`, `AWS::IoT::Policy`, `AWS::IoT::RoleAlias`, `AWS::IoT::SecurityProfile` |
| AWS IoT Événements | `AWS::IoTEvents::AlarmModel`, `AWS::IoTEvents::DetectorModel`, `AWS::IoTEvents::Input` |
| AWS IoT SiteWise | `AWS::IoTSiteWise::Dashboard`, `AWS::IoTSiteWise::Gateway`, `AWS::IoTSiteWise::Portal`, `AWS::IoTSiteWise::Project` |
| AWS IoT TwinMaker | `AWS::IoTTwinMaker::Entity`, `AWS::IoTTwinMaker::Scene`, `AWS::IoTTwinMaker::SyncJob`, `AWS::IoTTwinMaker::Workspace` |
| AWS IoT Sans fil | `AWS::IoTWireless::FuotaTask`, `AWS::IoTWireless::MulticastGroup`, `AWS::IoTWireless::ServiceProfile` |
| Amazon Interactive Video Service (Amazon IVS) | `AWS::IVS::Channel`, `AWS::IVS::PlaybackKeyPair`, `AWS::IVS::RecordingConfiguration` |
| Amazon Keyspaces (pour Apache Cassandra) | `AWS::Cassandra::Keyspace` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon MQ | `AWS::AmazonMQ::Broker` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy` |
| Amazon OpenSearch Service | `AWS::OpenSearch::Domain` |
| AWS Autorité de certification privée | `AWS::ACMPCA::CertificateAuthority` |
| Amazon Relational Database Service | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSecurityGroup`, `AWS::RDS::DBSnapshot`, `AWS::RDS::DBSubnetGroup` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterParameterGroup`, `AWS::Redshift::ClusterSnapshot`, `AWS::Redshift::ClusterSubnetGroup`, `AWS::Redshift::EventSubscription` |
| Amazon Route 53 | `AWS::Route53::HealthCheck` |
| Amazon SageMaker AI | `AWS::SageMaker::AppImageConfig`, `AWS::SageMaker::Image` |
| AWS Secrets Manager | `AWS::SecretsManager::Secret` |
| Amazon Simple Email Service (Amazon SES) | `AWS::SES::ConfigurationSet`, `AWS::SES::ContactList` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service (Amazon SQS) | `AWS::SQS::Queue` |
| AWS Step Functions | `AWS::StepFunctions::Activity` |
| AWS Systems Manager (SSM) | `AWS::SSM::Document` |
| AWS Transfer Family | `AWS::Transfer::Agreement`, `AWS::Transfer::Certificate`, `AWS::Transfer::Connector`, `AWS::Transfer::Profile`, `AWS::Transfer::Workflow` |
# Planification de l'exécution des vérifications de sécurité
Une fois que vous avez activé une norme de sécurité, AWS Security Hub CSPM commence à exécuter toutes les vérifications dans les deux heures. La plupart des contrôles commencent à être exécutés dans les 25 minutes. Security Hub CSPM exécute des vérifications en évaluant la règle sous-jacente à un contrôle. Jusqu'à ce qu'un contrôle termine sa première série de vérifications, son statut est **Aucune donnée**.
Lorsque vous activez une nouvelle norme, Security Hub CSPM peut mettre jusqu'à 24 heures à générer des résultats pour les contrôles qui utilisent la même règle sous-jacente AWS Config liée au service que les contrôles activés issus d'autres normes activées. Par exemple, si vous activez le contrôle [Lambda.1](lambda-controls.md#lambda-1) dans la norme AWS Foundational Security Best Practices (FSBP), Security Hub CSPM crée la règle liée au service et génère généralement des résultats en quelques minutes. Ensuite, si vous activez le contrôle Lambda.1 dans la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), Security Hub CSPM peut mettre jusqu'à 24 heures à générer des résultats pour le contrôle, car celui-ci utilise la même règle liée au service.
Après la vérification initiale, le calendrier de chaque contrôle peut être périodique ou déclenché par des modifications. Pour un contrôle basé sur une AWS Config règle gérée, la description du contrôle inclut un lien vers la description de la règle dans le *guide du AWS Config développeur*. Cette description indique si la règle est déclenchée par des modifications ou périodique.
## Contrôles de sécurité périodiques
Les contrôles de sécurité périodiques sont exécutés automatiquement dans les 12 ou 24 heures suivant la dernière exécution. Security Hub CSPM détermine la périodicité, et vous ne pouvez pas la modifier. Les contrôles périodiques reflètent une évaluation au moment où le contrôle est exécuté.
Si vous mettez à jour l'état du flux de travail d'un résultat de contrôle périodique, puis que, lors de la prochaine vérification, le statut de conformité du résultat reste le même, le statut du flux de travail reste dans son état modifié. Par exemple, si vous ne parvenez pas à trouver le contrôle [KMS.4](kms-controls.md#kms-4) (la *AWS KMS key rotation doit être activée*), puis que vous corrigez le résultat, Security Hub CSPM change le statut du flux de travail de à. `NEW` `RESOLVED` Si vous désactivez la rotation des clés KMS avant la prochaine vérification périodique, l'état du résultat dans le flux de travail est conservé`RESOLVED`.
Les contrôles qui utilisent les fonctions Lambda personnalisées de Security Hub CSPM sont périodiques.
## Contrôles de sécurité déclenchés par des modifications
Les contrôles de sécurité déclenchés par des modifications sont exécutés lorsque la ressource associée change d'état. AWS Config vous permet de choisir entre *un enregistrement continu* des modifications de l'état des ressources et un *enregistrement quotidien*. Si vous optez pour un enregistrement quotidien, AWS Config fournit les données de configuration des ressources à la fin de chaque période de 24 heures en cas de modification de l'état des ressources. S'il n'y a aucune modification, aucune donnée n'est transmise. Cela peut retarder la génération des résultats du Security Hub CSPM jusqu'à ce qu'une période de 24 heures soit terminée. Quelle que soit la période d'enregistrement que vous avez choisie, Security Hub CSPM vérifie toutes les 18 heures qu'aucune mise à jour des ressources n'a AWS Config été manquée.
En général, Security Hub CSPM utilise des règles déclenchées par des modifications chaque fois que cela est possible. Pour qu'une ressource utilise une règle déclenchée par des modifications, elle doit prendre en charge les éléments AWS Config de configuration.
# Génération et mise à jour des résultats de contrôle
AWS Security Hub CSPM génère et met à jour les résultats des contrôles lorsqu'il effectue des vérifications par rapport aux contrôles de sécurité. Les résultats des contrôles utilisent le [format ASFF (AWS Security Finding Format).](securityhub-findings-format.md)
Security Hub CSPM facture normalement chaque contrôle de sécurité effectué pour un contrôle. Toutefois, si plusieurs contrôles utilisent la même AWS Config règle, Security Hub CSPM ne facture qu'une seule fois pour chaque vérification effectuée par rapport à la règle. Par exemple, la AWS Config `iam-password-policy` règle est utilisée par plusieurs contrôles dans les normes CIS AWS Foundations Benchmark et AWS Foundational Security Best Practices. Chaque fois que Security Hub CSPM effectue une vérification par rapport à cette règle, il génère un résultat de contrôle distinct pour chaque contrôle associé, mais ne facture qu'une seule fois pour le contrôle.
Si la taille d'un résultat de contrôle dépasse le maximum de 240 Ko, Security Hub CSPM supprime l'`Resource.Details`objet du résultat. Pour les contrôles basés sur des AWS Config ressources, vous pouvez consulter les détails des ressources à l'aide de la AWS Config console.
**Topics**
+ [
## Conclusions de contrôle consolidées
](#consolidated-control-findings)
+ [
## Génération, mise à jour et archivage des résultats des contrôles
](#securityhub-standards-results-updating)
+ [
## Automatisation et suppression des résultats de contrôle
](#automation-control-findings)
+ [
## Détails de conformité pour les résultats des contrôles
](#control-findings-asff-compliance)
+ [
## ProductFields détails relatifs aux résultats des contrôles
](#control-findings-asff-productfields)
+ [
## Niveaux de gravité des résultats de contrôle
](#control-findings-severity)
## Conclusions de contrôle consolidées
Si les résultats de contrôle consolidés sont activés pour votre compte, Security Hub CSPM génère une seule découverte ou mise à jour des résultats pour chaque contrôle de sécurité d'un contrôle, même si un contrôle s'applique à plusieurs normes activées. Pour obtenir la liste des contrôles et des normes auxquelles ils s'appliquent, consultez le[Référence de contrôle pour Security Hub CSPM](securityhub-controls-reference.md). Nous recommandons d'activer les résultats de contrôle consolidés afin de réduire le bruit de détection.
Si vous avez activé Security Hub CSPM Compte AWS avant le 23 février 2023, vous pouvez activer les résultats de contrôle consolidés en suivant les instructions fournies plus loin dans cette section. Si vous activez Security Hub CSPM le 23 février 2023 ou après cette date, les résultats de contrôle consolidés sont automatiquement activés pour votre compte.
Si vous utilisez l'[intégration du Security Hub CSPM avec](securityhub-accounts-orgs.md) des comptes membres AWS Organizations ou si vous les invitez par le biais [d'un processus d'invitation manuel](account-management-manual.md), les résultats de contrôle consolidés ne sont activés pour les comptes membres que s'ils sont activés pour le compte administrateur. Si la fonctionnalité est désactivée pour le compte administrateur, elle est désactivée pour les comptes membres. Ce comportement s'applique aux comptes de membres nouveaux et existants. En outre, si l'administrateur utilise une [configuration centralisée](central-configuration-intro.md) pour gérer le Security Hub CSPM pour plusieurs comptes, il ne peut pas utiliser de politiques de configuration centralisées pour activer ou désactiver les résultats de contrôle consolidés pour les comptes.
Si vous désactivez les résultats de contrôle consolidés pour votre compte, Security Hub CSPM génère ou met à jour un résultat de contrôle distinct pour chaque norme activée qui inclut un contrôle. Par exemple, si vous activez quatre normes qui partagent un contrôle, vous recevez quatre résultats distincts après un contrôle de sécurité pour le contrôle. Si vous activez les résultats de contrôle consolidés, vous ne recevez qu'un seul résultat.
Lorsque vous activez les résultats de contrôle consolidés, Security Hub CSPM crée de nouveaux résultats indépendants des normes et archive les résultats standard d'origine. Certains champs et valeurs de recherche de contrôle vont changer, ce qui peut avoir un impact sur vos flux de travail existants. Pour plus d'informations sur ces modifications, consultez[Conclusions de contrôle consolidées — modifications apportées à l'ASFF](asff-changes-consolidation.md#securityhub-findings-format-consolidated-control-findings). L'activation des résultats de contrôle consolidés peut également affecter les résultats que les produits tiers intégrés reçoivent de Security Hub CSPM. Si vous utilisez la solution [Automated Security Response on AWS v2.0.0](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/), notez qu'elle prend en charge les résultats de contrôle consolidés.
Pour activer ou désactiver les résultats de contrôle consolidés, vous devez être connecté à un compte administrateur ou à un compte autonome.
**Note**
Une fois que vous avez activé les résultats de contrôle consolidés, Security Hub CSPM peut mettre jusqu'à 24 heures pour générer de nouveaux résultats consolidés et archiver les résultats standard existants. De même, après avoir désactivé les résultats de contrôle consolidés, Security Hub CSPM peut mettre jusqu'à 24 heures pour générer de nouveaux résultats basés sur des normes et archiver les résultats consolidés existants. Au cours de ces périodes, il est possible que vous constatiez un mélange de résultats indépendants des normes et de résultats basés sur les normes dans votre compte.
------
#### [ Security Hub CSPM console ]
**Pour activer ou désactiver les résultats des contrôles consolidés**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, sous **Paramètres**, choisissez **Général**.
1. Dans la section **Contrôles**, choisissez **Modifier**.
1. Utilisez le commutateur **Consolidated control findings** pour activer ou désactiver les résultats de contrôle consolidés.
1. Choisissez **Enregistrer**.
------
#### [ Security Hub CSPM API ]
Pour activer ou désactiver les résultats des contrôles consolidés par programmation, utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html)API Security Hub CSPM. Ou, si vous utilisez le AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html)commande.
Pour le `control-finding-generator` paramètre, spécifiez `SECURITY_CONTROL` pour activer les résultats de contrôle consolidés. Pour désactiver les résultats des contrôles consolidés, spécifiez`STANDARD_CONTROL`.
Par exemple, la AWS CLI commande suivante permet de consolider les résultats des contrôles.
```
$ aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL
```
La AWS CLI commande suivante désactive les résultats de contrôle consolidés.
```
$ aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL
```
------
## Génération, mise à jour et archivage des résultats des contrôles
[Security Hub CSPM exécute des contrôles de sécurité selon un calendrier.](securityhub-standards-schedule.md) La première fois que Security Hub CSPM effectue un contrôle de sécurité pour un contrôle, il génère un nouveau résultat pour chaque AWS ressource vérifiée par le contrôle. Chaque fois que Security Hub CSPM effectue ensuite un contrôle de sécurité pour le contrôle, il met à jour les résultats existants pour signaler les résultats du contrôle. Cela signifie que vous pouvez utiliser les données fournies par les résultats individuels pour suivre les changements de conformité pour des ressources spécifiques par rapport à des contrôles particuliers.
Par exemple, si le statut de conformité d'une ressource passe de `FAILED` à `PASSED` pour un contrôle particulier, Security Hub CSPM ne génère pas de nouveau résultat. Security Hub CSPM met plutôt à jour les résultats existants pour le contrôle et la ressource. Dans le résultat, Security Hub CSPM remplace la valeur du champ État de conformité (`Compliance.Status`) par. `PASSED` Security Hub CSPM met également à jour les valeurs des champs supplémentaires afin de refléter les résultats de la vérification, par exemple, l'étiquette de gravité, le statut du flux de travail et les horodatages qui indiquent la date à laquelle Security Hub CSPM a effectué la dernière vérification et mis à jour le résultat.
Lorsque vous signalez une modification de l'état de conformité, Security Hub CSPM peut mettre à jour l'un des champs suivants dans une constatation de contrôle :
+ `Compliance.Status`— Le nouveau statut de conformité de la ressource pour le contrôle spécifié.
+ `FindingProviderFields.Severity.Label`— La nouvelle représentation qualitative de la gravité du résultat, telle que `LOW``MEDIUM`, ou`HIGH`.
+ `FindingProviderFields.Severity.Original`— La nouvelle représentation quantitative de la gravité de la constatation, par exemple `0` pour une ressource conforme.
+ `FirstObservedAt`— Lorsque le statut de conformité de la ressource a récemment changé.
+ `LastObservedAt`— Lorsque Security Hub CSPM a récemment effectué le contrôle de sécurité pour le contrôle et la ressource spécifiés.
+ `ProcessedAt`— Quand Security Hub CSPM a récemment commencé à traiter le résultat.
+ `ProductFields.PreviousComplianceStatus`— L'état de conformité précédent (`Compliance.Status`) de la ressource pour le contrôle spécifié.
+ `UpdatedAt`— Quand Security Hub CSPM a récemment mis à jour le résultat.
+ `Workflow.Status`— L'état de l'enquête sur le résultat, sur la base du nouveau statut de conformité de la ressource pour le contrôle spécifié.
La mise à jour d'un champ par Security Hub CSPM dépend principalement des résultats du dernier contrôle de sécurité concernant le contrôle et les ressources applicables. Par exemple, si le statut de conformité d'une ressource passe de `PASSED` à `FAILED` pour un contrôle particulier, Security Hub CSPM change le statut du flux de travail de la découverte en. `NEW` Pour suivre les mises à jour des résultats individuels, vous pouvez consulter l'historique d'un résultat. Pour plus de détails sur les champs individuels des résultats, voir [AWS Security Finding Format (ASFF).](securityhub-findings-format.md)
Dans certains cas, Security Hub CSPM génère de nouveaux résultats pour des vérifications ultérieures par un contrôle, au lieu de mettre à jour les résultats existants. Cela peut se produire en cas de problème avec la AWS Config règle qui soutient un contrôle. Dans ce cas, Security Hub CSPM archive le résultat existant et génère un nouveau résultat pour chaque vérification. Dans les nouvelles découvertes, le statut de conformité est `NOT_AVAILABLE` et l'état de l'enregistrement est`ARCHIVED`. Une fois que vous avez résolu le problème lié à la AWS Config règle, Security Hub CSPM génère de nouvelles conclusions et commence à les mettre à jour afin de suivre les modifications ultérieures du statut de conformité des ressources individuelles.
Outre la génération et la mise à jour des résultats de contrôle, Security Hub CSPM archive automatiquement les résultats de contrôle qui répondent à certains critères. Security Hub CSPM archive un résultat si le contrôle est désactivé, si la ressource spécifiée est supprimée ou si la ressource spécifiée n'existe plus. Il est possible qu'une ressource n'existe plus car le service associé n'est plus utilisé. Plus précisément, Security Hub CSPM archive automatiquement un résultat de contrôle si celui-ci répond à l'un des critères suivants :
+ Le résultat n'a pas été mis à jour depuis 3 à 5 jours. Notez que l'archivage basé sur cette période est effectué dans la mesure du possible et n'est pas garanti.
+ L' AWS Config évaluation associée renvoyée `NOT_APPLICABLE` pour l'état de conformité de la ressource spécifiée.
Pour déterminer si une recherche est archivée, vous pouvez vous référer au champ record state (`RecordState`) de la recherche. Si un résultat est archivé, la valeur de ce champ est`ARCHIVED`.
Security Hub CSPM stocke les résultats de contrôle archivés pendant 30 jours. Au bout de 30 jours, les résultats expirent et Security Hub CSPM les supprime définitivement. Pour déterminer si un résultat de contrôle archivé a expiré, Security Hub CSPM base son calcul sur la valeur du `UpdatedAt` champ du résultat.
Pour conserver les résultats de contrôle archivés pendant plus de 30 jours, vous pouvez les exporter vers un compartiment S3. Vous pouvez le faire en utilisant une action personnalisée avec une EventBridge règle Amazon. Pour de plus amples informations, veuillez consulter [Utilisation EventBridge pour une réponse et une correction automatisées](securityhub-cloudwatch-events.md).
**Note**
Avant le 3 juillet 2025, Security Hub CSPM générait et mettait à jour les résultats de contrôle différemment lorsque le statut de conformité d'une ressource changeait pour un contrôle. Auparavant, Security Hub CSPM créait un nouveau résultat de contrôle et archivait le résultat existant pour une ressource. Par conséquent, vous pouvez avoir plusieurs résultats archivés pour un contrôle et une ressource particuliers jusqu'à leur expiration (après 30 jours).
## Automatisation et suppression des résultats de contrôle
Vous pouvez utiliser les règles d'automatisation CSPM de Security Hub pour mettre à jour ou supprimer des résultats de contrôle spécifiques. Si vous supprimez un résultat, vous pouvez continuer à y accéder. Cependant, la suppression indique que vous pensez qu'aucune action n'est nécessaire pour remédier à la constatation.
En supprimant les résultats, vous pouvez réduire le bruit de recherche. Par exemple, vous pouvez supprimer les résultats de contrôle générés dans les comptes de test. Vous pouvez également supprimer les résultats liés à des ressources spécifiques. Pour en savoir plus sur la mise à jour ou la suppression automatique des résultats, consultez[Comprendre les règles d'automatisation dans Security Hub CSPM](automation-rules.md).
Les règles d'automatisation sont appropriées lorsque vous souhaitez mettre à jour ou supprimer des résultats de contrôle spécifiques. Toutefois, si un contrôle n'est pas pertinent pour votre organisation ou votre cas d'utilisation, nous vous recommandons de [le désactiver](disable-controls-overview.md). Si vous désactivez un contrôle, Security Hub CSPM n'effectue aucun contrôle de sécurité pour celui-ci et vous n'êtes pas facturé pour ce contrôle.
## Détails de conformité pour les résultats des contrôles
Dans les résultats générés par les contrôles de sécurité pour les contrôles, l'objet de [conformité](asff-top-level-attributes.md#asff-compliance) et les champs du format ASFF ( AWS Security Finding Format) fournissent des détails de conformité pour les ressources individuelles vérifiées par un contrôle. Cela inclut les informations suivantes :
+ `AssociatedStandards`— Les normes activées dans lesquelles le contrôle est activé.
+ `RelatedRequirements`— Les exigences associées au contrôle dans toutes les normes activées. Ces exigences découlent de cadres de sécurité tiers pour le contrôle, tels que la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) ou la norme NIST SP 800-171 révision 2.
+ `SecurityControlId`— L'identifiant pour le contrôle des normes prises en charge par Security Hub CSPM.
+ `Status`— Le résultat de la dernière vérification effectuée par Security Hub CSPM pour le contrôle. Les résultats des vérifications précédentes sont conservés dans l'historique des résultats.
+ `StatusReasons`— Tableau répertoriant les raisons de la valeur spécifiée par le `Status` champ. Pour chaque raison, cela inclut un code de motif et une description.
Le tableau suivant répertorie les codes de motif et les descriptions qu'un résultat peut inclure dans le `StatusReasons` tableau. Les étapes de correction varient en fonction du contrôle qui a généré une constatation avec un code de motif spécifié. Pour consulter les instructions de correction relatives à un contrôle, reportez-vous au[Référence de contrôle pour Security Hub CSPM](securityhub-controls-reference.md).
| Code de motif | Statut de conformité | Description |
| --- | --- | --- |
| `CLOUDTRAIL_METRIC_FILTER_NOT_VALID` | `FAILED` | Le CloudTrail parcours multirégional ne possède pas de filtre métrique valide. |
| `CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT` | `FAILED` | Les filtres métriques ne sont pas présents pour le CloudTrail parcours multirégional. |
| `CLOUDTRAIL_MULTI_REGION_NOT_PRESENT` | `FAILED` | Le compte ne dispose pas d'un CloudTrail parcours multirégional avec la configuration requise. |
| `CLOUDTRAIL_REGION_INVAILD` | `WARNING` | Les CloudTrail sentiers multirégionaux ne se trouvent pas dans la région actuelle. |
| `CLOUDWATCH_ALARM_ACTIONS_NOT_VALID` | `FAILED` | Aucune action d'alarme valide n'est présente. |
| `CLOUDWATCH_ALARMS_NOT_PRESENT` | `FAILED` | CloudWatch les alarmes n'existent pas dans le compte. |
| `CONFIG_ACCESS_DENIED` | `NOT_AVAILABLE` AWS Config le statut est `ConfigError` | AWS Config accès refusé. Vérifiez qu'il AWS Config est activé et que des autorisations suffisantes ont été accordées. |
| `CONFIG_EVALUATIONS_EMPTY` | `PASSED` | AWS Config a évalué vos ressources en fonction de la règle. La règle ne s'appliquait pas aux AWS ressources incluses dans son champ d'application, les ressources spécifiées ont été supprimées ou les résultats de l'évaluation ont été supprimés. |
| `CONFIG_RECORDER_CUSTOM_ROLE` | `FAILED`(pour Config.1) | L' AWS Config enregistreur utilise un rôle IAM personnalisé au lieu du rôle AWS Config lié au service, et le paramètre `includeConfigServiceLinkedRoleCheck` personnalisé de Config.1 n'est pas défini sur. `false` |
| `CONFIG_RECORDER_DISABLED` | `FAILED`(pour Config.1) | AWS Config n'est pas activé lorsque l'enregistreur de configuration est activé. |
| `CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES` | `FAILED`(pour Config.1) | AWS Config n'enregistre pas tous les types de ressources correspondant aux contrôles Security Hub CSPM activés. Activez l'enregistrement pour les ressources suivantes :*Resources that aren't being recorded*. |
| `CONFIG_RETURNS_NOT_APPLICABLE` | `NOT_AVAILABLE` | Le statut de conformité est `NOT_AVAILABLE` dû au fait que le statut « **Non applicable** » a été AWS Config renvoyé. AWS Config ne fournit pas la raison du statut. Voici quelques raisons pouvant expliquer le statut **Non applicable** : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/controls-findings-create-update.html) |
| `CONFIG_RULE_EVALUATION_ERROR` | `NOT_AVAILABLE` AWS Config le statut est `ConfigError` | Ce code de motif est utilisé pour plusieurs types d'erreur d'évaluation différents. La description fournit des informations sur la raison spécifique. Le type d'erreur peut être l'un des suivants : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/controls-findings-create-update.html) |
| `CONFIG_RULE_NOT_FOUND` | `NOT_AVAILABLE` AWS Config le statut est `ConfigError` | La AWS Config règle est en cours de création. |
| `INTERNAL_SERVICE_ERROR` | `NOT_AVAILABLE` | Une erreur inconnue s’est produite. |
| `LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE` | `FAILED` | Security Hub CSPM n'est pas en mesure d'effectuer une vérification par rapport à un environnement d'exécution Lambda personnalisé. |
| `S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION` | `WARNING` | Le résultat est dans un `WARNING` état car le compartiment S3 associé à cette règle se trouve dans une région ou un compte différent. Cette règle ne prend pas en charge les vérifications entre régions ou entre comptes. Il est recommandé de désactiver ce contrôle dans cette région ou ce compte. Exécutez-le uniquement dans la région ou le compte où se trouve la ressource. |
| `SNS_SUBSCRIPTION_NOT_PRESENT` | `FAILED` | Les filtres métriques CloudWatch Logs ne disposent pas d'un abonnement Amazon SNS valide. |
| `SNS_TOPIC_CROSS_ACCOUNT` | `WARNING` | Le résultat est en `WARNING` état. La rubrique SNS associée à cette règle appartient à un autre compte. Le compte courant ne peut pas obtenir les informations d'abonnement. Le compte propriétaire de la rubrique SNS doit accorder au compte actuel l'`sns:ListSubscriptionsByTopic`autorisation pour la rubrique SNS. |
| `SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION` | `WARNING` | Le résultat est invalide `WARNING` car le sujet SNS associé à cette règle se trouve dans une autre région ou dans un autre compte. Cette règle ne prend pas en charge les vérifications entre régions ou entre comptes. Il est recommandé de désactiver ce contrôle dans cette région ou ce compte. Exécutez-le uniquement dans la région ou le compte où se trouve la ressource. |
| `SNS_TOPIC_INVALID` | `FAILED` | La rubrique SNS associée à cette règle n'est pas valide. |
| `THROTTLING_ERROR` | `NOT_AVAILABLE` | L'opération d’API pertinente a dépassé le taux autorisé. |
## ProductFields détails relatifs aux résultats des contrôles
Dans les résultats générés par les contrôles de sécurité pour les contrôles, l'[ProductFields](asff-top-level-attributes.md#asff-productfields)attribut du format ASFF ( AWS Security Finding Format) peut inclure les champs suivants.
`ArchivalReasons:0/Description`
Décrit pourquoi Security Hub CSPM a archivé une découverte.
Par exemple, Security Hub CSPM archive les résultats existants lorsque vous désactivez un contrôle ou une norme, ou lorsque vous activez ou désactivez les résultats de [contrôle consolidés](#consolidated-control-findings).
`ArchivalReasons:0/ReasonCode`
Spécifie pourquoi Security Hub CSPM a archivé un résultat.
Par exemple, Security Hub CSPM archive les résultats existants lorsque vous désactivez un contrôle ou une norme, ou lorsque vous activez ou désactivez les résultats de [contrôle consolidés](#consolidated-control-findings).
`PreviousComplianceStatus`
État de conformité précédent (`Compliance.Status`) de la ressource pour le contrôle spécifié, à compter de la dernière mise à jour du résultat. Si le statut de conformité de la ressource n'a pas changé lors de la dernière mise à jour, cette valeur est identique à la valeur du `Compliance.Status` champ du résultat. Pour obtenir une liste des valeurs possibles, consultez [Évaluation de l'état de conformité et de l'état du contrôle](controls-overall-status.md).
`StandardsGuideArn` ou `StandardsArn`
L'ARN de la norme associée au contrôle.
Pour la norme CIS AWS Foundations Benchmark, le champ est`StandardsGuideArn`. En ce qui concerne les normes PCI DSS et les meilleures pratiques de sécurité AWS fondamentales, le domaine est. `StandardsArn`
Ces champs sont supprimés au profit de `Compliance.AssociatedStandards` si vous activez les [résultats de contrôle consolidés](#consolidated-control-findings).
`StandardsGuideSubscriptionArn` ou `StandardsSubscriptionArn`
L'ARN de l'abonnement du compte à la norme.
Pour la norme CIS AWS Foundations Benchmark, le champ est`StandardsGuideSubscriptionArn`. En ce qui concerne les normes PCI DSS et les meilleures pratiques de sécurité AWS fondamentales, le domaine est. `StandardsSubscriptionArn`
Ces champs sont supprimés si vous activez les [résultats de contrôle consolidés](#consolidated-control-findings).
`RuleId` ou `ControlId`
Identifiant du contrôle.
Pour la version 1.2.0 de la norme CIS AWS Foundations Benchmark, le champ est`RuleId`. Pour les autres normes, y compris les versions ultérieures de la norme de référence CIS AWS Foundations, le champ est`ControlId`.
Ces champs sont supprimés au profit de `Compliance.SecurityControlId` si vous activez les [résultats de contrôle consolidés](#consolidated-control-findings).
`RecommendationUrl`
URL contenant les informations de correction pour le contrôle. Ce champ est supprimé au profit de `Remediation.Recommendation.Url` si vous activez les [résultats de contrôle consolidés](#consolidated-control-findings).
`RelatedAWSResources:0/name`
Nom de la ressource associée à la découverte.
`RelatedAWSResource:0/type`
Type de ressource associé au contrôle.
`StandardsControlArn`
L'ARN du contrôle. Ce champ est supprimé si vous activez les [résultats de contrôle consolidés](#consolidated-control-findings).
`aws/securityhub/ProductName`
Pour les résultats de contrôle, le nom du produit est`Security Hub`.
`aws/securityhub/CompanyName`
Pour les résultats de contrôle, le nom de la société est`AWS`.
`aws/securityhub/annotation`
Description du problème découvert par le contrôle.
`aws/securityhub/FindingId`
Identifiant de la recherche.
Ce champ ne fait pas référence à une norme si vous activez les [résultats de contrôle consolidés](#consolidated-control-findings).
## Niveaux de gravité des résultats de contrôle
La sévérité attribuée à un contrôle Security Hub CSPM indique l'importance de ce contrôle. La sévérité d'un contrôle détermine le label de gravité attribué aux résultats du contrôle.
### Critères de sévérité
La sévérité d'un contrôle est déterminée sur la base d'une évaluation des critères suivants :
+ **Est-il difficile pour un auteur de menaces de tirer parti de la faiblesse de configuration associée au contrôle ?** La difficulté est déterminée par le degré de sophistication ou de complexité requis pour utiliser la faiblesse afin de réaliser un scénario de menace.
+ **Quelle est la probabilité que cette faiblesse compromette vos ressources Comptes AWS ou celles de vos ressources ?** La compromission de vos ressources Comptes AWS ou de vos ressources signifie que la confidentialité, l'intégrité ou la disponibilité de vos données ou de votre AWS infrastructure sont compromises d'une manière ou d'une autre. La probabilité d'une compromission indique la probabilité que le scénario de menace entraîne une interruption ou une violation de vos ressources Services AWS ou de vos ressources.
À titre d'exemple, considérez les faiblesses de configuration suivantes :
+ Les clés d'accès des utilisateurs ne sont pas renouvelées tous les 90 jours.
+ La clé utilisateur root IAM existe.
Il est tout aussi difficile pour un adversaire de tirer parti de ces deux faiblesses. Dans les deux cas, l'adversaire peut avoir recours au vol d'informations d'identification ou à une autre méthode pour obtenir une clé utilisateur. Ils peuvent ensuite l'utiliser pour accéder à vos ressources de manière non autorisée.
Cependant, le risque de compromission est beaucoup plus élevé si l'auteur de la menace obtient la clé d'accès de l'utilisateur root, car cela lui donne un meilleur accès. Par conséquent, la faiblesse de la clé de l'utilisateur root est plus grave.
La gravité ne tient pas compte de la criticité de la ressource sous-jacente. La criticité est le niveau d'importance des ressources associées à la découverte. Par exemple, une ressource associée à une application critique est plus critique qu'une ressource associée à des tests hors production. Pour saisir des informations sur la criticité des ressources, utilisez le `Criticality` champ du format ASFF ( AWS Security Finding Format).
Le tableau suivant décrit la difficulté d'exploitation et le risque de compromission des étiquettes de sécurité.
| | | | | |
| --- |--- |--- |--- |--- |
| | **Compromis très probable** | **Compromis probable** | **Compromis peu probable** | **Compromis très peu probable** |
| **Très facile à exploiter** | Critique | Critique | Élevée | Moyenne |
| **Assez facile à exploiter** | Critique | Élevée | Moyenne | Moyenne |
| **Assez difficile à exploiter** | Élevée | Moyenne | Moyenne | Faible |
| **Très difficile à exploiter** | Moyenne | Moyenne | Faible | Faible |
### Définitions de la gravité
Les étiquettes de gravité sont définies comme suit.
**Critique — Le problème doit être résolu immédiatement pour éviter qu'il ne s'aggrave.**
Par exemple, un compartiment S3 ouvert est considéré comme une résultat dont la gravité est critique. Étant donné que de nombreux acteurs de la menace recherchent des compartiments S3 ouverts, les données contenues dans les compartiments S3 exposés sont susceptibles d'être découvertes et d'être consultées par d'autres personnes.
En général, les ressources accessibles au public sont considérées comme des problèmes de sécurité critiques. Vous devez traiter les résultats critiques avec la plus grande urgence. Vous devez également tenir compte de l’importance de la ressource.
**Élevé — Le problème doit être traité en priorité à court terme.**
Par exemple, si un groupe de sécurité VPC par défaut est ouvert au trafic entrant et sortant, son niveau de gravité est considéré comme élevé. Il est assez facile pour un auteur de menaces de compromettre un VPC en utilisant cette méthode. Il est également probable que l'auteur de la menace soit en mesure de perturber ou d'exfiltrer les ressources une fois qu'elles se trouvent dans le VPC.
Security Hub CSPM vous recommande de traiter une constatation de gravité élevée comme une priorité à court terme. Vous devez prendre des mesures correctives immédiates. Vous devez également tenir compte de l’importance de la ressource.
**Moyen — Le problème devrait être traité en priorité à moyen terme.**
Par exemple, l'absence de chiffrement des données en transit est considérée comme une constatation de gravité moyenne. Une man-in-the-middle attaque sophistiquée est nécessaire pour tirer parti de cette faiblesse. En d'autres termes, c'est un peu difficile. Il est probable que certaines données soient compromises si le scénario de menace est réussi.
Security Hub CSPM vous recommande de rechercher la ressource impliquée dès que possible. Vous devez également tenir compte de l’importance de la ressource.
**Faible — Le problème ne nécessite aucune action en soi.**
Par exemple, l'absence de collecte d'informations médico-légales est considérée comme peu grave. Ce contrôle peut aider à prévenir de futurs compromis, mais l'absence de criminalistique ne mène pas directement à un compromis.
Il n’est pas nécessaire de prendre des mesures immédiates en cas de constatation de faible gravité, mais ces résultats peuvent fournir un contexte lorsque vous les mettez en corrélation avec d’autres problèmes.
**Information — Aucune faiblesse de configuration n'a été détectée.**
En d'autres termes, le statut est `PASSED``WARNING`, ou`NOT AVAILABLE`.
Aucune action spécifique n'est recommandée. Les résultats fournis à titre informatif aident les clients à démontrer qu'ils sont dans un état de conformité.
# Évaluation de l'état de conformité et de l'état du contrôle
Le `Compliance.Status` champ du format de recherche de AWS sécurité décrit le résultat d'un résultat de contrôle. AWS Security Hub CSPM utilise l'état de conformité des résultats des contrôles pour déterminer un état de contrôle global. L'état du contrôle est affiché sur la page de détails d'un contrôle sur la console Security Hub CSPM.
## Évaluation de l'état de conformité des résultats du Security Hub CSPM
L'état de conformité de chaque constatation se voit attribuer l'une des valeurs suivantes :
+ `PASSED`— Indique que le contrôle a réussi le contrôle de sécurité pour le résultat. Cela définit automatiquement le Security Hub CSPM sur. `Workflow.Status` `RESOLVED`
+ `FAILED`— Indique que le contrôle n'a pas réussi le contrôle de sécurité pour le résultat.
+ `WARNING`— Indique que Security Hub CSPM ne peut pas déterminer si la ressource est dans un état `PASSED` ou`FAILED`. Par exemple, [l'enregistrement AWS Config des ressources](securityhub-setup-prereqs.md#config-resource-recording) n'est pas activé pour le type de ressource correspondant.
+ `NOT_AVAILABLE`— Indique que le contrôle ne peut pas être effectué car un serveur est défaillant, la ressource a été supprimée ou le résultat de l' AWS Config évaluation l'a été`NOT_APPLICABLE`. Si le résultat de AWS Config l'évaluation est le cas`NOT_APPLICABLE`, Security Hub CSPM archive automatiquement le résultat.
Si le statut de conformité d'une constatation passe de `PASSED` à`FAILED`, ou `WARNING``NOT_AVAILABLE`, et `Workflow.Status` était l'un `NOTIFIED` ou l'autre`RESOLVED`, Security Hub CSPM passe `Workflow.Status` automatiquement à. `NEW`
Si vous ne disposez pas de ressources correspondant à un contrôle, Security Hub CSPM produit un `PASSED` résultat au niveau du compte. Si vous avez une ressource correspondant à un contrôle mais que vous la supprimez ensuite, Security Hub CSPM crée une `NOT_AVAILABLE` recherche et l'archive immédiatement. Au bout de 18 heures, vous recevez un `PASSED` résultat car vous ne disposez plus des ressources correspondant au contrôle.
## Dérivation du statut de contrôle à partir de l'état de conformité
Security Hub CSPM obtient un statut de contrôle global à partir de l'état de conformité des résultats des contrôles. Lors de la détermination de l'état du contrôle, Security Hub CSPM ignore les résultats contenant un `RecordState` de `ARCHIVED` et ceux contenant un de. `Workflow.Status` `SUPPRESSED`
L'une des valeurs suivantes est attribuée à l'état du contrôle :
+ **Réussi** — Indique que le statut de conformité de tous les résultats est de`PASSED`.
+ **Echec** — Indique qu'au moins un résultat a un statut de conformité de`FAILED`.
+ **Inconnu** — Indique qu'au moins un résultat a un statut de conformité de `WARNING` ou`NOT_AVAILABLE`. Aucun résultat n'a un statut de conformité de`FAILED`.
+ **Aucune donnée** — Indique qu'aucun résultat n'a été trouvé pour le contrôle. Par exemple, un contrôle nouvellement activé possède ce statut jusqu'à ce que Security Hub CSPM commence à générer des résultats le concernant. Un contrôle possède également ce statut si tous ses résultats sont `SUPPRESSED` ou ne sont pas disponibles dans le courant Région AWS.
+ **Désactivé** — Indique que le contrôle est désactivé dans le compte courant et dans la région. Aucun contrôle de sécurité n'est actuellement effectué pour ce contrôle dans le compte courant et dans la région. Cependant, les résultats d'une commande désactivée peuvent avoir une valeur pour l'état de conformité jusqu'à 24 heures après la désactivation.
Pour un compte administrateur, le statut de contrôle reflète l'état de contrôle du compte administrateur et des comptes membres. Plus précisément, le statut général d'un contrôle apparaît comme **Échec** si le contrôle présente un ou plusieurs échecs trouvés dans le compte administrateur ou dans l'un des comptes membres. Si vous avez défini une région d'agrégation, le statut de contrôle dans la région d'agrégation reflète le statut de contrôle dans la région d'agrégation et les régions associées. Plus précisément, le statut général d'un contrôle apparaît comme **Échec** si le contrôle présente un ou plusieurs résultats d'échec dans la région d'agrégation ou dans l'une des régions liées.
Security Hub CSPM génère généralement l'état de contrôle initial dans les 30 minutes suivant votre première visite de la page **Résumé** ou de la page des **normes de sécurité** de la console Security Hub CSPM. L'[enregistrement des AWS Config ressources](controls-config-resources.md) doit être configuré pour que l'état du contrôle apparaisse. Une fois les statuts de contrôle générés pour la première fois, Security Hub CSPM les met à jour toutes les 24 heures en fonction des résultats des 24 heures précédentes. Un horodatage sur la page des détails du contrôle indique la date à laquelle l'état du contrôle a été mis à jour pour la dernière fois.
**Note**
Après avoir activé un contrôle pour la première fois, la génération des statuts de contrôle dans les régions de Chine et le AWS GovCloud (US) Region.
# Calcul des scores de sécurité
Sur la console AWS Security Hub CSPM, la page **Résumé** et la page **Contrôles** affichent un score de sécurité récapitulatif pour toutes les normes que vous avez activées. Sur la page **Normes de sécurité**, Security Hub CSPM affiche également un score de sécurité compris entre 0 et 100 % pour chaque norme activée.
Lorsque vous activez Security Hub CSPM pour la première fois, Security Hub CSPM calcule le score de sécurité récapitulatif et les scores de sécurité standard dans les 30 minutes suivant votre première visite sur la page **Résumé** ou sur les **normes de sécurité** de la console. Les scores sont générés uniquement pour les normes activées lorsque vous visitez ces pages sur la console. En outre, l'enregistrement AWS Config des ressources doit être configuré pour que les scores apparaissent. Le score de sécurité récapitulatif est la moyenne des scores de sécurité standard. Pour consulter la liste des normes actuellement activées, vous pouvez utiliser le [GetEnabledStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)fonctionnement de l'API Security Hub CSPM.
Après la première génération de scores, Security Hub CSPM met à jour les scores de sécurité toutes les 24 heures. Security Hub CSPM affiche un horodatage pour indiquer la date de dernière mise à jour d'un score de sécurité. Notez que cela peut prendre jusqu'à 24 heures pour générer des scores de sécurité pour la première fois dans les régions de Chine et AWS GovCloud (US) Regions.
Si vous activez les [résultats de contrôle consolidés](controls-findings-create-update.md#consolidated-control-findings), la mise à jour de vos scores de sécurité peut prendre jusqu'à 24 heures. En outre, l'activation d'une nouvelle région d'agrégation ou la mise à jour de régions liées réinitialise les scores de sécurité existants. Security Hub CSPM peut mettre jusqu'à 24 heures pour générer de nouveaux scores de sécurité incluant les données des régions mises à jour.
## Méthode de calcul des scores de sécurité
Les scores de sécurité représentent la proportion de contrôles **réussis** par rapport aux contrôles activés. Le score est affiché sous forme de pourcentage arrondi au nombre entier le plus proche.
Security Hub CSPM calcule un score de sécurité récapitulatif pour toutes les normes que vous avez activées. Security Hub CSPM calcule également un score de sécurité pour chaque norme activée. Aux fins du calcul du score, les contrôles activés incluent les contrôles dont le statut **est Réussi**, **Échoué** et **Inconnu**. Les contrôles dont le statut est **Aucune donnée** sont exclus du calcul du score.
Security Hub CSPM ignore les résultats archivés et supprimés lors du calcul de l'état du contrôle. Cela peut avoir un impact sur les scores de sécurité. Par exemple, si vous supprimez tous les résultats infructueux d'un contrôle, son statut devient **Réussi**, ce qui peut à son tour améliorer vos scores de sécurité. Pour plus d'informations sur l'état du contrôle, consultez[Évaluation de l'état de conformité et de l'état du contrôle](controls-overall-status.md).
**Exemple de notation :**
| Standard | Contrôles passés | Contrôles défaillants | Contrôles inconnus | Score standard |
| --- | --- | --- | --- | --- |
| AWS Bonnes pratiques de sécurité de base v1.0.0 | 168 | 22 | 0 | 88 % |
| Benchmark CIS AWS Foundations v1.4.0 | 8 | 29 | 0 | 22 % |
| Benchmark CIS AWS Foundations v1.2.0 | 6 | 35 | 0 | 15 % |
| Publication spéciale 800-53 du NIST, révision 5 | 159 | 56 | 0 | 74 % |
| PCI DSS v3.2.1 | 28 | 17 | 0 | 62 % |
Lors du calcul du score de sécurité récapitulatif, Security Hub CSPM ne compte chaque contrôle qu'une seule fois selon les normes. Par exemple, si vous avez activé un contrôle qui s'applique à trois normes activées, il ne compte que comme un seul contrôle activé à des fins de notation.
Dans cet exemple, bien que le nombre total de contrôles activés dans les normes activées soit de 528, Security Hub CSPM ne compte chaque contrôle unique qu'une seule fois à des fins de notation. Le nombre de contrôles uniques activés est probablement inférieur à 528. Si nous supposons que le nombre de contrôles uniques activés est de 515 et que le nombre de contrôles uniques passés est de 357, le score récapitulatif est de 69 %. Ce score est calculé en divisant le nombre de contrôles uniques réussis par le nombre de contrôles uniques activés.
Vous pouvez avoir un score récapitulatif différent du score de sécurité standard, même si vous n'avez activé qu'une seule norme sur votre compte dans la région actuelle. Cela peut se produire si vous êtes connecté à un compte administrateur et si des normes supplémentaires ou différentes sont activées sur les comptes des membres. Cela peut également se produire si vous consultez le score de la région d'agrégation et si des normes supplémentaires ou différentes normes sont activées dans les régions associées.
## Scores de sécurité pour les comptes d'administrateur
Si vous êtes connecté à un compte administrateur, le score de sécurité récapitulatif et les scores standard tiennent compte des statuts de contrôle du compte administrateur et de tous les comptes membres.
Si le statut d'un contrôle est **Échoué ne** serait-ce que pour un seul compte membre, son statut est **Échoué** dans le compte administrateur et a un impact sur les scores du compte administrateur.
Si vous êtes connecté à un compte administrateur et que vous consultez les scores d'une région d'agrégation, les scores de sécurité tiennent compte des statuts de contrôle de tous les comptes membres *et* de toutes les régions associées.
## Scores de sécurité si vous avez défini une région d'agrégation
Si vous avez défini une agrégation Région AWS, le score de sécurité récapitulatif et les scores standard tiennent compte des statuts de contrôle dans tous les cas Régions liées.
Si le statut d'un contrôle est **Échoué ne** serait-ce que dans une région liée, son statut est **Échoué** dans la région d'agrégation et a un impact sur les scores de la région d'agrégation.
Si vous êtes connecté à un compte administrateur et que vous consultez les scores d'une région d'agrégation, les scores de sécurité tiennent compte des statuts de contrôle de tous les comptes membres *et* de toutes les régions associées.