Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memahami pemeriksaan dan skor keamanan di Security Hub CSPM
Untuk setiap kontrol yang Anda aktifkan, AWS Security Hub CSPM menjalankan pemeriksaan keamanan. Pemeriksaan keamanan menghasilkan temuan yang memberi tahu Anda apakah AWS sumber daya tertentu sesuai dengan aturan yang termasuk dalam kontrol.
Beberapa pemeriksaan berjalan pada jadwal berkala. Pemeriksaan lain hanya berjalan ketika ada perubahan pada status sumber daya. Untuk informasi selengkapnya, lihat [Jadwal untuk menjalankan pemeriksaan keamanan](securityhub-standards-schedule.md).
Banyak pemeriksaan keamanan menggunakan aturan AWS Config terkelola atau kustom untuk menetapkan persyaratan kepatuhan. Untuk menjalankan pemeriksaan ini, Anda harus mengatur AWS Config dan mengaktifkan perekaman sumber daya untuk sumber daya yang diperlukan. Untuk informasi lebih lanjut tentang pengaturan AWS Config, lihat[Mengaktifkan dan mengonfigurasi AWS Config untuk Security Hub CSPM](securityhub-setup-prereqs.md). Untuk daftar AWS Config sumber daya yang harus Anda rekam untuk setiap standar, lihat[AWS Config Sumber daya yang diperlukan untuk temuan kontrol](controls-config-resources.md). Kontrol lain menggunakan fungsi Lambda khusus, yang dikelola oleh Security Hub CSPM dan tidak memerlukan prasyarat apa pun.
Karena Security Hub CSPM menjalankan pemeriksaan keamanan, CSPM menghasilkan temuan dan memberi mereka status kepatuhan. Untuk informasi selengkapnya tentang status kepatuhan, lihat[Mengevaluasi status kepatuhan temuan CSPM Security Hub](controls-overall-status.md#controls-overall-status-compliance-status).
Security Hub CSPM menggunakan status kepatuhan temuan kontrol untuk menentukan status kontrol secara keseluruhan. Berdasarkan status kontrol, Security Hub CSPM juga menghitung skor keamanan di semua kontrol yang diaktifkan dan untuk standar tertentu. Untuk informasi selengkapnya, lihat [Mengevaluasi status kepatuhan dan status kontrol](controls-overall-status.md) dan [Menghitung skor keamanan](standards-security-score.md).
Jika Anda mengaktifkan temuan kontrol konsolidasi, Security Hub CSPM menghasilkan satu temuan bahkan ketika kontrol dikaitkan dengan lebih dari satu standar. Lihat informasi yang lebih lengkap di [Temuan kontrol terkonsolidasi](controls-findings-create-update.md#consolidated-control-findings).
**Topics**
+ [
# AWS Config Sumber daya yang diperlukan untuk temuan kontrol
](controls-config-resources.md)
+ [
# Jadwal untuk menjalankan pemeriksaan keamanan
](securityhub-standards-schedule.md)
+ [
# Menghasilkan dan memperbarui temuan kontrol
](controls-findings-create-update.md)
+ [
# Mengevaluasi status kepatuhan dan status kontrol
](controls-overall-status.md)
+ [
# Menghitung skor keamanan
](standards-security-score.md)
# AWS Config Sumber daya yang diperlukan untuk temuan kontrol
Di CSPM AWS Security Hub, beberapa kontrol menggunakan AWS Config aturan terkait layanan yang mendeteksi perubahan konfigurasi dalam sumber daya Anda. AWS Agar CSPM Security Hub menghasilkan temuan akurat untuk kontrol ini, Anda harus mengaktifkan AWS Config dan mengaktifkan perekaman sumber daya. AWS Config Untuk informasi tentang cara Security Hub CSPM menggunakan AWS Config aturan dan cara mengaktifkan dan mengonfigurasi AWS Config, lihat. [Mengaktifkan dan mengonfigurasi AWS Config untuk Security Hub CSPM](securityhub-setup-prereqs.md) Untuk informasi rinci tentang perekaman sumber daya, lihat [Bekerja dengan perekam konfigurasi](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) di *Panduan AWS Config Pengembang*.
Untuk menerima temuan kontrol yang akurat, Anda harus mengaktifkan perekaman AWS Config sumber daya untuk kontrol yang diaktifkan dengan jenis jadwal yang *dipicu perubahan*. Beberapa kontrol dengan jenis jadwal *periodik* juga memerlukan perekaman sumber daya. Halaman ini mencantumkan sumber daya yang diperlukan untuk kontrol CSPM Security Hub ini.
Kontrol CSPM Security Hub dapat mengandalkan AWS Config aturan terkelola atau aturan CSPM Security Hub kustom. Pastikan tidak ada kebijakan AWS Identity and Access Management (IAM) atau kebijakan AWS Organizations terkelola yang AWS Config mencegah izin untuk merekam sumber daya Anda. Kontrol CSPM Security Hub mengevaluasi konfigurasi sumber daya secara langsung dan tidak memperhitungkan AWS Organizations kebijakan.
**catatan**
Di Wilayah AWS mana kontrol tidak tersedia, sumber daya yang sesuai tidak tersedia di AWS Config. Untuk daftar batasan ini, lihat[Batas regional pada kontrol CSPM Security Hub](regions-controls.md).
**Topics**
+ [
## Sumber daya yang diperlukan untuk semua kontrol CSPM Security Hub
](#all-controls-config-resources)
+ [
## Sumber daya yang diperlukan untuk standar Praktik Terbaik Keamanan AWS Dasar
](#securityhub-standards-fsbp-config-resources)
+ [
## Sumber daya yang dibutuhkan untuk Tolok Ukur AWS Yayasan CIS
](#securityhub-standards-cis-config-resources)
+ [
## Sumber daya yang diperlukan untuk standar NIST SP 800-53 Revisi 5
](#nist-config-resources)
+ [
## Sumber daya yang diperlukan untuk standar NIST SP 800-171 Revisi 2
](#nist-800-171-config-resources)
+ [
## Sumber daya yang dibutuhkan untuk PCI DSS v3.2.1
](#securityhub-standards-pci-config-resources)
+ [
## Sumber daya yang diperlukan untuk standar Penandaan AWS Sumber Daya
](#tagging-config-resources)
## Sumber daya yang diperlukan untuk semua kontrol CSPM Security Hub
Agar CSPM Security Hub menghasilkan temuan untuk kontrol yang dipicu perubahan yang diaktifkan dan menggunakan AWS Config aturan, Anda harus mencatat jenis sumber daya berikut. AWS Config Tabel ini juga menunjukkan kontrol mana yang mengevaluasi jenis sumber daya tertentu. Sebuah kontrol tunggal dapat mengevaluasi lebih dari satu jenis sumber daya.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/controls-config-resources.html)
## Sumber daya yang diperlukan untuk standar Praktik Terbaik Keamanan AWS Dasar
Agar CSPM Security Hub melaporkan temuan secara akurat untuk kontrol yang dipicu perubahan yang berlaku pada standar Praktik Terbaik Keamanan AWS Dasar (v.1.0.0), diaktifkan, dan menggunakan AWS Config aturan, Anda harus mencatat jenis sumber daya berikut. AWS Config Untuk informasi tentang standar ini, lihat[AWS Standar Praktik Terbaik Keamanan Dasar di Security Hub CSPM](fsbp-standard.md).
| Layanan AWS | Jenis sumber daya |
| --- | --- |
| Amazon API Gateway | `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage` |
| AWS AppSync | `AWS::AppSync::ApiCache`, `AWS::AppSync::GraphQLApi` |
| AWS Backup | `AWS::Backup::RecoveryPoint` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| AWS CodeBuild | `AWS::CodeBuild::Project`, `AWS::CodeBuild::ReportGroup` |
| Amazon Cognito | `AWS::Cognito::IdentityPool`, `AWS::Cognito::UserPool` |
| Amazon Connect | `AWS::Connect::Instance` |
| AWS DataSync | `AWS::DataSync::Task` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask` |
| Amazon DynamoDB | `AWS::DynamoDB::Table` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::SnapshotBlockPublicAccess`, `AWS::EC2::SpotFleet`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPCBlockPublicAccessOptions`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::Repository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::CapacityProvider`, `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`, `AWS::ECS::TaskSet` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint`, `AWS::EFS::FileSystem` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer` |
| ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EMR | `AWS::EMR::SecurityConfiguration` |
| AWS Glue | `AWS::Glue::Job`, `AWS::Glue::MLTransform` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Key` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon Managed Streaming for Apache Kafka (Amazon MSK) | `AWS::MSK::Cluster`, `AWS::KafkaConnect::Connector` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| OpenSearch Layanan Amazon | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBProxy`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup` |
| Amazon Redshift Tanpa Server | `AWS::RedshiftServerless::Workgroup` |
| Amazon Route 53 | `AWS::Route53::HostedZone` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`, `AWS::S3::MultiRegionAccessPoint`, `AWS::S3Express::DirectoryBucket` |
| Amazon SageMaker AI | `AWS::SageMaker::Model`, `AWS::SageMaker::NotebookInstance` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service (Amazon SQS) | `AWS::SQS::Queue` |
| AWS Secrets Manager | `AWS::SecretsManager::Secret` |
| AWS Step Functions | `AWS::StepFunctions::StateMachine` |
| AWS Transfer Family | `AWS::Transfer::Connector` |
| AWS WAF | `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL` |
| Amazon WorkSpaces | `AWS::WorkSpaces::WorkSpace` |
## Sumber daya yang dibutuhkan untuk Tolok Ukur AWS Yayasan CIS
Untuk menjalankan pemeriksaan keamanan untuk kontrol yang diaktifkan yang berlaku untuk Tolok Ukur AWS Yayasan Center for Internet Security (CIS), Security Hub CSPM berjalan melalui langkah-langkah audit yang tepat yang ditentukan untuk pemeriksaan atau menggunakan aturan terkelola tertentu. AWS Config Untuk informasi tentang standar ini di Security Hub CSPM, lihat. [Tolok Ukur AWS Yayasan CIS di Security Hub CSPM](cis-aws-foundations-benchmark.md)
### Sumber daya yang diperlukan untuk CIS v5.0.0
Agar CSPM Security Hub melaporkan temuan secara akurat untuk kontrol yang dipicu perubahan CIS v5.0.0 yang diaktifkan yang menggunakan AWS Config aturan, Anda harus mencatat jenis sumber daya berikut ini. AWS Config
| Layanan AWS | Jenis sumber daya |
| --- | --- |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::FileSystem` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBInstance`, `AWS::RDS::DBCluster` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` |
### Sumber daya yang diperlukan untuk CIS v3.0.0
Agar CSPM Security Hub melaporkan temuan secara akurat untuk kontrol yang dipicu perubahan CIS v3.0.0 yang diaktifkan yang menggunakan AWS Config aturan, Anda harus mencatat jenis sumber daya berikut ini. AWS Config
| Layanan AWS | Jenis sumber daya |
| --- | --- |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBInstance` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` |
### Sumber daya yang dibutuhkan untuk CIS v1.4.0
Agar CSPM Security Hub melaporkan temuan secara akurat untuk kontrol yang dipicu perubahan CIS v1.4.0 yang diaktifkan yang menggunakan AWS Config aturan, Anda harus mencatat jenis sumber daya berikut ini. AWS Config
| Layanan AWS | Jenis sumber daya |
| --- | --- |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBInstance` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` |
### Sumber daya yang diperlukan untuk CIS v1.2.0
Agar CSPM Security Hub melaporkan temuan secara akurat untuk kontrol yang dipicu perubahan CIS v1.2.0 yang diaktifkan yang menggunakan AWS Config aturan, Anda harus mencatat jenis sumber daya berikut. AWS Config
| Layanan AWS | Jenis sumber daya |
| --- | --- |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::SecurityGroup` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` |
## Sumber daya yang diperlukan untuk standar NIST SP 800-53 Revisi 5
Agar CSPM Security Hub melaporkan temuan secara akurat untuk kontrol yang dipicu perubahan yang berlaku pada standar NIST SP 800-53 Revisi 5, diaktifkan, dan menggunakan AWS Config aturan, Anda harus mencatat jenis sumber daya berikut. AWS Config Untuk informasi tentang standar ini, lihat[NIST SP 800-53 Revisi 5 di Security Hub CSPM](standards-reference-nist-800-53.md).
| Layanan AWS | Jenis sumber daya |
| --- | --- |
| Amazon API Gateway | `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage` |
| AWS AppSync | `AWS::AppSync::GraphQLApi` |
| AWS Backup | `AWS::Backup::RecoveryPoint` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| AWS CodeBuild | `AWS::CodeBuild::Project` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask` |
| Amazon DynamoDB | `AWS::DynamoDB::Table` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::Repository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer` |
| Amazon ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EMR | `AWS::EMR::SecurityConfiguration` |
| Amazon EventBridge | `AWS::Events::Endpoint`, `AWS::Events::EventBus` |
| AWS Glue | `AWS::Glue::Job` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon Managed Streaming for Apache Kafka (Amazon MSK) | `AWS::MSK::Cluster` |
| Amazon MQ | `AWS::AmazonMQ::Broker` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| OpenSearch Layanan Amazon | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup` |
| Amazon Route 53 | `AWS::Route53::HostedZone` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket` |
| AWS Service Catalog | `AWS::ServiceCatalog::Portfolio` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service (Amazon SQS) | `AWS::SQS::Queue` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
| Amazon SageMaker AI | `AWS::SageMaker::NotebookInstance` |
| AWS Secrets Manager | `AWS::SecretsManager::Secret` |
| AWS Transfer Family | `AWS::Transfer::Connector` |
| AWS WAF | `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL` |
## Sumber daya yang diperlukan untuk standar NIST SP 800-171 Revisi 2
Agar CSPM Security Hub melaporkan temuan secara akurat untuk kontrol yang dipicu perubahan yang berlaku pada standar NIST SP 800-171 Revisi 2, diaktifkan, dan menggunakan AWS Config aturan, Anda harus mencatat jenis sumber daya berikut. AWS Config Untuk informasi tentang standar ini, lihat[NIST SP 800-171 Revisi 2 di Security Hub CSPM](standards-reference-nist-800-171.md).
| Layanan AWS | Jenis sumber daya |
| --- | --- |
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` |
| Amazon API Gateway | `AWS::ApiGateway::Stage` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| Awan Komputasi Elastis Amazon (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` |
| AWS Identity and Access Management(IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| Layanan Penyimpanan Sederhana Amazon (Amazon S3) | `AWS::S3::Bucket` |
| Layanan Pemberitahuan Sederhana Amazon (Amazon SNS) | `AWS::SNS::Topic` |
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` |
| AWS WAF | `AWS::WAFv2::RuleGroup` |
## Sumber daya yang dibutuhkan untuk PCI DSS v3.2.1
Agar CSPM Security Hub melaporkan temuan secara akurat untuk kontrol yang berlaku untuk v3.2.1 Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS), diaktifkan, dan menggunakan AWS Config aturan, Anda harus mencatat jenis sumber daya berikut. AWS Config Untuk informasi tentang standar ini, lihat[PCI DSS di Security Hub CSPM](pci-standard.md).
| Layanan AWS | Jenis sumber daya |
| --- | --- |
| AWS CodeBuild | `AWS::CodeBuild::Project` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::SecurityGroup` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| AWS Lambda | `AWS::Lambda::Function` |
| OpenSearch Layanan Amazon | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot` |
| Amazon Redshift | `AWS::Redshift::Cluster` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
## Sumber daya yang diperlukan untuk standar Penandaan AWS Sumber Daya
Semua kontrol yang berlaku untuk standar AWS Resource Tagging dipicu perubahan dan menggunakan AWS Config aturan. Agar CSPM Security Hub melaporkan temuan untuk kontrol ini secara akurat, Anda harus mencatat jenis sumber daya berikut. AWS Config Untuk informasi tentang standar ini, lihat[AWS Standar Penandaan Sumber Daya di Security Hub CSPM](standards-tagging.md).
| Layanan AWS | Jenis sumber daya |
| --- | --- |
| AWS Amplify | `AWS::Amplify::App`, `AWS::Amplify::Branch` |
| Amazon AppFlow | `AWS::AppFlow::Flow` |
| AWS App Runner | `AWS::AppRunner::Service`, `AWS::AppRunner::VpcConnector` |
| AWS AppConfig | `AWS::AppConfig::Application`, `AWS::AppConfig::ConfigurationProfile`, `AWS::AppConfig::Environment`, `AWS::AppConfig::ExtensionAssociation` |
| AWS AppSync | `AWS::AppSync::GraphQLApi` |
| Amazon Athena | `AWS::Athena::DataCatalog`, `AWS::Athena::WorkGroup` |
| AWS Backup | `AWS::Backup::BackupPlan`, `AWS::Backup::BackupVault`, `AWS::Backup::RecoveryPlan`, `AWS::Backup::ReportPlan` |
| AWS Batch | `AWS::Batch::ComputeEnvironment`, `AWS::Batch::JobQueue`, `AWS::Batch::SchedulingPolicy` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| AWS CloudTrail | `AWS::CloudTrail::Trail` |
| AWS CodeArtifact | `AWS::CodeArtifact::Repository` |
| Amazon CodeGuru | `AWS::CodeGuruProfiler::ProfilingGroup`, `AWS::CodeGuruReviewer::RepositoryAssociation` |
| Amazon Connect | `AWS::CustomerProfiles::ObjectType` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Certificate`, `AWS::DMS::EventSubscription` `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationSubnetGroup` |
| AWS DataSync | `AWS::DataSync::Task` |
| Amazon Detective | `AWS::Detective::Graph` |
| Amazon DynamoDB | `AWS::DynamoDB::Trail` |
| Amazon Elastic Compute Cloud (EC2) | `AWS::EC2::CustomerGateway`, `AWS::EC2::DHCPOptions`, `AWS::EC2::EIP`, `AWS::EC2::FlowLog`, `AWS::EC2::Instance`, `AWS::EC2::InternetGateway`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NatGateway`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::PrefixList`, `AWS::EC2::RouteTable`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TrafficMirrorFilter`, `AWS::EC2::TrafficMirrorSession`, `AWS::EC2::TrafficMirrorTarget`, `AWS::EC2::TransitGateway`, `AWS::EC2::TransitGatewayAttachment`, `AWS::EC2::TransitGatewayRouteTable`, `AWS::EC2::Volume`, `AWS::EC2::VPC`, `AWS::EC2::VPCEndpointService`, `AWS::EC2::VPCPeeringConnection`, `AWS::EC2::VPNGateway` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::PublicRepository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster`, `AWS::EKS::IdentityProviderConfig` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EventBridge | `AWS::Events::EventBus` |
| Amazon Fraud Detector | `AWS::FraudDetector::EntityType`, `AWS::FraudDetector::Label` `AWS::FraudDetector::Outcome`, `AWS::FraudDetector::Variable` |
| AWS Global Accelerator | `AWS::GlobalAccelerator::Accelerator` |
| AWS Glue | `AWS::Glue::Job` |
| Amazon GuardDuty | `AWS::GuardDuty::Detector`, `AWS::GuardDuty::Filter`, `AWS::GuardDuty::IPSet` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Role`, `AWS::IAM::User` |
| AWS Identity and Access Management Access Analyzer (Penganalisis Akses IAM) | `AWS::AccessAnalyzer::Analyzer` |
| AWS IoT | `AWS::IoT::Authorizer`, `AWS::IoT::Dimension`, `AWS::IoT::MitigationAction`, `AWS::IoT::Policy`, `AWS::IoT::RoleAlias`, `AWS::IoT::SecurityProfile` |
| AWS IoT Acara | `AWS::IoTEvents::AlarmModel`, `AWS::IoTEvents::DetectorModel`, `AWS::IoTEvents::Input` |
| AWS IoT SiteWise | `AWS::IoTSiteWise::Dashboard`, `AWS::IoTSiteWise::Gateway`, `AWS::IoTSiteWise::Portal`, `AWS::IoTSiteWise::Project` |
| AWS IoT TwinMaker | `AWS::IoTTwinMaker::Entity`, `AWS::IoTTwinMaker::Scene`, `AWS::IoTTwinMaker::SyncJob`, `AWS::IoTTwinMaker::Workspace` |
| AWS IoT Nirkabel | `AWS::IoTWireless::FuotaTask`, `AWS::IoTWireless::MulticastGroup`, `AWS::IoTWireless::ServiceProfile` |
| Amazon Interactive Video Service (Amazon IVS) | `AWS::IVS::Channel`, `AWS::IVS::PlaybackKeyPair`, `AWS::IVS::RecordingConfiguration` |
| Amazon Keyspaces (untuk Apache Cassandra) | `AWS::Cassandra::Keyspace` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon MQ | `AWS::AmazonMQ::Broker` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy` |
| OpenSearch Layanan Amazon | `AWS::OpenSearch::Domain` |
| AWS Private Certificate Authority | `AWS::ACMPCA::CertificateAuthority` |
| Amazon Relational Database Service | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSecurityGroup`, `AWS::RDS::DBSnapshot`, `AWS::RDS::DBSubnetGroup` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterParameterGroup`, `AWS::Redshift::ClusterSnapshot`, `AWS::Redshift::ClusterSubnetGroup`, `AWS::Redshift::EventSubscription` |
| Amazon Route 53 | `AWS::Route53::HealthCheck` |
| Amazon SageMaker AI | `AWS::SageMaker::AppImageConfig`, `AWS::SageMaker::Image` |
| AWS Secrets Manager | `AWS::SecretsManager::Secret` |
| Amazon Simple Email Service (Amazon SES) | `AWS::SES::ConfigurationSet`, `AWS::SES::ContactList` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service (Amazon SQS) | `AWS::SQS::Queue` |
| AWS Step Functions | `AWS::StepFunctions::Activity` |
| AWS Systems Manager (SSM) | `AWS::SSM::Document` |
| AWS Transfer Family | `AWS::Transfer::Agreement`, `AWS::Transfer::Certificate`, `AWS::Transfer::Connector`, `AWS::Transfer::Profile`, `AWS::Transfer::Workflow` |
# Jadwal untuk menjalankan pemeriksaan keamanan
Setelah Anda mengaktifkan standar keamanan, AWS Security Hub CSPM mulai menjalankan semua pemeriksaan dalam waktu dua jam. Sebagian besar pemeriksaan mulai berjalan dalam waktu 25 menit. Security Hub CSPM menjalankan pemeriksaan dengan mengevaluasi aturan yang mendasari kontrol. Sampai kontrol menyelesaikan pemeriksaan pertamanya, statusnya adalah **Tidak ada data**.
Saat Anda mengaktifkan standar baru, CSPM Security Hub mungkin memerlukan waktu hingga 24 jam untuk menghasilkan temuan untuk kontrol yang menggunakan aturan AWS Config terkait layanan dasar yang sama dengan kontrol yang diaktifkan dari standar lain yang diaktifkan. Misalnya, jika Anda mengaktifkan kontrol [Lambda.1](lambda-controls.md#lambda-1) dalam standar Praktik Terbaik Keamanan AWS Dasar (FSBP), Security Hub CSPM akan membuat aturan terkait layanan dan biasanya menghasilkan temuan dalam hitungan menit. Setelah ini, jika Anda mengaktifkan kontrol Lambda.1 di Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS), mungkin diperlukan waktu hingga 24 jam bagi Security Hub CSPM untuk menghasilkan temuan untuk kontrol karena menggunakan aturan terkait layanan yang sama.
Setelah pemeriksaan awal, jadwal untuk setiap kontrol dapat berupa periodik atau perubahan yang dipicu. Untuk kontrol yang didasarkan pada AWS Config aturan terkelola, deskripsi kontrol menyertakan tautan ke deskripsi aturan di *Panduan AWS Config Pengembang*. Deskripsi itu menentukan apakah aturan tersebut dipicu perubahan atau periodik.
## Pemeriksaan keamanan berkala
Pemeriksaan keamanan berkala berjalan secara otomatis dalam waktu 12 atau 24 jam setelah proses terbaru. Security Hub CSPM menentukan periodisitas, dan Anda tidak dapat mengubahnya. Kontrol periodik mencerminkan evaluasi pada saat pemeriksaan berjalan.
Jika Anda memperbarui status alur kerja dari temuan kontrol berkala, dan kemudian pada pemeriksaan berikutnya status kepatuhan temuan tetap sama, status alur kerja tetap dalam status yang diubah. Misalnya, jika Anda memiliki temuan gagal untuk kontrol [KMS.4](kms-controls.md#kms-4) (*AWS KMS key rotasi harus diaktifkan*), dan kemudian memulihkan temuan, Security Hub CSPM mengubah status alur kerja dari ke. `NEW` `RESOLVED` Jika Anda menonaktifkan rotasi kunci KMS sebelum pemeriksaan berkala berikutnya, status alur kerja temuan tetap ada. `RESOLVED`
Pemeriksaan yang menggunakan fungsi Lambda kustom Security Hub CSPM bersifat periodik.
## Pemeriksaan keamanan yang dipicu perubahan
Pemeriksaan keamanan yang dipicu perubahan berjalan saat sumber daya terkait mengubah status. AWS Config memungkinkan Anda memilih antara *perekaman terus menerus* dari perubahan status sumber daya dan *perekaman harian*. Jika Anda memilih perekaman harian, AWS Config mengirimkan data konfigurasi sumber daya pada akhir setiap periode 24 jam jika ada perubahan status sumber daya. Jika tidak ada perubahan, tidak ada data yang dikirimkan. Hal ini dapat menunda pembuatan temuan CSPM Security Hub hingga periode 24 jam selesai. Terlepas dari periode perekaman yang Anda pilih, Security Hub CSPM memeriksa setiap 18 jam untuk memastikan tidak ada pembaruan sumber daya yang AWS Config terlewatkan.
Secara umum, Security Hub CSPM menggunakan aturan yang dipicu perubahan bila memungkinkan. Agar sumber daya menggunakan aturan yang dipicu perubahan, ia harus mendukung item AWS Config konfigurasi.
# Menghasilkan dan memperbarui temuan kontrol
AWS Security Hub CSPM menghasilkan dan memperbarui temuan kontrol saat menjalankan pemeriksaan terhadap kontrol keamanan. Temuan kontrol menggunakan [AWS Security Finding Format (ASFF)](securityhub-findings-format.md).
Security Hub CSPM biasanya mengenakan biaya untuk setiap pemeriksaan keamanan untuk kontrol. Namun, jika beberapa kontrol menggunakan AWS Config aturan yang sama, CSPM Security Hub hanya mengenakan biaya sekali untuk setiap pemeriksaan terhadap aturan. Misalnya, AWS Config `iam-password-policy` aturan ini digunakan oleh beberapa kontrol dalam standar Tolok Ukur AWS Yayasan CIS dan standar Praktik Terbaik Keamanan AWS Dasar. Setiap kali Security Hub CSPM menjalankan pemeriksaan terhadap aturan itu, itu menghasilkan temuan kontrol terpisah untuk setiap kontrol terkait, tetapi hanya mengenakan biaya sekali untuk pemeriksaan.
Jika ukuran temuan kontrol melebihi maksimum 240 KB, Security Hub CSPM menghapus `Resource.Details` objek dari temuan. Untuk kontrol yang didukung oleh AWS Config sumber daya, Anda dapat meninjau detail sumber daya menggunakan AWS Config konsol.
**Topics**
+ [
## Temuan kontrol terkonsolidasi
](#consolidated-control-findings)
+ [
## Menghasilkan, memperbarui, dan mengarsipkan temuan kontrol
](#securityhub-standards-results-updating)
+ [
## Otomatisasi dan penindasan temuan kontrol
](#automation-control-findings)
+ [
## Detail kepatuhan untuk temuan kontrol
](#control-findings-asff-compliance)
+ [
## ProductFields rincian untuk temuan kontrol
](#control-findings-asff-productfields)
+ [
## Tingkat keparahan untuk temuan kontrol
](#control-findings-severity)
## Temuan kontrol terkonsolidasi
Jika temuan kontrol konsolidasi diaktifkan untuk akun Anda, Security Hub CSPM menghasilkan satu temuan atau pembaruan pencarian untuk setiap pemeriksaan keamanan kontrol, bahkan jika kontrol berlaku untuk beberapa standar yang diaktifkan. Untuk daftar kontrol dan standar yang mereka terapkan, lihat[Referensi kontrol untuk Security Hub CSPM](securityhub-controls-reference.md). Kami merekomendasikan untuk mengaktifkan temuan kontrol terkonsolidasi untuk mengurangi kebisingan temuan.
Jika Anda mengaktifkan CSPM Security Hub Akun AWS sebelum 23 Februari 2023, Anda dapat mengaktifkan temuan kontrol konsolidasi dengan mengikuti petunjuk nanti di bagian ini. Jika Anda mengaktifkan CSPM Security Hub pada atau setelah 23 Februari 2023, temuan kontrol konsolidasi diaktifkan secara otomatis untuk akun Anda.
Jika Anda menggunakan [integrasi CSPM Security Hub dengan AWS Organizations](securityhub-accounts-orgs.md) atau akun anggota yang diundang melalui [proses undangan manual](account-management-manual.md), temuan kontrol konsolidasi diaktifkan untuk akun anggota hanya jika diaktifkan untuk akun administrator. Jika fitur dinonaktifkan untuk akun administrator, itu dinonaktifkan untuk akun anggota. Perilaku ini berlaku untuk akun anggota baru dan yang sudah ada. Selain itu, jika administrator menggunakan [konfigurasi pusat](central-configuration-intro.md) untuk mengelola CSPM Security Hub untuk beberapa akun, mereka tidak dapat menggunakan kebijakan konfigurasi pusat untuk mengaktifkan atau menonaktifkan temuan kontrol konsolidasi untuk akun.
Jika Anda menonaktifkan temuan kontrol konsolidasi untuk akun Anda, Security Hub CSPM akan menghasilkan atau memperbarui temuan kontrol terpisah untuk setiap standar yang diaktifkan yang menyertakan kontrol. Misalnya, jika Anda mengaktifkan empat standar yang berbagi kontrol, Anda menerima empat temuan terpisah setelah pemeriksaan keamanan untuk kontrol. Jika Anda mengaktifkan temuan kontrol terkonsolidasi, Anda hanya menerima satu temuan.
Saat Anda mengaktifkan temuan kontrol terkonsolidasi, Security Hub CSPM menciptakan temuan agnostik standar baru dan mengarsipkan temuan berbasis standar asli. Beberapa bidang dan nilai pencarian kontrol akan berubah, yang mungkin memengaruhi alur kerja Anda yang ada. Untuk informasi tentang perubahan ini, lihat[Temuan kontrol konsolidasi - perubahan ASFF](asff-changes-consolidation.md#securityhub-findings-format-consolidated-control-findings). Mengaktifkan temuan kontrol konsolidasi juga dapat memengaruhi temuan yang diterima produk pihak ketiga terintegrasi dari Security Hub CSPM. Jika Anda menggunakan [Respons Keamanan Otomatis pada solusi AWS v2.0.0](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/), perhatikan bahwa solusi ini mendukung temuan kontrol terkonsolidasi.
Untuk mengaktifkan atau menonaktifkan temuan kontrol konsolidasi, Anda harus masuk ke akun administrator atau akun mandiri.
**catatan**
Setelah Anda mengaktifkan temuan kontrol konsolidasi, dibutuhkan waktu hingga 24 jam bagi Security Hub CSPM untuk menghasilkan temuan konsolidasi baru dan mengarsipkan temuan berbasis standar yang ada. Demikian pula, setelah menonaktifkan temuan kontrol konsolidasi, dibutuhkan waktu hingga 24 jam bagi Security Hub CSPM untuk menghasilkan temuan berbasis standar baru dan mengarsipkan temuan konsolidasi yang ada. Selama masa-masa ini, Anda mungkin melihat campuran temuan agnostik standar dan berbasis standar di akun Anda.
------
#### [ Security Hub CSPM console ]
**Untuk mengaktifkan atau menonaktifkan temuan kontrol terkonsolidasi**
1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Di panel navigasi, pada **Pengaturan**, pilih **Umum**.
1. Di bagian **Kontrol**, pilih **Edit**.
1. Gunakan sakelar **temuan kontrol Konsolidasi** untuk mengaktifkan atau menonaktifkan temuan kontrol terkonsolidasi.
1. Pilih **Simpan**.
------
#### [ Security Hub CSPM API ]
Untuk mengaktifkan atau menonaktifkan temuan kontrol terkonsolidasi secara terprogram, gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html)pengoperasian Security Hub CSPM API. Atau, jika Anda menggunakan AWS CLI, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html)perintah.
Untuk `control-finding-generator` parameter, tentukan `SECURITY_CONTROL` untuk mengaktifkan temuan kontrol terkonsolidasi. Untuk menonaktifkan temuan kontrol konsolidasi, tentukan`STANDARD_CONTROL`.
Misalnya, AWS CLI perintah berikut memungkinkan temuan kontrol terkonsolidasi.
```
$ aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL
```
AWS CLI Perintah berikut menonaktifkan temuan kontrol konsolidasi.
```
$ aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL
```
------
## Menghasilkan, memperbarui, dan mengarsipkan temuan kontrol
[Security Hub CSPM menjalankan pemeriksaan keamanan sesuai jadwal.](securityhub-standards-schedule.md) Pertama kali Security Hub CSPM menjalankan pemeriksaan keamanan untuk kontrol, ini menghasilkan temuan baru untuk setiap AWS sumber daya yang diperiksa kontrol. Setiap kali Security Hub CSPM kemudian menjalankan pemeriksaan keamanan untuk kontrol, itu memperbarui temuan yang ada untuk melaporkan hasil pemeriksaan. Ini berarti Anda dapat menggunakan data yang disediakan oleh temuan individu untuk melacak perubahan kepatuhan untuk sumber daya tertentu terhadap kontrol tertentu.
Misalnya, jika status kepatuhan sumber daya berubah dari `FAILED` ke `PASSED` untuk kontrol tertentu, Security Hub CSPM tidak menghasilkan temuan baru. Sebagai gantinya, Security Hub CSPM memperbarui temuan yang ada untuk kontrol dan sumber daya. Dalam temuan tersebut, Security Hub CSPM mengubah nilai untuk bidang status kepatuhan (`Compliance.Status`) menjadi. `PASSED` Security Hub CSPM juga memperbarui nilai untuk bidang tambahan untuk mencerminkan hasil pemeriksaan—misalnya, label tingkat keparahan, status alur kerja, dan stempel waktu yang menunjukkan kapan Security Hub CSPM baru-baru ini menjalankan pemeriksaan dan memperbarui temuan.
Saat melaporkan perubahan status kepatuhan, CSPM Security Hub dapat memperbarui salah satu bidang berikut dalam temuan kontrol:
+ `Compliance.Status`— Status kepatuhan baru dari sumber daya untuk kontrol yang ditentukan.
+ `FindingProviderFields.Severity.Label`Representasi kualitatif baru dari tingkat keparahan temuan, seperti, `LOW``MEDIUM`, atau`HIGH`.
+ `FindingProviderFields.Severity.Original`— Representasi kuantitatif baru dari tingkat keparahan temuan, seperti `0` untuk sumber daya yang sesuai.
+ `FirstObservedAt`— Ketika status kepatuhan sumber daya baru-baru ini berubah.
+ `LastObservedAt`— Ketika Security Hub CSPM baru-baru ini menjalankan pemeriksaan keamanan untuk kontrol dan sumber daya yang ditentukan.
+ `ProcessedAt`— Ketika Security Hub CSPM baru-baru ini mulai memproses temuan tersebut.
+ `ProductFields.PreviousComplianceStatus`— Status kepatuhan sebelumnya (`Compliance.Status`) dari sumber daya untuk kontrol yang ditentukan.
+ `UpdatedAt`— Ketika Security Hub CSPM terbaru memperbarui temuan.
+ `Workflow.Status`— Status investigasi terhadap temuan, berdasarkan status kepatuhan baru sumber daya untuk kontrol yang ditentukan.
Apakah Security Hub CSPM memperbarui bidang tergantung terutama pada hasil pemeriksaan keamanan terbaru untuk kontrol dan sumber daya yang berlaku. Misalnya, jika status kepatuhan sumber daya berubah dari `PASSED` ke `FAILED` untuk kontrol tertentu, CSPM Security Hub mengubah status alur kerja temuan menjadi. `NEW` Untuk melacak pembaruan temuan individu, Anda dapat merujuk ke riwayat temuan. Untuk detail tentang bidang individual dalam temuan, lihat [AWS Security Finding Format (ASFF)](securityhub-findings-format.md).
Dalam kasus tertentu, Security Hub CSPM menghasilkan temuan baru untuk pemeriksaan selanjutnya dengan kontrol, alih-alih memperbarui temuan yang ada. Ini dapat terjadi jika ada masalah dengan AWS Config aturan yang mendukung kontrol. Jika ini terjadi, Security Hub CSPM mengarsipkan temuan yang ada dan menghasilkan temuan baru untuk setiap pemeriksaan. Dalam temuan baru, status kepatuhan adalah `NOT_AVAILABLE` dan status catatan adalah`ARCHIVED`. Setelah Anda mengatasi masalah dengan AWS Config aturan, Security Hub CSPM menghasilkan temuan baru dan mulai memperbaruinya untuk melacak perubahan berikutnya pada status kepatuhan sumber daya individu.
Selain menghasilkan dan memperbarui temuan kontrol, Security Hub CSPM secara otomatis mengarsipkan temuan kontrol yang memenuhi kriteria tertentu. Security Hub CSPM mengarsipkan temuan jika kontrol dinonaktifkan, sumber daya yang ditentukan dihapus, atau sumber daya yang ditentukan tidak ada lagi. Sumber daya mungkin tidak ada lagi karena layanan terkait tidak lagi digunakan. Lebih khusus lagi, Security Hub CSPM secara otomatis mengarsipkan temuan kontrol jika temuan tersebut memenuhi salah satu kriteria berikut:
+ Temuan ini belum diperbarui selama 3-5 hari. Perhatikan bahwa arsip berdasarkan kerangka waktu ini adalah upaya terbaik dan tidak dijamin.
+ AWS Config Evaluasi terkait dikembalikan `NOT_APPLICABLE` untuk status kepatuhan sumber daya yang ditentukan.
Untuk menentukan apakah suatu temuan diarsipkan, Anda dapat merujuk ke bidang record state (`RecordState`) dari temuan tersebut. Jika temuan diarsipkan, nilai untuk bidang ini adalah`ARCHIVED`.
Security Hub CSPM menyimpan temuan kontrol yang diarsipkan selama 30 hari. Setelah 30 hari, temuan berakhir dan Security Hub CSPM menghapusnya secara permanen. Untuk menentukan apakah temuan kontrol yang diarsipkan telah kedaluwarsa, Security Hub CSPM mendasarkan perhitungannya pada nilai untuk `UpdatedAt` bidang temuan.
Untuk menyimpan temuan kontrol yang diarsipkan selama lebih dari 30 hari, Anda dapat mengekspor temuan ke ember S3. Anda dapat melakukan ini dengan menggunakan tindakan kustom dengan EventBridge aturan Amazon. Untuk informasi selengkapnya, lihat [Menggunakan EventBridge untuk respon otomatis dan remediasi](securityhub-cloudwatch-events.md).
**catatan**
Sebelum 3 Juli 2025, Security Hub CSPM menghasilkan dan memperbarui temuan kontrol secara berbeda ketika status kepatuhan sumber daya berubah untuk kontrol. Sebelumnya, Security Hub CSPM membuat temuan kontrol baru dan mengarsipkan temuan yang ada untuk sumber daya. Oleh karena itu, Anda mungkin memiliki beberapa temuan yang diarsipkan untuk kontrol dan sumber daya tertentu sampai temuan tersebut kedaluwarsa (setelah 30 hari).
## Otomatisasi dan penindasan temuan kontrol
Anda dapat menggunakan aturan otomatisasi CSPM Security Hub untuk memperbarui atau menekan temuan kontrol tertentu. Jika Anda menekan temuan, Anda dapat terus mengaksesnya. Namun, penindasan menunjukkan keyakinan Anda bahwa tidak ada tindakan yang diperlukan untuk mengatasi temuan tersebut.
Dengan menekan temuan, Anda dapat mengurangi kebisingan temuan. Misalnya, Anda mungkin menekan temuan kontrol yang dihasilkan di akun pengujian. Atau, Anda mungkin menekan temuan yang terkait dengan sumber daya tertentu. Untuk mempelajari lebih lanjut tentang memperbarui atau menekan temuan secara otomatis, lihat[Memahami aturan otomatisasi di Security Hub CSPM](automation-rules.md).
Aturan otomatisasi sesuai ketika Anda ingin memperbarui atau menekan temuan kontrol tertentu. Namun, jika kontrol tidak relevan dengan organisasi atau kasus penggunaan Anda, sebaiknya [nonaktifkan](disable-controls-overview.md) kontrol. Jika Anda menonaktifkan kontrol, Security Hub CSPM tidak menjalankan pemeriksaan keamanan untuk itu dan Anda tidak dikenakan biaya untuk itu.
## Detail kepatuhan untuk temuan kontrol
Dalam temuan yang dihasilkan oleh pemeriksaan keamanan untuk kontrol, objek [Kepatuhan](asff-top-level-attributes.md#asff-compliance) dan bidang dalam AWS Security Finding Format (ASFF) memberikan rincian kepatuhan untuk sumber daya individu yang diperiksa oleh kontrol. Ini termasuk informasi berikut:
+ `AssociatedStandards`— Standar yang diaktifkan di mana kontrol diaktifkan.
+ `RelatedRequirements`— Persyaratan terkait untuk kontrol di semua standar yang diaktifkan. Persyaratan ini berasal dari kerangka keamanan pihak ketiga untuk kontrol, seperti Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) atau standar NIST SP 800-171 Revisi 2.
+ `SecurityControlId`— Pengidentifikasi untuk kontrol di seluruh standar yang didukung Security Hub CSPM.
+ `Status`— Hasil pemeriksaan terbaru bahwa Security Hub CSPM berjalan untuk kontrol. Hasil pemeriksaan sebelumnya dipertahankan dalam sejarah temuan.
+ `StatusReasons`— Array yang mencantumkan alasan untuk nilai yang ditentukan oleh `Status` bidang. Untuk setiap alasan, ini termasuk kode alasan dan deskripsi.
Tabel berikut mencantumkan kode alasan dan deskripsi bahwa temuan mungkin termasuk dalam `StatusReasons` array. Langkah-langkah remediasi bervariasi berdasarkan kontrol mana yang menghasilkan temuan dengan kode alasan tertentu. Untuk meninjau panduan remediasi untuk kontrol, lihat. [Referensi kontrol untuk Security Hub CSPM](securityhub-controls-reference.md)
| Kode alasan | Status kepatuhan | Deskripsi |
| --- | --- | --- |
| `CLOUDTRAIL_METRIC_FILTER_NOT_VALID` | `FAILED` | CloudTrail Jejak Multi-wilayah tidak memiliki filter metrik yang valid. |
| `CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT` | `FAILED` | Filter metrik tidak ada untuk CloudTrail jejak Multi-wilayah. |
| `CLOUDTRAIL_MULTI_REGION_NOT_PRESENT` | `FAILED` | Akun tidak memiliki CloudTrail jejak Multi-wilayah dengan konfigurasi yang diperlukan. |
| `CLOUDTRAIL_REGION_INVAILD` | `WARNING` | CloudTrail Jalur Multi-Region tidak berada di Wilayah saat ini. |
| `CLOUDWATCH_ALARM_ACTIONS_NOT_VALID` | `FAILED` | Tidak ada tindakan alarm yang valid. |
| `CLOUDWATCH_ALARMS_NOT_PRESENT` | `FAILED` | CloudWatch alarm tidak ada di akun. |
| `CONFIG_ACCESS_DENIED` | `NOT_AVAILABLE` AWS Config Status adalah `ConfigError` | AWS Config akses ditolak. Verifikasi bahwa AWS Config diaktifkan dan telah diberikan izin yang cukup. |
| `CONFIG_EVALUATIONS_EMPTY` | `PASSED` | AWS Config mengevaluasi sumber daya Anda berdasarkan aturan. Aturan tidak berlaku untuk AWS sumber daya dalam ruang lingkupnya, sumber daya yang ditentukan dihapus, atau hasil evaluasi dihapus. |
| `CONFIG_RECORDER_CUSTOM_ROLE` | `FAILED`(untuk Config.1) | AWS Config Perekam menggunakan peran IAM khusus alih-alih peran AWS Config terkait layanan, dan parameter `includeConfigServiceLinkedRoleCheck` khusus untuk Config.1 tidak disetel ke. `false` |
| `CONFIG_RECORDER_DISABLED` | `FAILED`(untuk Config.1) | AWS Config tidak diaktifkan dengan perekam konfigurasi dihidupkan. |
| `CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES` | `FAILED`(untuk Config.1) | AWS Config tidak merekam semua jenis sumber daya yang sesuai dengan kontrol CSPM Security Hub yang diaktifkan. Aktifkan perekaman untuk sumber daya berikut:*Resources that aren't being recorded*. |
| `CONFIG_RETURNS_NOT_APPLICABLE` | `NOT_AVAILABLE` | Status kepatuhan adalah `NOT_AVAILABLE` karena AWS Config mengembalikan status **Tidak Berlaku**. AWS Config tidak memberikan alasan untuk status tersebut. Berikut adalah beberapa kemungkinan alasan untuk status **Tidak Berlaku**: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/controls-findings-create-update.html) |
| `CONFIG_RULE_EVALUATION_ERROR` | `NOT_AVAILABLE` AWS Config Status adalah `ConfigError` | Kode alasan ini digunakan untuk beberapa jenis kesalahan evaluasi. Deskripsi memberikan informasi alasan spesifik. Jenis kesalahan dapat berupa salah satu dari yang berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/controls-findings-create-update.html) |
| `CONFIG_RULE_NOT_FOUND` | `NOT_AVAILABLE` AWS Config Status adalah `ConfigError` | AWS Config Aturannya sedang dalam proses diciptakan. |
| `INTERNAL_SERVICE_ERROR` | `NOT_AVAILABLE` | Terjadi kesalahan yang tidak diketahui. |
| `LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE` | `FAILED` | Security Hub CSPM tidak dapat melakukan pemeriksaan terhadap runtime Lambda kustom. |
| `S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION` | `WARNING` | Temuan ini dalam `WARNING` keadaan karena bucket S3 yang dikaitkan dengan aturan ini berada di Wilayah atau akun yang berbeda. Aturan ini tidak mendukung pemeriksaan lintas wilayah atau lintas akun. Disarankan agar Anda menonaktifkan kontrol ini di Wilayah atau akun ini. Jalankan saja di Wilayah atau akun tempat sumber daya berada. |
| `SNS_SUBSCRIPTION_NOT_PRESENT` | `FAILED` | Filter metrik CloudWatch Log tidak memiliki langganan Amazon SNS yang valid. |
| `SNS_TOPIC_CROSS_ACCOUNT` | `WARNING` | Temuan itu dalam `WARNING` keadaan. Topik SNS yang terkait dengan aturan ini dimiliki oleh akun yang berbeda. Akun saat ini tidak dapat memperoleh informasi berlangganan. Akun yang memiliki topik SNS harus memberikan `sns:ListSubscriptionsByTopic` izin kepada akun saat ini untuk topik SNS. |
| `SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION` | `WARNING` | Temuan ini dalam `WARNING` keadaan karena topik SNS yang terkait dengan aturan ini berada di Wilayah atau akun yang berbeda. Aturan ini tidak mendukung pemeriksaan lintas wilayah atau lintas akun. Disarankan agar Anda menonaktifkan kontrol ini di Wilayah atau akun ini. Jalankan saja di Wilayah atau akun tempat sumber daya berada. |
| `SNS_TOPIC_INVALID` | `FAILED` | Topik SNS yang terkait dengan aturan ini tidak valid. |
| `THROTTLING_ERROR` | `NOT_AVAILABLE` | Operasi API yang relevan melebihi tarif yang diizinkan. |
## ProductFields rincian untuk temuan kontrol
Dalam temuan yang dihasilkan oleh pemeriksaan keamanan untuk kontrol, [ProductFields](asff-top-level-attributes.md#asff-productfields)atribut dalam AWS Security Finding Format (ASFF) dapat menyertakan bidang berikut.
`ArchivalReasons:0/Description`
Menjelaskan mengapa Security Hub CSPM mengarsipkan temuan.
Misalnya, CSPM Security Hub mengarsipkan temuan yang ada saat Anda menonaktifkan kontrol atau standar, atau Anda mengaktifkan atau menonaktifkan temuan kontrol [konsolidasi](#consolidated-control-findings).
`ArchivalReasons:0/ReasonCode`
Menentukan mengapa Security Hub CSPM mengarsipkan temuan.
Misalnya, CSPM Security Hub mengarsipkan temuan yang ada saat Anda menonaktifkan kontrol atau standar, atau Anda mengaktifkan atau menonaktifkan temuan kontrol [konsolidasi](#consolidated-control-findings).
`PreviousComplianceStatus`
Status kepatuhan sebelumnya (`Compliance.Status`) dari sumber daya untuk kontrol yang ditentukan, pada pembaruan terbaru untuk temuan. Jika status kepatuhan sumber daya tidak berubah selama pembaruan terbaru, nilai ini sama dengan nilai untuk `Compliance.Status` bidang temuan. Untuk daftar peluang nilai, lihat [Mengevaluasi status kepatuhan dan status kontrol](controls-overall-status.md).
`StandardsGuideArn` atau `StandardsArn`
ARN dari standar yang terkait dengan kontrol.
Untuk standar CIS AWS Foundations Benchmark, bidangnya adalah. `StandardsGuideArn` Untuk standar PCI DSS dan AWS Foundational Security Best Practices, bidangnya adalah. `StandardsArn`
Bidang ini dihapus demi `Compliance.AssociatedStandards` jika Anda mengaktifkan [temuan kontrol terkonsolidasi](#consolidated-control-findings).
`StandardsGuideSubscriptionArn` atau `StandardsSubscriptionArn`
ARN berlangganan akun ke standar.
Untuk standar CIS AWS Foundations Benchmark, bidangnya adalah. `StandardsGuideSubscriptionArn` Untuk standar PCI DSS dan AWS Foundational Security Best Practices, bidangnya adalah. `StandardsSubscriptionArn`
Bidang ini akan dihapus jika Anda mengaktifkan [temuan kontrol terkonsolidasi](#consolidated-control-findings).
`RuleId` atau `ControlId`
Pengidentifikasi untuk kontrol.
Untuk versi 1.2.0 dari standar CIS AWS Foundations Benchmark, bidangnya adalah. `RuleId` Untuk standar lain, termasuk versi berikutnya dari standar Tolok Ukur AWS Yayasan CIS, bidangnya adalah. `ControlId`
Bidang ini dihapus demi `Compliance.SecurityControlId` jika Anda mengaktifkan [temuan kontrol terkonsolidasi](#consolidated-control-findings).
`RecommendationUrl`
URL untuk informasi remediasi untuk kontrol. Bidang ini dihapus demi `Remediation.Recommendation.Url` jika Anda mengaktifkan [temuan kontrol terkonsolidasi](#consolidated-control-findings).
`RelatedAWSResources:0/name`
Nama sumber daya yang terkait dengan temuan.
`RelatedAWSResource:0/type`
Jenis sumber daya yang terkait dengan kontrol.
`StandardsControlArn`
ARN kontrol. Bidang ini dihapus jika Anda mengaktifkan [temuan kontrol konsolidasi](#consolidated-control-findings).
`aws/securityhub/ProductName`
Untuk temuan kontrol, nama produknya adalah`Security Hub`.
`aws/securityhub/CompanyName`
Untuk temuan kontrol, nama perusahaan adalah`AWS`.
`aws/securityhub/annotation`
Deskripsi masalah yang ditemukan oleh kontrol.
`aws/securityhub/FindingId`
Pengidentifikasi untuk temuan.
Bidang ini tidak mereferensikan standar jika Anda mengaktifkan [temuan kontrol terkonsolidasi](#consolidated-control-findings).
## Tingkat keparahan untuk temuan kontrol
Tingkat keparahan yang ditetapkan ke kontrol CSPM Security Hub menunjukkan pentingnya kontrol. Tingkat keparahan kontrol menentukan label keparahan yang ditetapkan untuk temuan kontrol.
### Kriteria keparahan
Tingkat keparahan kontrol ditentukan berdasarkan penilaian kriteria berikut:
+ **Seberapa sulit bagi aktor ancaman untuk memanfaatkan kelemahan konfigurasi yang terkait dengan kontrol?** Kesulitan ditentukan oleh jumlah kecanggihan atau kompleksitas yang diperlukan untuk menggunakan kelemahan untuk melakukan skenario ancaman.
+ **Seberapa besar kemungkinan kelemahan itu akan menyebabkan kompromi terhadap sumber daya Anda Akun AWS atau sumber daya?** Kompromi terhadap sumber daya Anda Akun AWS berarti kerahasiaan, integritas, atau ketersediaan data atau AWS infrastruktur Anda rusak dalam beberapa cara. Kemungkinan kompromi menunjukkan seberapa besar kemungkinan skenario ancaman akan mengakibatkan gangguan atau pelanggaran sumber daya Anda Layanan AWS atau sumber daya.
Sebagai contoh, pertimbangkan kelemahan konfigurasi berikut:
+ Kunci akses pengguna tidak diputar setiap 90 hari.
+ Kunci pengguna root IAM ada.
Kedua kelemahan sama-sama sulit untuk dimanfaatkan musuh. Dalam kedua kasus, musuh dapat menggunakan pencurian kredenal atau metode lain untuk memperoleh kunci pengguna. Mereka kemudian dapat menggunakannya untuk mengakses sumber daya Anda dengan cara yang tidak sah.
Namun, kemungkinan kompromi jauh lebih tinggi jika aktor ancaman memperoleh kunci akses pengguna root karena ini memberi mereka akses yang lebih besar. Akibatnya, kelemahan kunci pengguna root memiliki tingkat keparahan yang lebih tinggi.
Tingkat keparahannya tidak memperhitungkan kekritisan sumber daya yang mendasarinya. Kritikalitas adalah tingkat pentingnya sumber daya yang terkait dengan temuan tersebut. Misalnya, sumber daya yang terkait dengan aplikasi kritis misi lebih penting daripada sumber daya yang terkait dengan pengujian non-produksi. Untuk menangkap informasi kekritisan sumber daya, gunakan `Criticality` bidang AWS Security Finding Format (ASFF).
Tabel berikut memetakan kesulitan untuk mengeksploitasi dan kemungkinan kompromi dengan label keamanan.
| | | | | |
| --- |--- |--- |--- |--- |
| | **Kompromi sangat mungkin** | **Kemungkinan kompromi** | **Kompromi tidak mungkin** | **Kompromi sangat tidak mungkin** |
| **Sangat mudah untuk dieksploitasi** | Kritis | Kritis | Tinggi | Sedang |
| **Agak mudah untuk dieksploitasi** | Kritis | Tinggi | Sedang | Sedang |
| **Agak sulit untuk dieksploitasi** | Tinggi | Sedang | Sedang | Rendah |
| **Sangat sulit untuk dieksploitasi** | Sedang | Sedang | Rendah | Rendah |
### Definisi keparahan
Label keparahan didefinisikan sebagai berikut.
**Kritis — Masalah ini harus segera diperbaiki untuk menghindari eskalasi.**
Misalnya, bucket S3 terbuka dianggap sebagai temuan tingkat keparahan kritis. Karena begitu banyak pelaku ancaman memindai bucket S3 terbuka, data dalam bucket S3 yang terbuka kemungkinan akan ditemukan dan diakses oleh orang lain.
Secara umum, sumber daya yang dapat diakses publik dianggap sebagai masalah keamanan kritis. Anda harus memperlakukan temuan kritis dengan sangat mendesak. Anda juga harus mempertimbangkan kekritisan sumber daya.
**Tinggi — Masalah ini harus ditangani sebagai prioritas jangka pendek.**
Misalnya, jika grup keamanan VPC default terbuka untuk lalu lintas masuk dan keluar, itu dianggap tingkat keparahan tinggi. Agak mudah bagi aktor ancaman untuk mengkompromikan VPC menggunakan metode ini. Kemungkinan juga aktor ancaman akan dapat mengganggu atau mengeksfiltrasi sumber daya begitu mereka berada di VPC.
Security Hub CSPM merekomendasikan agar Anda memperlakukan temuan tingkat keparahan tinggi sebagai prioritas jangka pendek. Anda harus segera mengambil langkah-langkah remediasi. Anda juga harus mempertimbangkan kekritisan sumber daya.
**Medium — Masalah ini harus ditangani sebagai prioritas jangka menengah.**
Misalnya, kurangnya enkripsi untuk data dalam perjalanan dianggap sebagai temuan tingkat keparahan sedang. Dibutuhkan man-in-the-middle serangan canggih untuk memanfaatkan kelemahan ini. Dengan kata lain, ini agak sulit. Kemungkinan beberapa data akan dikompromikan jika skenario ancaman berhasil.
Security Hub CSPM merekomendasikan agar Anda menyelidiki sumber daya yang terlibat secepat mungkin. Anda juga harus mempertimbangkan kekritisan sumber daya.
**Rendah — Masalah ini tidak memerlukan tindakan sendiri.**
Misalnya, kegagalan untuk mengumpulkan informasi forensik dianggap tingkat keparahan rendah. Kontrol ini dapat membantu mencegah kompromi di masa depan, tetapi tidak adanya forensik tidak mengarah langsung pada kompromi.
Anda tidak perlu mengambil tindakan segera pada temuan tingkat keparahan rendah, tetapi mereka dapat memberikan konteks ketika Anda menghubungkannya dengan masalah lain.
**Informasi - Tidak ada kelemahan konfigurasi yang ditemukan.**
Dengan kata lain, statusnya adalah`PASSED`,`WARNING`, atau`NOT AVAILABLE`.
Tidak ada tindakan yang disarankan. Temuan informasi membantu pelanggan untuk menunjukkan bahwa mereka berada dalam keadaan patuh.
# Mengevaluasi status kepatuhan dan status kontrol
`Compliance.Status`Bidang Format Pencarian AWS Keamanan menjelaskan hasil temuan kontrol. AWS Security Hub CSPM menggunakan status kepatuhan temuan kontrol untuk menentukan status kontrol secara keseluruhan. Status kontrol ditampilkan pada halaman detail kontrol pada konsol CSPM Security Hub.
## Mengevaluasi status kepatuhan temuan CSPM Security Hub
Status kepatuhan untuk setiap temuan diberikan salah satu dari nilai berikut:
+ `PASSED`— Menunjukkan bahwa kontrol melewati pemeriksaan keamanan untuk temuan tersebut. Ini secara otomatis mengatur CSPM `Workflow.Status` Security Hub ke. `RESOLVED`
+ `FAILED`— Menunjukkan bahwa kontrol tidak lulus pemeriksaan keamanan untuk temuan tersebut.
+ `WARNING`— Menunjukkan bahwa Security Hub CSPM tidak dapat menentukan apakah sumber daya berada dalam status `PASSED` atau `FAILED` tidak. Misalnya, [perekaman AWS Config sumber daya](securityhub-setup-prereqs.md#config-resource-recording) tidak diaktifkan untuk jenis sumber daya yang sesuai.
+ `NOT_AVAILABLE`— Menunjukkan bahwa pemeriksaan tidak dapat diselesaikan karena server gagal, sumber daya dihapus, atau hasil AWS Config evaluasi`NOT_APPLICABLE`. Jika hasil AWS Config evaluasi itu`NOT_APPLICABLE`, Security Hub CSPM secara otomatis mengarsipkan temuan tersebut.
Jika status kepatuhan untuk temuan berubah dari `PASSED` menjadi,, atau `FAILED``WARNING`, dan `Workflow.Status` merupakan salah satu `NOTIFIED` atau `NOT_AVAILABLE``RESOLVED`, CSPM Security Hub secara otomatis berubah `Workflow.Status` menjadi. `NEW`
Jika Anda tidak memiliki sumber daya yang sesuai dengan kontrol, Security Hub CSPM menghasilkan `PASSED` temuan di tingkat akun. Jika Anda memiliki sumber daya yang sesuai dengan kontrol tetapi kemudian menghapus sumber daya, Security Hub CSPM membuat `NOT_AVAILABLE` temuan dan mengarsipkannya segera. Setelah 18 jam, Anda menerima `PASSED` temuan karena Anda tidak lagi memiliki sumber daya yang sesuai dengan kontrol.
## Mendapatkan status kontrol dari status kepatuhan
Security Hub CSPM memperoleh status kontrol keseluruhan dari status kepatuhan temuan kontrol. Saat menentukan status kontrol, Security Hub CSPM mengabaikan temuan yang memiliki `RecordState` of `ARCHIVED` dan temuan yang memiliki a of. `Workflow.Status` `SUPPRESSED`
Status kontrol diberikan salah satu nilai berikut:
+ **Lulus** — Menunjukkan bahwa semua temuan memiliki status kepatuhan`PASSED`.
+ **Gagal** - Menunjukkan bahwa setidaknya satu temuan memiliki status kepatuhan`FAILED`.
+ **Tidak diketahui** - Menunjukkan bahwa setidaknya satu temuan memiliki status kepatuhan `WARNING` atau`NOT_AVAILABLE`. Tidak ada temuan yang memiliki status kepatuhan`FAILED`.
+ **Tidak ada data** — Menunjukkan bahwa tidak ada temuan untuk kontrol. Misalnya, kontrol yang baru diaktifkan memiliki status ini sampai Security Hub CSPM mulai menghasilkan temuan untuk itu. Kontrol juga memiliki status ini jika semua temuannya `SUPPRESSED` atau tidak tersedia saat ini Wilayah AWS.
+ **Dinonaktifkan** - Menunjukkan bahwa kontrol dinonaktifkan di akun saat ini dan Wilayah. Saat ini tidak ada pemeriksaan keamanan yang dilakukan untuk kontrol ini di akun saat ini dan Wilayah. Namun, temuan kontrol yang dinonaktifkan mungkin memiliki nilai untuk status kepatuhan hingga 24 jam setelah penonaktifan.
Untuk akun administrator, status kontrol mencerminkan status kontrol untuk akun administrator dan akun anggota. Secara khusus, status keseluruhan kontrol muncul sebagai **Gagal** jika kontrol memiliki satu atau lebih temuan gagal di akun administrator atau salah satu akun anggota. Jika Anda telah menetapkan Wilayah agregasi, status kontrol di Wilayah agregasi mencerminkan status kontrol di Wilayah agregasi dan Wilayah yang ditautkan. Secara khusus, status keseluruhan kontrol muncul sebagai **Gagal** jika kontrol memiliki satu atau lebih temuan gagal di Wilayah agregasi atau salah satu Wilayah terkait.
Security Hub CSPM biasanya menghasilkan status kontrol awal dalam waktu 30 menit setelah kunjungan pertama Anda ke halaman **Ringkasan** atau halaman **standar Keamanan di konsol** CSPM Security Hub. Anda harus memiliki [perekaman AWS Config sumber daya](controls-config-resources.md) yang dikonfigurasi agar status kontrol muncul. Setelah status kontrol dibuat untuk pertama kalinya, Security Hub CSPM memperbarui status kontrol setiap 24 jam berdasarkan temuan dari 24 jam sebelumnya. Stempel waktu pada halaman detail kontrol menunjukkan kapan status kontrol terakhir diperbarui.
**catatan**
Setelah mengaktifkan kontrol untuk pertama kalinya, diperlukan waktu hingga 24 jam untuk status kontrol yang akan dihasilkan di Wilayah Tiongkok dan. AWS GovCloud (US) Region
# Menghitung skor keamanan
Pada konsol CSPM AWS Security Hub, halaman **Ringkasan** dan halaman **Kontrol** menampilkan skor keamanan ringkasan di semua standar yang diaktifkan. Pada halaman **standar Keamanan**, Security Hub CSPM juga menampilkan skor keamanan dari 0-100 persen untuk setiap standar yang diaktifkan.
Saat pertama kali mengaktifkan Security Hub CSPM, Security Hub CSPM menghitung skor keamanan ringkasan dan skor keamanan standar dalam waktu 30 menit sejak kunjungan pertama Anda ke halaman **Ringkasan** atau **Standar Keamanan** di konsol. Skor dihasilkan hanya untuk standar yang diaktifkan saat Anda mengunjungi halaman tersebut di konsol. Selain itu, perekaman AWS Config sumber daya harus dikonfigurasi agar skor muncul. Skor keamanan ringkasan adalah rata-rata skor keamanan standar. Untuk meninjau daftar standar yang saat ini diaktifkan, Anda dapat menggunakan [GetEnabledStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)pengoperasian Security Hub CSPM API.
Setelah menghasilkan skor pertama kali, Security Hub CSPM memperbarui skor keamanan setiap 24 jam. Security Hub CSPM menampilkan stempel waktu untuk menunjukkan kapan skor keamanan terakhir diperbarui. Perhatikan bahwa diperlukan waktu hingga 24 jam untuk skor keamanan pertama kali dihasilkan di Wilayah Tiongkok dan. AWS GovCloud (US) Regions
Jika Anda mengaktifkan [temuan kontrol konsolidasi](controls-findings-create-update.md#consolidated-control-findings), diperlukan waktu hingga 24 jam agar skor keamanan Anda diperbarui. Selain itu, mengaktifkan Wilayah agregasi baru atau memperbarui Wilayah tertaut akan me-reset skor keamanan yang ada. Diperlukan waktu hingga 24 jam untuk Security Hub CSPM untuk menghasilkan skor keamanan baru yang mencakup data dari Wilayah yang diperbarui.
## Metode penghitungan skor keamanan
Skor keamanan mewakili proporsi kontrol **Lulus** ke kontrol yang diaktifkan. Skor ditampilkan sebagai persentase yang dibulatkan ke atas atau ke bawah ke bilangan bulat terdekat.
Security Hub CSPM menghitung skor keamanan ringkasan di semua standar yang Anda aktifkan. Security Hub CSPM juga menghitung skor keamanan untuk setiap standar yang diaktifkan. Untuk tujuan perhitungan skor, kontrol yang diaktifkan menyertakan kontrol dengan status **Lulus**, **Gagal**, dan **Tidak Diketahui**. Kontrol dengan status **Tidak ada data** dikecualikan dari perhitungan skor.
Security Hub CSPM mengabaikan temuan yang diarsipkan dan ditekan saat menghitung status kontrol. Ini dapat memengaruhi skor keamanan. Misalnya, jika Anda menekan semua temuan yang gagal untuk kontrol, statusnya menjadi **Lulus**, yang pada gilirannya dapat meningkatkan skor keamanan Anda. Untuk informasi selengkapnya tentang status kontrol, lihat[Mengevaluasi status kepatuhan dan status kontrol](controls-overall-status.md).
**Contoh penilaian:**
| Standar | Kontrol yang lulus | Kontrol gagal | Kontrol tidak diketahui | Skor standar |
| --- | --- | --- | --- | --- |
| AWS Praktik Terbaik Keamanan Dasar v1.0.0 | 168 | 22 | 0 | 88% |
| Tolok Ukur AWS Yayasan CIS v1.4.0 | 8 | 29 | 0 | 22% |
| Tolok Ukur AWS Yayasan CIS v1.2.0 | 6 | 35 | 0 | 15% |
| Publikasi Khusus NIST 800-53 Revisi 5 | 159 | 56 | 0 | 74% |
| PCI DSS v3.2.1 | 28 | 17 | 0 | 62% |
Saat menghitung skor keamanan ringkasan, Security Hub CSPM menghitung setiap kontrol hanya sekali di seluruh standar. Misalnya, jika Anda telah mengaktifkan kontrol yang berlaku untuk tiga standar yang diaktifkan, itu hanya dihitung sebagai satu kontrol yang diaktifkan untuk tujuan penilaian.
Dalam contoh ini, meskipun jumlah total kontrol yang diaktifkan di seluruh standar yang diaktifkan adalah 528, Security Hub CSPM menghitung setiap kontrol unik hanya sekali untuk tujuan penilaian. Jumlah kontrol unik yang diaktifkan kemungkinan lebih rendah dari 528. Jika kita menganggap jumlah kontrol unik yang diaktifkan adalah 515, dan jumlah kontrol unik yang dilewati adalah 357, skor ringkasan adalah 69%. Skor ini dihitung dengan membagi jumlah kontrol unik yang dilewatkan dengan jumlah kontrol unik yang diaktifkan.
Anda mungkin memiliki skor ringkasan yang berbeda dari skor keamanan standar, meskipun Anda hanya mengaktifkan satu standar di akun Anda di Wilayah saat ini. Hal ini dapat terjadi jika Anda masuk ke akun administrator dan akun anggota memiliki standar tambahan atau standar yang berbeda diaktifkan. Hal ini juga dapat terjadi jika Anda melihat skor dari Wilayah agregasi dan standar tambahan atau standar yang berbeda diaktifkan di Wilayah tertaut.
## Skor keamanan untuk akun administrator
Jika Anda masuk ke akun administrator, skor keamanan ringkasan dan skor standar akun untuk status kontrol di akun administrator dan semua akun anggota.
Jika status kontrol **Gagal** bahkan di satu akun anggota, statusnya **Gagal** di akun administrator dan berdampak pada skor akun administrator.
Jika Anda masuk ke akun administrator dan melihat skor di Wilayah agregasi, skor keamanan akan memperhitungkan status kontrol di semua akun anggota *dan* semua Wilayah yang ditautkan.
## Skor keamanan jika Anda telah menetapkan Wilayah agregasi
Jika Anda telah menetapkan agregasi Wilayah AWS, skor keamanan ringkasan dan skor standar memperhitungkan status kontrol di semua Wilayah terkait.
Jika status kontrol **Gagal** bahkan di satu Wilayah tertaut, statusnya **Gagal** di Wilayah agregasi dan berdampak pada skor Wilayah agregasi.
Jika Anda masuk ke akun administrator dan melihat skor di Wilayah agregasi, skor keamanan akan memperhitungkan status kontrol di semua akun anggota *dan* semua Wilayah yang ditautkan.