Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Comprensione dei controlli e dei punteggi di sicurezza in Security Hub CSPM
Per ogni controllo abilitato, AWS Security Hub CSPM esegue controlli di sicurezza. Un controllo di sicurezza produce un risultato che indica se una AWS risorsa specifica è conforme alle regole incluse nel controllo.
Alcuni controlli vengono eseguiti secondo una pianificazione periodica. Altri controlli vengono eseguiti solo quando si modifica lo stato della risorsa. Per ulteriori informazioni, consulta [Pianificazione dell'esecuzione dei controlli di sicurezza](securityhub-standards-schedule.md).
Molti controlli di sicurezza utilizzano regole AWS Config gestite o personalizzate per stabilire i requisiti di conformità. Per eseguire questi controlli, è necessario configurare AWS Config e attivare la registrazione delle risorse per le risorse necessarie. Per ulteriori informazioni sulla configurazione AWS Config, vedere[Abilitazione e configurazione AWS Config per Security Hub CSPM](securityhub-setup-prereqs.md). Per un elenco delle AWS Config risorse che è necessario registrare per ogni standard, vedere[AWS Config Risorse necessarie per i risultati del controllo](controls-config-resources.md). Altri controlli utilizzano funzioni Lambda personalizzate, gestite da Security Hub CSPM e non richiedono alcun prerequisito.
Poiché Security Hub CSPM esegue i controlli di sicurezza, genera i risultati e assegna loro uno stato di conformità. Per ulteriori informazioni sullo stato di conformità, vedere. [Valutazione dello stato di conformità dei risultati del Security Hub CSPM](controls-overall-status.md#controls-overall-status-compliance-status)
Security Hub CSPM utilizza lo stato di conformità dei risultati del controllo per determinare lo stato di controllo generale. In base allo stato del controllo, Security Hub CSPM calcola anche un punteggio di sicurezza per tutti i controlli abilitati e per standard specifici. Per ulteriori informazioni, consultare [Valutazione dello stato di conformità e dello stato di controllo](controls-overall-status.md) e [Calcolo dei punteggi di sicurezza](standards-security-score.md).
Se hai attivato i risultati del controllo consolidato, Security Hub CSPM genera un singolo risultato anche quando un controllo è associato a più di uno standard. Per ulteriori informazioni, consulta [Risultati di controllo consolidati](controls-findings-create-update.md#consolidated-control-findings).
**Topics**
+ [AWS Config Risorse necessarie per i risultati del controllo](controls-config-resources.md)
+ [Pianificazione dell'esecuzione dei controlli di sicurezza](securityhub-standards-schedule.md)
+ [Generazione e aggiornamento dei risultati di controllo](controls-findings-create-update.md)
+ [Valutazione dello stato di conformità e dello stato di controllo](controls-overall-status.md)
+ [Calcolo dei punteggi di sicurezza](standards-security-score.md)
# AWS Config Risorse necessarie per i risultati del controllo
In AWS Security Hub CSPM, alcuni controlli utilizzano AWS Config regole collegate ai servizi che rilevano le modifiche alla configurazione nelle risorse. AWS Affinché Security Hub CSPM generi risultati accurati per questi controlli, è necessario abilitare AWS Config e attivare la registrazione delle risorse. AWS Config Per informazioni su come Security Hub CSPM utilizza AWS Config le regole e su come abilitarle e configurarle AWS Config, vedere. [Abilitazione e configurazione AWS Config per Security Hub CSPM](securityhub-setup-prereqs.md) *Per informazioni dettagliate sulla registrazione delle risorse, consulta [Lavorare con il registratore di configurazione](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) nella Guida per gli AWS Config sviluppatori.*
Per ricevere risultati di controllo accurati, è necessario attivare la registrazione AWS Config delle risorse per i controlli abilitati con un tipo di pianificazione *innescato dalla modifica*. Alcuni controlli con un tipo di pianificazione *periodica* richiedono anche la registrazione delle risorse. Questa pagina elenca le risorse necessarie per questi controlli CSPM di Security Hub.
I controlli CSPM di Security Hub possono basarsi su AWS Config regole gestite o regole CSPM Security Hub personalizzate. Assicurati che non esistano policy AWS Identity and Access Management (IAM) o policy AWS Organizations gestite che AWS Config impediscano di avere l'autorizzazione a registrare le tue risorse. I controlli CSPM di Security Hub valutano direttamente le configurazioni delle risorse e non tengono conto delle AWS Organizations politiche.
**Nota**
Regioni AWS Se un controllo non è disponibile, la risorsa corrispondente non è disponibile in. AWS Config Per un elenco di questi limiti, consulta[Limiti regionali sui controlli CSPM di Security Hub](regions-controls.md).
**Topics**
+ [Risorse necessarie per tutti i controlli CSPM di Security Hub](#all-controls-config-resources)
+ [Risorse necessarie per lo standard AWS Foundational Security Best Practices](#securityhub-standards-fsbp-config-resources)
+ [Risorse necessarie per il benchmark CIS AWS Foundations](#securityhub-standards-cis-config-resources)
+ [Risorse necessarie per lo standard NIST SP 800-53 Revisione 5](#nist-config-resources)
+ [Risorse necessarie per lo standard NIST SP 800-171 Revision 2](#nist-800-171-config-resources)
+ [Risorse richieste per PCI DSS v3.2.1](#securityhub-standards-pci-config-resources)
+ [Risorse richieste per lo standard AWS Resource Tagging](#tagging-config-resources)
## Risorse necessarie per tutti i controlli CSPM di Security Hub
Affinché Security Hub CSPM generi risultati per i controlli attivati dalle modifiche che sono abilitati e utilizzano una AWS Config regola, è necessario registrare i seguenti tipi di risorse in. AWS Config Questa tabella indica anche quali controlli valutano un particolare tipo di risorsa. Un singolo controllo può valutare più di un tipo di risorsa.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/controls-config-resources.html)
## Risorse necessarie per lo standard AWS Foundational Security Best Practices
Affinché Security Hub CSPM riporti in modo accurato i risultati relativi ai controlli attivati dalle modifiche che si applicano allo standard AWS Foundational Security Best Practices (v.1.0.0), sono abilitati e utilizzano una AWS Config regola, è necessario registrare i seguenti tipi di risorse in. AWS Config Per informazioni su questo standard, vedere. [AWS Standard di best practice di sicurezza di base in Security Hub CSPM](fsbp-standard.md)
| Servizio AWS | Tipi di risorse |
| --- | --- |
| Gateway Amazon API | `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage` |
| AWS AppSync | `AWS::AppSync::ApiCache`, `AWS::AppSync::GraphQLApi` |
| AWS Backup | `AWS::Backup::RecoveryPoint` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| AWS CodeBuild | `AWS::CodeBuild::Project`, `AWS::CodeBuild::ReportGroup` |
| Amazon Cognito | `AWS::Cognito::IdentityPool`, `AWS::Cognito::UserPool` |
| Amazon Connect | `AWS::Connect::Instance` |
| AWS DataSync | `AWS::DataSync::Task` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask` |
| Amazon DynamoDB | `AWS::DynamoDB::Table` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::SnapshotBlockPublicAccess`, `AWS::EC2::SpotFleet`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPCBlockPublicAccessOptions`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::Repository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::CapacityProvider`, `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`, `AWS::ECS::TaskSet` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint`, `AWS::EFS::FileSystem` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer` |
| ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EMR | `AWS::EMR::SecurityConfiguration` |
| AWS Glue | `AWS::Glue::Job`, `AWS::Glue::MLTransform` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Key` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon Managed Streaming for Apache Kafka (Amazon MSK) | `AWS::MSK::Cluster`, `AWS::KafkaConnect::Connector` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| OpenSearch Servizio Amazon | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBProxy`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup` |
| Amazon Redshift Serverless | `AWS::RedshiftServerless::Workgroup` |
| Amazon Route 53 | `AWS::Route53::HostedZone` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`, `AWS::S3::MultiRegionAccessPoint`, `AWS::S3Express::DirectoryBucket` |
| Amazon SageMaker AI | `AWS::SageMaker::Model`, `AWS::SageMaker::NotebookInstance` |
| Servizio di notifica semplice Amazon (Amazon Simple Notification Service (Amazon SNS)) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service (Amazon SQS) | `AWS::SQS::Queue` |
| Gestione dei segreti AWS | `AWS::SecretsManager::Secret` |
| AWS Step Functions | `AWS::StepFunctions::StateMachine` |
| AWS Transfer Family | `AWS::Transfer::Connector` |
| AWS WAF | `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL` |
| Amazon WorkSpaces | `AWS::WorkSpaces::WorkSpace` |
## Risorse necessarie per il benchmark CIS AWS Foundations
Per eseguire controlli di sicurezza per i controlli abilitati che si applicano al benchmark Center for Internet Security (CIS) AWS Foundations, Security Hub CSPM esegue esattamente le fasi di controllo prescritte per i controlli o utilizza regole gestite specifiche. AWS Config Per informazioni su questo standard in Security Hub CSPM, vedere. [Benchmark CIS AWS Foundations nel Security Hub CSPM](cis-aws-foundations-benchmark.md)
### Risorse necessarie per CIS v5.0.0
Affinché Security Hub CSPM riporti in modo accurato i risultati dei controlli attivati da modifiche CIS v5.0.0 abilitati che utilizzano una AWS Config regola, è necessario registrare i seguenti tipi di risorse in. AWS Config
| Servizio AWS | Tipi di risorse |
| --- | --- |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::FileSystem` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBInstance`, `AWS::RDS::DBCluster` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` |
### Risorse necessarie per CIS v3.0.0
Affinché Security Hub CSPM riporti in modo accurato i risultati dei controlli attivati da modifiche CIS v3.0.0 abilitati che utilizzano una AWS Config regola, è necessario registrare i seguenti tipi di risorse in. AWS Config
| Servizio AWS | Tipi di risorse |
| --- | --- |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBInstance` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` |
### Risorse necessarie per CIS v1.4.0
Affinché Security Hub CSPM riporti in modo accurato i risultati dei controlli attivati da modifiche CIS v1.4.0 abilitati che utilizzano una AWS Config regola, è necessario registrare i seguenti tipi di risorse in. AWS Config
| Servizio AWS | Tipi di risorse |
| --- | --- |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBInstance` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` |
### Risorse necessarie per CIS v1.2.0
Affinché Security Hub CSPM riporti in modo accurato i risultati dei controlli attivati da modifiche CIS v1.2.0 abilitati che utilizzano una AWS Config regola, è necessario registrare i seguenti tipi di risorse in. AWS Config
| Servizio AWS | Tipi di risorse |
| --- | --- |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::SecurityGroup` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` |
## Risorse necessarie per lo standard NIST SP 800-53 Revisione 5
Affinché Security Hub CSPM riporti con precisione i risultati relativi ai controlli attivati dalle modifiche che si applicano allo standard NIST SP 800-53 Revisione 5, sono abilitati e utilizzano una AWS Config regola, è necessario registrare i seguenti tipi di risorse in. AWS Config Per informazioni su questo standard, vedere. [NIST SP 800-53 Revisione 5 nel Security Hub CSPM](standards-reference-nist-800-53.md)
| Servizio AWS | Tipi di risorse |
| --- | --- |
| Gateway Amazon API | `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage` |
| AWS AppSync | `AWS::AppSync::GraphQLApi` |
| AWS Backup | `AWS::Backup::RecoveryPoint` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| AWS CodeBuild | `AWS::CodeBuild::Project` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask` |
| Amazon DynamoDB | `AWS::DynamoDB::Table` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::Repository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer` |
| Amazon ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EMR | `AWS::EMR::SecurityConfiguration` |
| Amazon EventBridge | `AWS::Events::Endpoint`, `AWS::Events::EventBus` |
| AWS Glue | `AWS::Glue::Job` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon Managed Streaming for Apache Kafka (Amazon MSK) | `AWS::MSK::Cluster` |
| Amazon MQ | `AWS::AmazonMQ::Broker` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| OpenSearch Servizio Amazon | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup` |
| Amazon Route 53 | `AWS::Route53::HostedZone` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket` |
| AWS Service Catalog | `AWS::ServiceCatalog::Portfolio` |
| Servizio di notifica semplice Amazon (Amazon Simple Notification Service (Amazon SNS)) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service (Amazon SQS) | `AWS::SQS::Queue` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
| Amazon SageMaker AI | `AWS::SageMaker::NotebookInstance` |
| Gestione dei segreti AWS | `AWS::SecretsManager::Secret` |
| AWS Transfer Family | `AWS::Transfer::Connector` |
| AWS WAF | `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL` |
## Risorse necessarie per lo standard NIST SP 800-171 Revision 2
Affinché Security Hub CSPM riporti con precisione i risultati relativi ai controlli attivati dalle modifiche che si applicano allo standard NIST SP 800-171 Revisione 2, sono abilitati e utilizzano una AWS Config regola, è necessario registrare i seguenti tipi di risorse in. AWS Config Per informazioni su questo standard, vedere. [NIST SP 800-171 Revisione 2 nel Security Hub CSPM](standards-reference-nist-800-171.md)
| Servizio AWS | Tipi di risorse |
| --- | --- |
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` |
| Gateway Amazon API | `AWS::ApiGateway::Stage` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` |
| AWS Identity and Access Management(IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| Servizio Amazon Simple Storage (Amazon S3) | `AWS::S3::Bucket` |
| Servizio di notifica semplice di Amazon (Amazon SNS) | `AWS::SNS::Topic` |
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` |
| AWS WAF | `AWS::WAFv2::RuleGroup` |
## Risorse richieste per PCI DSS v3.2.1
Affinché Security Hub CSPM riporti in modo accurato i risultati dei controlli che si applicano alla versione 3.2.1 del Payment Card Industry Data Security Standard (PCI DSS), sono abilitati e utilizzano una AWS Config regola, è necessario registrare i seguenti tipi di risorse in. AWS Config Per informazioni su questo standard, vedere. [PCI DSS nel Security Hub CSPM](pci-standard.md)
| Servizio AWS | Tipi di risorse |
| --- | --- |
| AWS CodeBuild | `AWS::CodeBuild::Project` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::SecurityGroup` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| AWS Lambda | `AWS::Lambda::Function` |
| OpenSearch Servizio Amazon | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot` |
| Amazon Redshift | `AWS::Redshift::Cluster` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
## Risorse richieste per lo standard AWS Resource Tagging
Tutti i controlli che si applicano allo standard AWS Resource Tagging attivano una modifica e utilizzano una regola. AWS Config Affinché Security Hub CSPM riporti con precisione i risultati di questi controlli, è necessario registrare i seguenti tipi di risorse in. AWS Config Per informazioni su questo standard, vedere. [AWS Standard di etichettatura delle risorse in Security Hub CSPM](standards-tagging.md)
| Servizio AWS | Tipi di risorse |
| --- | --- |
| AWS Amplify | `AWS::Amplify::App`, `AWS::Amplify::Branch` |
| Amazon AppFlow | `AWS::AppFlow::Flow` |
| AWS App Runner | `AWS::AppRunner::Service`, `AWS::AppRunner::VpcConnector` |
| AWS AppConfig | `AWS::AppConfig::Application`, `AWS::AppConfig::ConfigurationProfile`, `AWS::AppConfig::Environment`, `AWS::AppConfig::ExtensionAssociation` |
| AWS AppSync | `AWS::AppSync::GraphQLApi` |
| Amazon Athena | `AWS::Athena::DataCatalog`, `AWS::Athena::WorkGroup` |
| AWS Backup | `AWS::Backup::BackupPlan`, `AWS::Backup::BackupVault`, `AWS::Backup::RecoveryPlan`, `AWS::Backup::ReportPlan` |
| AWS Batch | `AWS::Batch::ComputeEnvironment`, `AWS::Batch::JobQueue`, `AWS::Batch::SchedulingPolicy` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| AWS CloudTrail | `AWS::CloudTrail::Trail` |
| AWS CodeArtifact | `AWS::CodeArtifact::Repository` |
| Amazon CodeGuru | `AWS::CodeGuruProfiler::ProfilingGroup`, `AWS::CodeGuruReviewer::RepositoryAssociation` |
| Amazon Connect | `AWS::CustomerProfiles::ObjectType` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Certificate`, `AWS::DMS::EventSubscription` `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationSubnetGroup` |
| AWS DataSync | `AWS::DataSync::Task` |
| Amazon Detective | `AWS::Detective::Graph` |
| Amazon DynamoDB | `AWS::DynamoDB::Trail` |
| Amazon Elastic Compute Cloud (EC2) | `AWS::EC2::CustomerGateway`, `AWS::EC2::DHCPOptions`, `AWS::EC2::EIP`, `AWS::EC2::FlowLog`, `AWS::EC2::Instance`, `AWS::EC2::InternetGateway`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NatGateway`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::PrefixList`, `AWS::EC2::RouteTable`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TrafficMirrorFilter`, `AWS::EC2::TrafficMirrorSession`, `AWS::EC2::TrafficMirrorTarget`, `AWS::EC2::TransitGateway`, `AWS::EC2::TransitGatewayAttachment`, `AWS::EC2::TransitGatewayRouteTable`, `AWS::EC2::Volume`, `AWS::EC2::VPC`, `AWS::EC2::VPCEndpointService`, `AWS::EC2::VPCPeeringConnection`, `AWS::EC2::VPNGateway` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::PublicRepository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster`, `AWS::EKS::IdentityProviderConfig` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EventBridge | `AWS::Events::EventBus` |
| Amazon Fraud Detector | `AWS::FraudDetector::EntityType`, `AWS::FraudDetector::Label` `AWS::FraudDetector::Outcome`, `AWS::FraudDetector::Variable` |
| AWS Global Accelerator | `AWS::GlobalAccelerator::Accelerator` |
| AWS Glue | `AWS::Glue::Job` |
| Amazon GuardDuty | `AWS::GuardDuty::Detector`, `AWS::GuardDuty::Filter`, `AWS::GuardDuty::IPSet` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Role`, `AWS::IAM::User` |
| AWS Identity and Access Management Access Analyzer (Analizzatore di accesso IAM) | `AWS::AccessAnalyzer::Analyzer` |
| AWS IoT | `AWS::IoT::Authorizer`, `AWS::IoT::Dimension`, `AWS::IoT::MitigationAction`, `AWS::IoT::Policy`, `AWS::IoT::RoleAlias`, `AWS::IoT::SecurityProfile` |
| AWS IoT Eventi | `AWS::IoTEvents::AlarmModel`, `AWS::IoTEvents::DetectorModel`, `AWS::IoTEvents::Input` |
| AWS IoT SiteWise | `AWS::IoTSiteWise::Dashboard`, `AWS::IoTSiteWise::Gateway`, `AWS::IoTSiteWise::Portal`, `AWS::IoTSiteWise::Project` |
| AWS IoT TwinMaker | `AWS::IoTTwinMaker::Entity`, `AWS::IoTTwinMaker::Scene`, `AWS::IoTTwinMaker::SyncJob`, `AWS::IoTTwinMaker::Workspace` |
| AWS IoT Wireless | `AWS::IoTWireless::FuotaTask`, `AWS::IoTWireless::MulticastGroup`, `AWS::IoTWireless::ServiceProfile` |
| Amazon Interactive Video Service (Amazon IVS) | `AWS::IVS::Channel`, `AWS::IVS::PlaybackKeyPair`, `AWS::IVS::RecordingConfiguration` |
| Amazon Keyspaces (per Apache Cassandra) | `AWS::Cassandra::Keyspace` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon MQ | `AWS::AmazonMQ::Broker` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy` |
| OpenSearch Servizio Amazon | `AWS::OpenSearch::Domain` |
| AWS Autorità di certificazione privata | `AWS::ACMPCA::CertificateAuthority` |
| Amazon Relational Database Service | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSecurityGroup`, `AWS::RDS::DBSnapshot`, `AWS::RDS::DBSubnetGroup` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterParameterGroup`, `AWS::Redshift::ClusterSnapshot`, `AWS::Redshift::ClusterSubnetGroup`, `AWS::Redshift::EventSubscription` |
| Amazon Route 53 | `AWS::Route53::HealthCheck` |
| Amazon SageMaker AI | `AWS::SageMaker::AppImageConfig`, `AWS::SageMaker::Image` |
| Gestione dei segreti AWS | `AWS::SecretsManager::Secret` |
| Amazon Simple Email Service (Amazon SES) | `AWS::SES::ConfigurationSet`, `AWS::SES::ContactList` |
| Servizio di notifica semplice Amazon (Amazon Simple Notification Service (Amazon SNS)) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service (Amazon SQS) | `AWS::SQS::Queue` |
| AWS Step Functions | `AWS::StepFunctions::Activity` |
| AWS Systems Manager (SSM) | `AWS::SSM::Document` |
| AWS Transfer Family | `AWS::Transfer::Agreement`, `AWS::Transfer::Certificate`, `AWS::Transfer::Connector`, `AWS::Transfer::Profile`, `AWS::Transfer::Workflow` |
# Pianificazione dell'esecuzione dei controlli di sicurezza
Dopo aver abilitato uno standard di sicurezza, AWS Security Hub CSPM inizia a eseguire tutti i controlli entro due ore. La maggior parte dei controlli inizia entro 25 minuti. Security Hub CSPM esegue i controlli valutando la regola alla base di un controllo. **Fino a quando un controllo non completa la prima esecuzione dei controlli, lo stato è Nessun dato.**
Quando abiliti un nuovo standard, potrebbero essere necessarie fino a 24 ore prima che Security Hub CSPM generi risultati per i controlli che utilizzano la stessa regola sottostante AWS Config collegata ai servizi dei controlli abilitati di altri standard abilitati. Ad esempio, se abiliti il controllo [Lambda.1](lambda-controls.md#lambda-1) nello standard AWS Foundational Security Best Practices (FSBP), Security Hub CSPM crea la regola collegata al servizio e in genere genera i risultati in pochi minuti. Dopodiché, se abiliti il controllo Lambda.1 nel Payment Card Industry Data Security Standard (PCI DSS), potrebbero essere necessarie fino a 24 ore prima che Security Hub CSPM generi i risultati per il controllo perché utilizza la stessa regola collegata al servizio.
Dopo il controllo iniziale, la pianificazione per ogni controllo può essere periodica o può essere attivata a modifiche. Per un controllo basato su una AWS Config regola gestita, la descrizione del controllo include un collegamento alla descrizione della regola nella Guida per gli *AWS Config sviluppatori*. Tale descrizione specifica se la regola è soggetta a modifiche o è periodica.
## Controlli di sicurezza periodici
I controlli di sicurezza periodici vengono eseguiti automaticamente entro 12 o 24 ore dall'esecuzione più recente. Security Hub CSPM determina la periodicità e non è possibile modificarla. I controlli periodici riflettono una valutazione nel momento in cui viene eseguito il controllo.
Se si aggiorna lo stato del flusso di lavoro di un risultato di controllo periodico e quindi nel controllo successivo lo stato di conformità del risultato rimane lo stesso, lo stato del flusso di lavoro rimane modificato. Ad esempio, se non riesci a trovare il controllo [KMS.4](kms-controls.md#kms-4) (la *AWS KMS key rotazione deve essere abilitata*) e quindi correggi il risultato, Security Hub CSPM modifica lo stato del flusso di lavoro da a. `NEW` `RESOLVED` Se si disabilita la rotazione delle chiavi KMS prima del successivo controllo periodico, lo stato del flusso di lavoro del risultato rimane invariato. `RESOLVED`
I controlli che utilizzano le funzioni Lambda personalizzate di Security Hub CSPM sono periodici.
## Controlli di sicurezza attivati dalle modifiche
I controlli di sicurezza attivati dalle modifiche vengono eseguiti quando la risorsa associata cambia stato. AWS Config *consente di scegliere tra *la registrazione continua* delle modifiche allo stato delle risorse e la registrazione giornaliera.* Se si sceglie la registrazione giornaliera, AWS Config fornisce i dati di configurazione delle risorse alla fine di ogni periodo di 24 ore in caso di cambiamenti nello stato delle risorse. Se non ci sono modifiche, non viene fornito alcun dato. Ciò può ritardare la generazione dei risultati CSPM di Security Hub fino al completamento di un periodo di 24 ore. Indipendentemente dal periodo di registrazione scelto, Security Hub CSPM effettua controlli ogni 18 ore per assicurarsi che non siano AWS Config stati persi gli aggiornamenti delle risorse.
In generale, Security Hub CSPM utilizza regole attivate dalle modifiche quando possibile. Affinché una risorsa utilizzi una regola attivata da una modifica, deve supportare gli elementi di configurazione. AWS Config
# Generazione e aggiornamento dei risultati di controllo
AWS Security Hub CSPM genera e aggiorna i risultati dei controlli quando esegue controlli di sicurezza. I risultati del controllo utilizzano il [AWS Security Finding Format (ASFF)](securityhub-findings-format.md).
Security Hub CSPM normalmente addebita un costo per ogni controllo di sicurezza. Tuttavia, se più controlli utilizzano la stessa AWS Config regola, Security Hub CSPM addebita solo una volta per ogni controllo rispetto alla regola. Ad esempio, la AWS Config `iam-password-policy` regola viene utilizzata da più controlli nello standard CIS AWS Foundations Benchmark e nello standard AWS Foundational Security Best Practices. Ogni volta che Security Hub CSPM esegue un controllo rispetto a tale regola, genera un risultato di controllo separato per ogni controllo correlato, ma addebita una sola volta per il controllo.
Se la dimensione di un risultato di controllo supera il massimo di 240 KB, Security Hub CSPM rimuove l'`Resource.Details`oggetto dal risultato. Per i controlli supportati da AWS Config risorse, è possibile rivedere i dettagli delle risorse utilizzando la console. AWS Config
**Topics**
+ [Risultati di controllo consolidati](#consolidated-control-findings)
+ [Generazione, aggiornamento e archiviazione dei risultati di controllo](#securityhub-standards-results-updating)
+ [Automazione e soppressione dei risultati del controllo](#automation-control-findings)
+ [Dettagli sulla conformità per i risultati del controllo](#control-findings-asff-compliance)
+ [ProductFields dettagli relativi ai risultati del controllo](#control-findings-asff-productfields)
+ [Livelli di gravità per i risultati del controllo](#control-findings-severity)
## Risultati di controllo consolidati
Se i risultati del controllo consolidato sono abilitati per il tuo account, Security Hub CSPM genera un singolo risultato o aggiornamento dei risultati per ogni controllo di sicurezza di un controllo, anche se un controllo si applica a più standard abilitati. Per un elenco dei controlli e degli standard a cui si applicano, consulta la. [Riferimento di controllo per Security Hub CSPM](securityhub-controls-reference.md) Si consiglia di abilitare risultati di controllo consolidati per ridurre il rumore di rilevamento.
Se hai abilitato Security Hub CSPM Account AWS prima del 23 febbraio 2023, puoi abilitare i risultati del controllo consolidato seguendo le istruzioni riportate più avanti in questa sezione. Se abiliti Security Hub CSPM a partire dal 23 febbraio 2023, i risultati del controllo consolidato vengono abilitati automaticamente per il tuo account.
Se utilizzi l'[integrazione CSPM di Security Hub con AWS Organizations](securityhub-accounts-orgs.md) o account membro invitati tramite una [procedura di invito manuale](account-management-manual.md), i risultati del controllo consolidato sono abilitati per gli account membro solo se sono abilitati per l'account amministratore. Se la funzionalità è disabilitata per l'account amministratore, è disabilitata per gli account dei membri. Questo comportamento si applica agli account membro nuovi ed esistenti. Inoltre, se l'amministratore utilizza la [configurazione centrale](central-configuration-intro.md) per gestire Security Hub CSPM per più account, non può utilizzare policy di configurazione centrale per abilitare o disabilitare i risultati del controllo consolidato per gli account.
Se disabiliti i risultati del controllo consolidato per il tuo account, Security Hub CSPM genera o aggiorna un risultato di controllo separato per ogni standard abilitato che include un controllo. Ad esempio, se abiliti quattro standard che condividono un controllo, ricevi quattro risultati separati dopo un controllo di sicurezza per il controllo. Se abiliti i risultati del controllo consolidato, riceverai solo un risultato.
Quando abiliti i risultati del controllo consolidato, Security Hub CSPM crea nuovi risultati indipendenti dallo standard e archivia i risultati originali basati sullo standard. Alcuni campi e valori di controllo relativi alla ricerca cambieranno, il che potrebbe influire sui flussi di lavoro esistenti. Per informazioni su queste modifiche, consulta[Risultati di controllo consolidati: modifiche ASFF](asff-changes-consolidation.md#securityhub-findings-format-consolidated-control-findings). L'abilitazione dei risultati del controllo consolidato potrebbe influire anche sui risultati che i prodotti integrati di terze parti ricevono da Security Hub CSPM. Se utilizzi la soluzione [Automated Security Response on AWS v2.0.0](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/), tieni presente che supporta i risultati del controllo consolidato.
Per abilitare o disabilitare i risultati del controllo consolidato, è necessario accedere a un account amministratore o a un account autonomo.
**Nota**
Dopo aver abilitato i risultati del controllo consolidato, possono essere necessarie fino a 24 ore prima che Security Hub CSPM generi nuovi risultati consolidati e archivi i risultati esistenti basati sugli standard. Allo stesso modo, dopo aver disabilitato i risultati del controllo consolidato, possono essere necessarie fino a 24 ore prima che Security Hub CSPM generi nuovi risultati basati su standard e archivi i risultati consolidati esistenti. In questi periodi, potresti visualizzare nel tuo account un mix di risultati indipendenti dagli standard e basati sugli standard.
------
#### [ Security Hub CSPM console ]
**Per abilitare o disabilitare i risultati del controllo consolidato**
1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Nel riquadro di navigazione, in **Settings (Impostazioni)**, scegliere **General (Generali)**.
1. **Nella sezione **Controlli**, scegli Modifica.**
1. Utilizzate l'interruttore **Consolidated control results (Risultati** di controllo consolidati) per abilitare o disabilitare i risultati del controllo consolidato.
1. Scegli **Save** (Salva).
------
#### [ Security Hub CSPM API ]
Per abilitare o disabilitare i risultati del controllo consolidato a livello di codice, utilizzate il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html)funzionamento dell'API CSPM Security Hub. Oppure, se utilizzi il, esegui il AWS CLI comando. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html)
Per il `control-finding-generator` parametro, specificate `SECURITY_CONTROL` se abilitare i risultati del controllo consolidato. Per disabilitare i risultati del controllo consolidato, specificare. `STANDARD_CONTROL`
Ad esempio, il AWS CLI comando seguente abilita i risultati di controllo consolidati.
```
$ aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL
```
Il AWS CLI comando seguente disabilita i risultati del controllo consolidato.
```
$ aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL
```
------
## Generazione, aggiornamento e archiviazione dei risultati di controllo
[Security Hub CSPM esegue i controlli di sicurezza in base a una pianificazione.](securityhub-standards-schedule.md) La prima volta che Security Hub CSPM esegue un controllo di sicurezza, genera un nuovo risultato per ogni AWS risorsa controllata dal controllo. Ogni volta che Security Hub CSPM esegue successivamente un controllo di sicurezza per il controllo, aggiorna i risultati esistenti per riportare i risultati del controllo. Ciò significa che è possibile utilizzare i dati forniti dai singoli risultati per tenere traccia delle modifiche di conformità per particolari risorse rispetto a controlli particolari.
Ad esempio, se lo stato di conformità di una risorsa cambia da `FAILED` a `PASSED` per un particolare controllo, Security Hub CSPM non genera nuovi risultati. Invece, Security Hub CSPM aggiorna i risultati esistenti per il controllo e la risorsa. Nel risultato, Security Hub CSPM modifica il valore del campo compliance status (`Compliance.Status`) in. `PASSED` Security Hub CSPM aggiorna anche i valori dei campi aggiuntivi per riflettere i risultati del controllo, ad esempio l'etichetta di gravità, lo stato del flusso di lavoro e i timestamp che indicano quando Security Hub CSPM ha eseguito il controllo più di recente e aggiornato il risultato.
Quando riporta le modifiche allo stato di conformità, Security Hub CSPM potrebbe aggiornare uno dei seguenti campi in un risultato di controllo:
+ `Compliance.Status`— Il nuovo stato di conformità della risorsa per il controllo specificato.
+ `FindingProviderFields.Severity.Label`— La nuova rappresentazione qualitativa della gravità del risultato, ad esempio `LOW``MEDIUM`, o`HIGH`.
+ `FindingProviderFields.Severity.Original`— La nuova rappresentazione quantitativa della gravità del risultato, ad esempio `0` per una risorsa conforme.
+ `FirstObservedAt`— Data dell'ultima modifica dello stato di conformità della risorsa.
+ `LastObservedAt`— L'ultima volta che Security Hub CSPM ha eseguito il controllo di sicurezza per il controllo e la risorsa specificati.
+ `ProcessedAt`— Quando Security Hub CSPM ha recentemente iniziato a elaborare la scoperta.
+ `ProductFields.PreviousComplianceStatus`— Lo stato di conformità precedente (`Compliance.Status`) della risorsa per il controllo specificato.
+ `UpdatedAt`— Quando Security Hub CSPM ha aggiornato l'ultima volta la scoperta.
+ `Workflow.Status`— Lo stato dell'indagine sul risultato, in base al nuovo stato di conformità della risorsa per il controllo specificato.
L'aggiornamento di un campo da parte di Security Hub CSPM dipende principalmente dai risultati dell'ultimo controllo di sicurezza per il controllo e la risorsa applicabili. Ad esempio, se lo stato di conformità di una risorsa cambia da `PASSED` a `FAILED` per un particolare controllo, Security Hub CSPM modifica lo stato del flusso di lavoro del risultato in. `NEW` Per tenere traccia degli aggiornamenti dei singoli risultati, puoi fare riferimento alla cronologia di un risultato. Per dettagli sui singoli campi dei risultati, consulta [AWS Security Finding Format (ASFF)](securityhub-findings-format.md).
In alcuni casi, Security Hub CSPM genera nuovi risultati per i controlli successivi tramite un controllo, invece di aggiornare i risultati esistenti. Questo può verificarsi se c'è un problema con la AWS Config regola che supporta un controllo. In tal caso, Security Hub CSPM archivia i risultati esistenti e genera un nuovo risultato per ogni controllo. Nelle nuove scoperte, lo stato di conformità è `NOT_AVAILABLE` e lo stato del record è. `ARCHIVED` Dopo aver risolto il problema con la AWS Config regola, Security Hub CSPM genera nuovi risultati e inizia ad aggiornarli per tenere traccia delle successive modifiche allo stato di conformità delle singole risorse.
Oltre a generare e aggiornare i risultati di controllo, Security Hub CSPM archivia automaticamente i risultati di controllo che soddisfano determinati criteri. Security Hub CSPM archivia un risultato se il controllo è disabilitato, la risorsa specificata viene eliminata o la risorsa specificata non esiste più. Una risorsa potrebbe non esistere più perché il servizio associato non viene più utilizzato. Più specificamente, Security Hub CSPM archivia automaticamente un risultato di controllo se il risultato soddisfa uno dei seguenti criteri:
+ Il risultato non viene aggiornato da 3-5 giorni. Tieni presente che l'archiviazione basata su questo periodo di tempo viene effettuata con la massima diligenza possibile e non è garantita.
+ La AWS Config valutazione associata restituita `NOT_APPLICABLE` per lo stato di conformità della risorsa specificata.
Per determinare se un risultato è archiviato, è possibile fare riferimento al campo record state (`RecordState`) del risultato. Se un risultato è archiviato, il valore di questo campo è. `ARCHIVED`
Security Hub CSPM archivia i risultati di controllo archiviati per 30 giorni. Dopo 30 giorni, i risultati scadono e Security Hub CSPM li elimina definitivamente. Per determinare se un risultato di controllo archiviato è scaduto, Security Hub CSPM basa il calcolo sul valore del `UpdatedAt` campo del risultato.
Per archiviare i risultati di controllo archiviati per più di 30 giorni, puoi esportare i risultati in un bucket S3. Puoi farlo utilizzando un'azione personalizzata con una EventBridge regola Amazon. Per ulteriori informazioni, consulta [Utilizzo EventBridge per la risposta e la correzione automatizzate](securityhub-cloudwatch-events.md).
**Nota**
Prima del 3 luglio 2025, Security Hub CSPM generava e aggiornava i risultati del controllo in modo diverso quando lo stato di conformità di una risorsa cambiava rispetto a un controllo. In precedenza, Security Hub CSPM creava un nuovo risultato di controllo e archiviava il risultato esistente per una risorsa. Pertanto, potreste avere più risultati archiviati per un particolare controllo e risorsa fino alla scadenza di tali risultati (dopo 30 giorni).
## Automazione e soppressione dei risultati del controllo
È possibile utilizzare le regole di automazione CSPM di Security Hub per aggiornare o eliminare risultati di controllo specifici. Se si elimina un risultato, è possibile continuare ad accedervi. Tuttavia, la soppressione indica che ritenete che non sia necessaria alcuna azione per risolvere il problema.
Sopprimendo i risultati, è possibile ridurre il rumore di ricerca. Ad esempio, è possibile sopprimere i risultati dei controlli generati negli account di test. In alternativa, è possibile sopprimere i risultati relativi a risorse specifiche. Per ulteriori informazioni sull'aggiornamento o la soppressione automatica dei risultati, consulta. [Comprensione delle regole di automazione in Security Hub CSPM](automation-rules.md)
Le regole di automazione sono appropriate quando si desidera aggiornare o eliminare risultati di controllo specifici. Tuttavia, se un controllo non è pertinente alla tua organizzazione o al tuo caso d'uso, ti consigliamo di [disabilitarlo](disable-controls-overview.md). Se disabiliti un controllo, Security Hub CSPM non esegue controlli di sicurezza per esso e non ti viene addebitato alcun costo.
## Dettagli sulla conformità per i risultati del controllo
Nei risultati generati dai controlli di sicurezza, l'oggetto [Compliance](asff-top-level-attributes.md#asff-compliance) e i campi del AWS Security Finding Format (ASFF) forniscono dettagli sulla conformità per le singole risorse controllate da un controllo. Ciò include le seguenti informazioni:
+ `AssociatedStandards`— Gli standard abilitati in cui è abilitato il controllo.
+ `RelatedRequirements`— I relativi requisiti per il controllo in tutti gli standard abilitati. Questi requisiti derivano da framework di sicurezza di terze parti per il controllo, come il Payment Card Industry Data Security Standard (PCI DSS) o lo standard NIST SP 800-171 Revision 2.
+ `SecurityControlId`— L'identificatore per il controllo attraverso gli standard supportati da Security Hub CSPM.
+ `Status`— Il risultato del controllo più recente eseguito da Security Hub CSPM per il controllo. I risultati dei controlli precedenti vengono conservati nella cronologia del risultato.
+ `StatusReasons`— Un array che elenca i motivi del valore specificato dal `Status` campo. Per ogni motivo, sono inclusi un codice motivo e una descrizione.
La tabella seguente elenca i codici dei motivi e le descrizioni che un risultato potrebbe includere nell'`StatusReasons`array. Le fasi di correzione variano in base al controllo che ha generato un risultato con un codice motivo specificato. Per rivedere le linee guida per la riparazione di un controllo, fare riferimento a. [Riferimento di controllo per Security Hub CSPM](securityhub-controls-reference.md)
| Codice di motivo | Compliance status (Stato di conformità) | Description |
| --- | --- | --- |
| `CLOUDTRAIL_METRIC_FILTER_NOT_VALID` | `FAILED` | Il CloudTrail percorso multiregionale non dispone di un filtro metrico valido. |
| `CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT` | `FAILED` | I filtri metrici non sono presenti per il percorso multiregionale. CloudTrail |
| `CLOUDTRAIL_MULTI_REGION_NOT_PRESENT` | `FAILED` | L'account non dispone di un CloudTrail percorso multiregionale con la configurazione richiesta. |
| `CLOUDTRAIL_REGION_INVAILD` | `WARNING` | I CloudTrail percorsi multiregione non si trovano nella regione attuale. |
| `CLOUDWATCH_ALARM_ACTIONS_NOT_VALID` | `FAILED` | Non sono presenti operazioni di allarme valide. |
| `CLOUDWATCH_ALARMS_NOT_PRESENT` | `FAILED` | CloudWatch gli allarmi non esistono nell'account. |
| `CONFIG_ACCESS_DENIED` | `NOT_AVAILABLE` AWS Config lo stato è `ConfigError` | AWS Config accesso negato. Verifica che AWS Config sia abilitato e che siano state concesse autorizzazioni sufficienti. |
| `CONFIG_EVALUATIONS_EMPTY` | `PASSED` | AWS Config ha valutato le tue risorse in base alla regola. La regola non si applicava alle AWS risorse incluse nel suo ambito, le risorse specificate sono state eliminate o i risultati della valutazione sono stati eliminati. |
| `CONFIG_RECORDER_CUSTOM_ROLE` | `FAILED`(per Config.1) | Il AWS Config registratore utilizza un ruolo IAM personalizzato anziché il ruolo AWS Config collegato al servizio e il parametro `includeConfigServiceLinkedRoleCheck` personalizzato per Config.1 non è impostato su. `false` |
| `CONFIG_RECORDER_DISABLED` | `FAILED`(per Config.1) | AWS Config non è abilitato con il registratore di configurazione acceso. |
| `CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES` | `FAILED`(per Config.1) | AWS Config non registra tutti i tipi di risorse che corrispondono ai controlli CSPM di Security Hub abilitati. Attiva la registrazione per le seguenti risorse:. *Resources that aren't being recorded* |
| `CONFIG_RETURNS_NOT_APPLICABLE` | `NOT_AVAILABLE` | Lo stato di conformità è `NOT_AVAILABLE` dovuto al fatto che è stato AWS Config restituito lo stato **Non applicabile**. AWS Config non fornisce il motivo dello stato. Ecco alcuni possibili motivi dello stato **Non applicabile**: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/controls-findings-create-update.html) |
| `CONFIG_RULE_EVALUATION_ERROR` | `NOT_AVAILABLE` AWS Config lo stato è `ConfigError` | Questo codice motivo viene utilizzato per diversi tipi di errori di valutazione. La descrizione fornisce le informazioni sul motivo specifico. Il tipo di errore può essere uno dei seguenti: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/controls-findings-create-update.html) |
| `CONFIG_RULE_NOT_FOUND` | `NOT_AVAILABLE` AWS Config lo stato è `ConfigError` | La AWS Config regola è in fase di creazione. |
| `INTERNAL_SERVICE_ERROR` | `NOT_AVAILABLE` | Si è verificato un errore sconosciuto. |
| `LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE` | `FAILED` | Security Hub CSPM non è in grado di eseguire un controllo rispetto a un runtime Lambda personalizzato. |
| `S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION` | `WARNING` | Il risultato è in uno `WARNING` stato perché il bucket S3 associato a questa regola si trova in una regione o in un account diverso. Questa regola non supporta controlli tra regioni o account. È consigliabile disabilitare questo controllo in questa regione o account. Esegui solo nella regione o nell'account in cui si trova la risorsa. |
| `SNS_SUBSCRIPTION_NOT_PRESENT` | `FAILED` | I filtri metrici CloudWatch Logs non dispongono di un abbonamento Amazon SNS valido. |
| `SNS_TOPIC_CROSS_ACCOUNT` | `WARNING` | Il risultato è in uno stato. `WARNING` L'argomento SNS associato a questa regola è di proprietà di un account diverso. L'account corrente non è in grado di ottenere le informazioni sull'abbonamento. L'account proprietario dell'argomento SNS deve concedere all'account corrente l'`sns:ListSubscriptionsByTopic`autorizzazione per l'argomento SNS. |
| `SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION` | `WARNING` | Il risultato è in uno `WARNING` stato in cui l'argomento SNS associato a questa regola si trova in una regione o in un account diverso. Questa regola non supporta controlli tra regioni o account. È consigliabile disabilitare questo controllo in questa regione o account. Esegui solo nella regione o nell'account in cui si trova la risorsa. |
| `SNS_TOPIC_INVALID` | `FAILED` | L'argomento SNS associato a questa regola non è valido. |
| `THROTTLING_ERROR` | `NOT_AVAILABLE` | L'operazione API pertinente ha superato il limite consentito. |
## ProductFields dettagli relativi ai risultati del controllo
Nei risultati generati dai controlli di sicurezza per i controlli, l'[ProductFields](asff-top-level-attributes.md#asff-productfields)attributo del AWS Security Finding Format (ASFF) può includere i seguenti campi.
`ArchivalReasons:0/Description`
Descrive perché Security Hub CSPM ha archiviato un risultato.
Ad esempio, Security Hub CSPM archivia i risultati esistenti quando si disabilita un controllo o uno standard oppure si abilitano o disabilitano i risultati del controllo [consolidato](#consolidated-control-findings).
`ArchivalReasons:0/ReasonCode`
Specifica il motivo per cui Security Hub CSPM ha archiviato un risultato.
Ad esempio, Security Hub CSPM archivia i risultati esistenti quando si disabilita un controllo o uno standard oppure si abilitano o disabilitano i risultati del controllo [consolidato](#consolidated-control-findings).
`PreviousComplianceStatus`
Lo stato di conformità precedente (`Compliance.Status`) della risorsa per il controllo specificato, a partire dall'aggiornamento più recente del risultato. Se lo stato di conformità della risorsa non è cambiato durante l'aggiornamento più recente, questo valore è uguale al valore del `Compliance.Status` campo del risultato. Per un elenco di possibili valori, consulta [Valutazione dello stato di conformità e dello stato di controllo](controls-overall-status.md).
`StandardsGuideArn` o `StandardsArn`
L'ARN dello standard associato al controllo.
Per lo standard CIS AWS Foundations Benchmark, il campo è. `StandardsGuideArn` Per gli standard PCI DSS e AWS Foundational Security Best Practices, il campo è. `StandardsArn`
Questi campi vengono rimossi a favore di `Compliance.AssociatedStandards` se si abilitano i risultati di controllo [consolidati](#consolidated-control-findings).
`StandardsGuideSubscriptionArn` o `StandardsSubscriptionArn`
L'ARN dell'abbonamento dell'account allo standard.
Per lo standard CIS AWS Foundations Benchmark, il campo è. `StandardsGuideSubscriptionArn` Per gli standard PCI DSS e AWS Foundational Security Best Practices, il campo è. `StandardsSubscriptionArn`
Questi campi vengono rimossi se si abilitano i risultati del controllo [consolidato](#consolidated-control-findings).
`RuleId` o `ControlId`
L'identificatore del controllo.
Per la versione 1.2.0 dello standard CIS AWS Foundations Benchmark, il campo è. `RuleId` Per altri standard, incluse le versioni successive dello standard CIS AWS Foundations Benchmark, il campo è. `ControlId`
Questi campi vengono rimossi a favore di `Compliance.SecurityControlId` se si abilitano i risultati di controllo [consolidati.](#consolidated-control-findings)
`RecommendationUrl`
L'URL per le informazioni sulla correzione del controllo. Questo campo viene rimosso a favore di `Remediation.Recommendation.Url` se si abilitano i risultati del [controllo consolidato](#consolidated-control-findings).
`RelatedAWSResources:0/name`
Il nome della risorsa associata al risultato.
`RelatedAWSResource:0/type`
Il tipo di risorsa associata al controllo.
`StandardsControlArn`
L'ARN del controllo. Questo campo viene rimosso se si abilitano i [risultati del controllo consolidato](#consolidated-control-findings).
`aws/securityhub/ProductName`
Per i risultati del controllo, il nome del prodotto è`Security Hub`.
`aws/securityhub/CompanyName`
Per i risultati del controllo, il nome dell'azienda è`AWS`.
`aws/securityhub/annotation`
Una descrizione del problema rilevato dal controllo.
`aws/securityhub/FindingId`
L'identificatore del risultato.
Questo campo non fa riferimento a uno standard se si abilitano i risultati di [controllo consolidati](#consolidated-control-findings).
## Livelli di gravità per i risultati del controllo
La severità assegnata a un controllo CSPM di Security Hub indica l'importanza del controllo. La gravità di un controllo determina l'etichetta di gravità assegnata ai risultati del controllo.
### Criteri di gravità
La gravità di un controllo è determinata sulla base di una valutazione dei seguenti criteri:
+ **Quanto è difficile per un autore di minacce sfruttare la debolezza della configurazione associata al controllo?** La difficoltà è determinata dal livello di sofisticazione o complessità necessario per utilizzare la vulnerabilità per realizzare uno scenario di minaccia.
+ **Quanto è probabile che la debolezza porti a una compromissione delle vostre Account AWS risorse?** Una compromissione delle vostre Account AWS risorse significa che la riservatezza, l'integrità o la disponibilità dei dati o dell' AWS infrastruttura vengono danneggiate in qualche modo. La probabilità di compromissione indica la probabilità che lo scenario di minaccia comporti un'interruzione o una violazione delle tue o delle tue Servizi AWS risorse.
Ad esempio, consideriamo i seguenti punti deboli della configurazione:
+ Le chiavi di accesso utente non vengono ruotate ogni 90 giorni.
+ La chiave utente root IAM esiste.
Entrambi i punti deboli sono ugualmente difficili da sfruttare per un avversario. In entrambi i casi, l'avversario può utilizzare il furto di credenziali o qualche altro metodo per acquisire una chiave utente. Possono quindi utilizzarlo per accedere alle tue risorse in modo non autorizzato.
Tuttavia, la probabilità di una compromissione è molto più elevata se l'autore della minaccia acquisisce la chiave di accesso dell'utente root, in quanto ciò gli offre un accesso maggiore. Di conseguenza, la vulnerabilità della chiave dell'utente root ha una gravità maggiore.
La gravità non tiene conto della criticità della risorsa sottostante. La criticità è il livello di importanza delle risorse associate alla scoperta. Ad esempio, una risorsa associata a un'applicazione mission critical è più importante di una associata a test non di produzione. Per acquisire informazioni sulla criticità delle risorse, utilizzate il `Criticality` campo del AWS Security Finding Format (ASFF).
La tabella seguente associa la difficoltà di sfruttamento e la probabilità di compromissione alle etichette di sicurezza.
| | | | | |
| --- |--- |--- |--- |--- |
| | **Un compromesso è altamente probabile** | **Compromesso probabile** | **Compromesso improbabile** | **Compromesso altamente improbabile** |
| **Molto facile da sfruttare** | Critica | Critica | Elevata | Media |
| **Un po' facile da sfruttare** | Critica | Elevata | Media | Media |
| **Un po' difficile da sfruttare** | Elevata | Media | Media | Bassa |
| **Molto difficile da sfruttare** | Media | Media | Bassa | Bassa |
### Definizioni di gravità
Le etichette di gravità sono definite come segue.
**Critico: il problema deve essere risolto immediatamente per evitare che si aggravi.**
Ad esempio, un bucket S3 aperto è considerato un risultato di gravità critica. Poiché così tanti autori delle minacce cercano bucket S3 aperti, è probabile che i dati contenuti nei bucket S3 esposti vengano scoperti e consultati da altri.
In generale, le risorse accessibili al pubblico sono considerate problemi di sicurezza critici. È necessario trattare i risultati critici con la massima urgenza. È inoltre necessario considerare la criticità della risorsa.
**Alto: il problema deve essere affrontato come priorità a breve termine.**
Ad esempio, se un gruppo di sicurezza VPC predefinito è aperto al traffico in entrata e in uscita, viene considerato ad alta severità. È piuttosto facile per un autore di minacce compromettere un VPC utilizzando questo metodo. È anche probabile che l'autore della minaccia sia in grado di interrompere o esfiltrare le risorse una volta inserite nel VPC.
Security Hub CSPM consiglia di considerare un rilevamento di elevata gravità come una priorità a breve termine. È necessario adottare misure correttive immediate. È inoltre necessario considerare la criticità della risorsa.
**Medio: la questione dovrebbe essere affrontata come priorità a medio termine.**
Ad esempio, la mancanza di crittografia per i dati in transito è considerata una rilevazione di gravità media. È necessario un man-in-the-middle attacco sofisticato per sfruttare questa debolezza. In altre parole, è piuttosto difficile. È probabile che alcuni dati vengano compromessi se lo scenario di minaccia ha esito positivo.
Security Hub CSPM consiglia di esaminare la risorsa implicata il prima possibile. È inoltre necessario considerare la criticità della risorsa.
**Basso: il problema non richiede di per sé un'azione.**
Ad esempio, la mancata raccolta di informazioni forensi è considerata di bassa gravità. Questo controllo può aiutare a prevenire future compromessi, ma l'assenza di analisi forensi non porta direttamente a un compromesso.
Non è necessario agire immediatamente sugli esiti di bassa gravità, ma possono fornire un contesto quando li si correla con altri problemi.
**Informativo: non è stato rilevato alcun punto debole nella configurazione.**
In altre parole, lo stato è `PASSED``WARNING`, o`NOT AVAILABLE`.
Non vi è alcuna azione consigliata. I risultati informativi aiutano i clienti a dimostrare di essere conformi.
# Valutazione dello stato di conformità e dello stato di controllo
Il `Compliance.Status` campo del AWS Security Finding Format descrive il risultato di un risultato di controllo. AWS Security Hub CSPM utilizza lo stato di conformità dei risultati del controllo per determinare lo stato di controllo generale. Lo stato del controllo viene visualizzato nella pagina dei dettagli di un controllo sulla console Security Hub CSPM.
## Valutazione dello stato di conformità dei risultati del Security Hub CSPM
Allo stato di conformità per ogni risultato viene assegnato uno dei seguenti valori:
+ `PASSED`— Indica che il controllo ha superato il controllo di sicurezza relativo al risultato. Questo imposta automaticamente il Security Hub CSPM `Workflow.Status` su. `RESOLVED`
+ `FAILED`— Indica che il controllo non ha superato il controllo di sicurezza relativo al risultato.
+ `WARNING`— Indica che Security Hub CSPM non è in grado di determinare se la risorsa si trova in uno stato `PASSED` o`FAILED`. Ad esempio, [la registrazione AWS Config delle risorse](securityhub-setup-prereqs.md#config-resource-recording) non è attivata per il tipo di risorsa corrispondente.
+ `NOT_AVAILABLE`— Indica che il controllo non può essere completato perché un server ha avuto un errore, la risorsa è stata eliminata o il risultato della AWS Config valutazione sì`NOT_APPLICABLE`. Se il risultato della AWS Config valutazione è stato`NOT_APPLICABLE`, Security Hub CSPM archivia automaticamente il risultato.
Se lo stato di conformità di un risultato cambia `PASSED` da`FAILED`, o`WARNING`, ed `Workflow.Status` era uno o`NOT_AVAILABLE`, o, `NOTIFIED` o`RESOLVED`, Security Hub CSPM cambia `Workflow.Status` automaticamente in. `NEW`
Se non disponi di risorse corrispondenti a un controllo, Security Hub CSPM produce un `PASSED` risultato a livello di account. Se hai una risorsa corrispondente a un controllo ma poi la elimini, Security Hub CSPM crea un `NOT_AVAILABLE` risultato e lo archivia immediatamente. Dopo 18 ore, ricevi un `PASSED` risultato perché non hai più risorse corrispondenti al controllo.
## Determinare lo stato di controllo dallo stato di conformità
Security Hub CSPM ricava uno stato di controllo generale dallo stato di conformità dei risultati del controllo. Nel determinare lo stato del controllo, Security Hub CSPM ignora i risultati con un `RecordState` di `ARCHIVED` e i risultati con un di. `Workflow.Status` `SUPPRESSED`
Allo stato del controllo viene assegnato uno dei seguenti valori:
+ **Passato**: indica che tutti i risultati hanno uno stato di conformità pari a`PASSED`.
+ **Non riuscito**: indica che almeno un risultato ha uno stato di conformità pari a`FAILED`.
+ **Sconosciuto**: indica che almeno un risultato ha uno stato di conformità pari a `WARNING` o`NOT_AVAILABLE`. Nessun risultato ha uno stato di conformità pari a`FAILED`.
+ **Nessun dato**: indica che non ci sono risultati per il controllo. Ad esempio, un controllo appena abilitato ha questo stato fino a quando Security Hub CSPM non inizia a generare i relativi risultati. Un controllo ha questo stato anche se tutti i risultati sono `SUPPRESSED` o non sono disponibili nella versione corrente. Regione AWS
+ **Disabilitato**: indica che il controllo è disabilitato nell'account e nella regione correnti. Al momento non vengono eseguiti controlli di sicurezza per questo controllo nell'account e nella regione correnti. Tuttavia, i risultati di un controllo disattivato possono avere un valore per lo stato di conformità fino a 24 ore dopo la disabilitazione.
Per un account amministratore, lo stato di controllo riflette lo stato di controllo dell'account amministratore e degli account membro. In particolare, lo stato generale di un controllo appare come **Non riuscito** se il controllo presenta uno o più risultati non riusciti nell'account amministratore o in uno degli account dei membri. Se è stata impostata una regione di aggregazione, lo stato di controllo nella regione di aggregazione riflette lo stato di controllo nella regione di aggregazione e nelle regioni collegate. In particolare, lo stato generale di un controllo appare come **Non riuscito** se il controllo presenta uno o più risultati non riusciti nella regione di aggregazione o in una delle regioni collegate.
Security Hub CSPM genera in genere lo stato di controllo iniziale entro 30 minuti dalla prima visita alla pagina di **riepilogo** o alla pagina **degli standard di sicurezza** sulla console CSPM di Security Hub. È necessario che la [registrazione AWS Config delle risorse](controls-config-resources.md) sia configurata per visualizzare lo stato del controllo. Dopo la prima generazione degli stati di controllo, Security Hub CSPM aggiorna gli stati di controllo ogni 24 ore in base ai risultati delle 24 ore precedenti. Un timestamp nella pagina dei dettagli del controllo indica quando lo stato del controllo è stato aggiornato l'ultima volta.
**Nota**
Dopo aver abilitato un controllo per la prima volta, possono essere necessarie fino a 24 ore per generare gli stati di controllo nelle regioni della Cina e nel AWS GovCloud (US) Region.
# Calcolo dei punteggi di sicurezza
Nella console AWS Security Hub CSPM, la pagina **Riepilogo** e la pagina **Controlli** mostrano un punteggio di sicurezza riassuntivo per tutti gli standard abilitati. Nella pagina **degli standard di sicurezza**, Security Hub CSPM mostra anche un punteggio di sicurezza compreso tra 0 e 100 percento per ogni standard abilitato.
Quando abiliti Security Hub CSPM per la prima volta, Security Hub CSPM calcola il punteggio di sicurezza riepilogativo e i punteggi di sicurezza standard entro 30 minuti dalla prima visita alla pagina **Riepilogo** o **Standard di sicurezza sulla console**. I punteggi vengono generati solo per gli standard abilitati quando si visitano quelle pagine sulla console. Inoltre, la registrazione AWS Config delle risorse deve essere configurata per visualizzare gli spartiti. Il punteggio di sicurezza riassuntivo è la media dei punteggi di sicurezza standard. Per esaminare un elenco di standard attualmente abilitati, puoi utilizzare il [GetEnabledStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)funzionamento dell'API CSPM Security Hub.
Dopo la prima generazione di punteggi, Security Hub CSPM aggiorna i punteggi di sicurezza ogni 24 ore. Security Hub CSPM visualizza un timestamp per indicare quando un punteggio di sicurezza è stato aggiornato l'ultima volta. Tieni presente che possono essere necessarie fino a 24 ore prima che i punteggi di sicurezza vengano generati per la prima volta nelle regioni della Cina e AWS GovCloud (US) Regions.
Se attivi i [risultati del controllo consolidato](controls-findings-create-update.md#consolidated-control-findings), l'aggiornamento dei punteggi di sicurezza può richiedere fino a 24 ore. Inoltre, l'abilitazione di una nuova regione di aggregazione o l'aggiornamento delle aree collegate ripristina i punteggi di sicurezza esistenti. Security Hub CSPM può impiegare fino a 24 ore per generare nuovi punteggi di sicurezza che includono i dati delle regioni aggiornate.
## Metodo di calcolo dei punteggi di sicurezza
I punteggi di sicurezza rappresentano la proporzione tra controlli **passati** e controlli abilitati. Il punteggio viene visualizzato come percentuale arrotondata per eccesso o per difetto al numero intero più vicino.
Security Hub CSPM calcola un punteggio di sicurezza riassuntivo per tutti gli standard abilitati. Security Hub CSPM calcola anche un punteggio di sicurezza per ogni standard abilitato. **Ai fini del calcolo del punteggio, i controlli abilitati includono controlli con lo stato di **Passato**, **Non riuscito** e Sconosciuto.** I controlli con stato **Nessun dato** sono esclusi dal calcolo del punteggio.
Security Hub CSPM ignora i risultati archiviati e soppressi durante il calcolo dello stato del controllo. Ciò può influire sui punteggi di sicurezza. Ad esempio, se si eliminano tutti i risultati non riusciti di un controllo, il relativo stato diventa **Passato**, il che a sua volta può migliorare i punteggi di sicurezza. Per ulteriori informazioni sullo stato del controllo, vedere[Valutazione dello stato di conformità e dello stato di controllo](controls-overall-status.md).
**Esempio di punteggio:**
| Standard | Controlli superati | Controlli falliti | Controlli sconosciuti | Punteggio standard |
| --- | --- | --- | --- | --- |
| AWS Best practice di sicurezza di base v1.0.0 | 168 | 22 | 0 | 88% |
| Benchmark CIS AWS Foundations v1.4.0 | 8 | 29 | 0 | 22% |
| Benchmark CIS AWS Foundations v1.2.0 | 6 | 35 | 0 | 15% |
| Pubblicazione speciale del NIST 800-53 Revisione 5 | 159 | 56 | 0 | 74% |
| PCI DSS v3.2.1 | 28 | 17 | 0 | 62% |
Nel calcolo del punteggio di sicurezza riassuntivo, Security Hub CSPM conta ogni controllo una sola volta tra gli standard. Ad esempio, se è stato abilitato un controllo che si applica a tre standard abilitati, ai fini del punteggio viene conteggiato come un solo controllo abilitato.
In questo esempio, sebbene il numero totale di controlli abilitati tra gli standard abilitati sia 528, Security Hub CSPM conta ogni controllo univoco solo una volta ai fini del punteggio. Il numero di controlli univoci abilitati è probabilmente inferiore a 528. Se assumiamo che il numero di controlli univoci abilitati sia 515 e che il numero di controlli unici approvati sia 357, il punteggio riepilogativo è 69%. Questo punteggio viene calcolato dividendo il numero di controlli univoci passati per il numero di controlli univoci abilitati.
Potresti avere un punteggio di riepilogo diverso dal punteggio di sicurezza standard, anche se hai abilitato solo uno standard nel tuo account nella regione corrente. Ciò può verificarsi se hai effettuato l'accesso a un account amministratore e negli account membro sono abilitati standard aggiuntivi o standard diversi. Ciò può verificarsi anche se stai visualizzando il punteggio della Regione di aggregazione e nelle Regioni collegate sono abilitati standard aggiuntivi o standard diversi.
## Punteggi di sicurezza per gli account degli amministratori
Se hai effettuato l'accesso a un account amministratore, il punteggio di sicurezza riepilogativo e i punteggi standard tengono conto degli stati di controllo nell'account amministratore e in tutti gli account dei membri.
Se lo stato di un controllo è **Non riuscito** anche in un solo account membro, il relativo stato è **Non riuscito** nell'account amministratore e influisce sui punteggi dell'account amministratore.
Se hai effettuato l'accesso a un account amministratore e stai visualizzando i punteggi in una regione di aggregazione, i punteggi di sicurezza tengono conto degli stati di controllo in tutti gli account membro *e* in tutte le regioni collegate.
## Punteggi di sicurezza se hai impostato una regione di aggregazione
Se hai impostato un'aggregazione Regione AWS, il punteggio di sicurezza riassuntivo e i punteggi standard tengono conto complessivamente degli stati di controllo Regioni collegate.
Se lo stato di un controllo è **Non riuscito** anche in una sola regione collegata, il relativo stato è **Non riuscito** nella regione di aggregazione e influisce sui punteggi della regione di aggregazione.
Se hai effettuato l'accesso a un account amministratore e stai visualizzando i punteggi in una regione di aggregazione, i punteggi di sicurezza tengono conto degli stati di controllo in tutti gli account membro *e* in tutte le regioni collegate.