Security Hub でのコンプライアンスステータスとコントロールステータスの評価 - AWS Security Hub
Security Hub の検出結果のコンプライアンスステータスの評価コンプライアンスステータスからのコントロールステータスの取得

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub でのコンプライアンスステータスとコントロールステータスの評価

Compliance.Statusフィールド AWS セキュリティ検出結果形式は、コントロール検出結果の結果を記述します。Security Hub は、コントロール検出結果のコンプライアンス状況を使用して、全体的なコントロールステータスを決定します。コントロールのステータスは、Security Hub コンソールのコントロールの詳細ページに表示されます。

Security Hub の検出結果のコンプライアンスステータスの評価

各結果のコンプライアンスステータスには、次のいずれかの値が割り当てられています。

  • PASSED – コントロールがこの検出結果のセキュリティチェックに合格したことを示します。Security Hub を自動的に Workflow.Status に設定しますRESOLVED

    結果の Compliance.StatusPASSED から FAILEDWARNING、または NOT_AVAILABLE に変更され、かつ Workflow.StatusNOTIFIED または RESOLVED の場合、Security Hub は Workflow.StatusNEW に自動的に設定します。

    コントロールに対応するリソースがない場合、Security Hub はアカウントレベルでPASSED結果を生成します。コントロールに対応するリソースがあるが、そのリソースを削除すると、Security Hub はNOT_AVAILABLE検出結果を作成し、すぐにアーカイブします。18 時間後、コントロールに対応するリソースがなくなったため、PASSED結果が表示されます。

  • FAILED – コントロールがこの検出結果のセキュリティチェックに合格しなかったことを示します。

  • WARNING – チェックが完了したことを示しますが、Security Hub はリソースが PASSEDまたは FAILED状態であるかどうかを判断できません。

  • NOT_AVAILABLE – サーバーが失敗した、リソースが削除された、または の結果が原因でチェックを完了できないことを示します。 AWS Config 評価は でしたNOT_APPLICABLE

    そのファイルに AWS Config 評価結果は でNOT_APPLICABLE、Security Hub は自動的に検出結果をアーカイブします。

コンプライアンスステータスからのコントロールステータスの取得

Security Hub は、コントロールの検出結果のコンプライアンスステータスから全体的なコントロールステータスを取得します。コントロールステータスを決定する際、Security Hub は が RecordStateである検出結果ARCHIVEDと が Workflow.Statusである検出結果を無視しますSUPPRESSED

コントロールステータスには、次のいずれかの値が割り当てられています。

  • 合格 – すべての検出結果のコンプライアンスステータスが であることを示しますPASSED

  • Failed – 少なくとも 1 つの検出結果のコンプライアンスステータスが であることを示しますFAILED

  • Unknown – 少なくとも 1 つの検出結果のコンプライアンスステータスが WARNINGまたは であることを示しますNOT_AVAILABLE。コンプライアンスステータスが の検出結果はありませんFAILED

  • データなし - コントロールの結果がないことを示します。例えば、新しく有効化されたコントロールは、Security Hub がその検出結果の生成を開始するまで、このステータスになります。コントロールは、すべての検出結果が である場合、SUPPRESSEDまたは現在のリージョンで使用できない場合も、このステータスになります。

  • 無効 — 現在のアカウントとリージョンでコントロールが無効になっていることを示します。現在のアカウントとリージョンでは、このコントロールに対して現在セキュリティチェックは実行されていません。ただし、無効化されたコントロールの検出結果には、無効化後最大 24 時間のコンプライアンスステータスの値が含まれる場合があります。

管理者アカウントの場合、コントロールステータスには管理者アカウントとメンバーアカウントのコントロールステータスが反映されます。具体的には、コントロールの全体的なステータスは、管理者アカウントまたはメンバーアカウントに 1 つ以上の失敗した検出結果がある場合、失敗と表示されます。集約リージョンを設定している場合、集約リージョンのコントロールステータスには、集約リージョンとリンクされたリージョンのコントロールステータスが反映されます。具体的には、コントロールの全体的なステータスは、集約リージョンまたはリンクされたリージョンのいずれかに 1 つ以上の失敗した検出結果がある場合、失敗と表示されます。

Security Hub は通常、Security Hub コンソールの 概要ページまたはセキュリティ標準ページに初めてアクセスしてから 30 分以内に初期コントロールステータスを生成します。が必要です AWS Config コントロールステータスが表示されるように設定された リソース記録。コントロールステータスが初めて生成されると、Security Hub は過去 24 時間の結果に基づいて 24 時間ごとにコントロールステータスを更新します。コントロールの詳細ページのタイムスタンプは、コントロールのステータスが最後に更新された日時を示します。

注記

中国リージョンおよび で初めてのコントロールステータスの生成を有効にしてから、最大 24 時間かかる場合があります。 AWS GovCloud (US) Region.