Avaliar status de conformidade e status de controles no Security Hub - AWS Security Hub
Avaliar o status de conformidade das descobertas do Security HubDerivar o status do controle do status de conformidade

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Avaliar status de conformidade e status de controles no Security Hub

O Compliance.Status campo do Formato de descoberta de AWS segurança descreve o resultado de uma descoberta de controle. O Security Hub usa o status de conformidade das descobertas de controle para determinar um status geral de controle. O status do controle é exibido na página de detalhes do controle no console do Security Hub.

Avaliar o status de conformidade das descobertas do Security Hub

Ao status de conformidade de cada descoberta é atribuído um dos seguintes valores:

  • PASSED: indica que o controle passou na verificação de segurança dessa descoberta. Define automaticamente o Workflow.Status do Security Hub como RESOLVED.

    Se o Compliance.Status de uma descoberta mudar de PASSED para FAILED, WARNING ou NOT_AVAILABLE, e o Workflow.Status for NOTIFIED ou RESOLVED, o Security Hub automaticamente definirá Workflow.Status como NEW.

    Se você não tiver os recursos que correspondam a um controle, o Security Hub gerará uma descoberta PASSED ao nível da conta. Se você tiver um recurso que corresponda a um controle, mas excluir o recurso, o Security Hub criará uma descoberta NOT_AVAILABLE e a arquivará imediatamente. Após 18 horas, você receberá uma descoberta PASSED, pois não tem mais os recursos correspondentes ao controle.

  • FAILED: indica que o controle não passou na verificação de segurança dessa descoberta.

  • WARNING: indica que a verificação foi concluída, mas o Security Hub não pode determinar se o recurso está em um estado PASSED ou FAILED.

  • NOT_AVAILABLE— Indica que a verificação não pode ser concluída porque um servidor falhou, o recurso foi excluído ou o resultado da AWS Config avaliação foiNOT_APPLICABLE.

    Se o resultado da AWS Config avaliação forNOT_APPLICABLE, o Security Hub arquiva automaticamente a descoberta.

Derivar o status do controle do status de conformidade

O Security Hub usa o status de conformidade das descobertas de controles para determinar um status geral do controle. Ao determinar o status do controle, o Security Hub ignora as descobertas que têm um RecordState ARCHIVED e as descobertas que têm um Workflow.Status SUPPRESSED.

Ao status do controle é atribuído um dos valores a seguir:

  • Aprovado: indica que o status de conformidade de todas as descobertas é PASSED.

  • Reprovado: indica que o status de conformidade de pelo menos um descoberta é FAILED.

  • Desconhecido: indica que o status de conformidade de pelo menos uma descoberta é WARNING ou NOT_AVAILABLE. Nenhuma descoberta tem um status de conformidade FAILED.

  • Sem dados: indica que não há descobertas para o controle. Por exemplo, um controle recém-habilitado tem esse status até o Security Hub começar a gerar descobertas para ele. Um controle também tem esse status se todas as descobertas estiverem SUPPRESSED ou indisponíveis na região atual.

  • Desabilitado: indica que o controle está desabilitado na conta e região atual. Nenhuma verificação de segurança está sendo feita para esse controle nessa conta e nessa região. Porém, as descobertas de um controle desabilitado podem ter um de status de conformidade por até 24 horas após a desabilitação.

Em uma conta de administrador, o status do controle reflete o status do controle na conta de administrador e em todas as contas-membro. Especificamente, o status geral de um controle aparece como Reprovado se o controle tiver uma ou mais descobertas reprovadas na conta do administrador ou em alguma das contas-membro. Se você definiu uma região de agregação, o status do controle na região de agregação refletirá o status do controle na região de agregação e nas regiões vinculadas. Especificamente, o status geral de um controle aparece como Reprovado se o controle tiver uma ou mais descobertas reprovadas na região de agregação ou em alguma das regiões vinculadas.

Normalmente, o Security Hub gera o status inicial do controle dentro de 30 minutos após sua primeira visita à página Resumo ou à página Padrões de segurança do console do Security Hub. A gravação de recursos do AWS Config deve estar configurada para que o status do controle seja exibido. Depois que o status do controle é gerado a primeira vez, o Security Hub atualiza esse status a cada 24 horas com base nas descobertas das 24 horas anteriores. Um timestamp na página de detalhes do controle indica a última vez que o status do controle foi atualizado.

nota

Pode levar até 24 horas após a ativação de um controle para que os primeiros status de controle sejam gerados nas regiões da China e AWS GovCloud (US) Region.