Compreender os padrões de segurança do Security Hub - AWS Security Hub
Visualizar controles consolidadosResumo da pontuação de segurança dos controles

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Compreender os padrões de segurança do Security Hub

Um controle de segurança é uma salvaguarda dentro de um padrão de segurança que ajuda uma organização a proteger a confidencialidade, integridade e disponibilidade das informações. No Security Hub, um controle está relacionado a um recurso do AWS específico.

Quando você habilita um controle em um ou mais padrões, o Security Hub começa a executar nele verificações de segurança. As verificações de segurança geram as descobertas do Security Hub. Quando você desabilita um controle, o Security Hub deixa de executar nele verificações de segurança e as descobertas não são mais geradas.

Você pode habilitar ou desabilitar os controles individualmente para uma única conta e Região da AWS. Para poupar tempo e reduzir desvios de configuração em ambientes com várias contas, recomendamos o uso da configuração central para habilitar e desabilitar controles. Com a configuração central, o administrador delegado do Security Hub pode criar políticas que especifiquem como um controle deve ser configurado em várias contas e regiões. Para obter mais informações sobre como habilitar e desabilitar controles, consulte Habilitar controles no Security Hub.

Visualizar controles consolidados

A página Controles do console do Security Hub exibe todos os controles disponíveis na Região da AWS atual (você pode visualizar os controles no contexto de um padrão visitando a página Padrões de segurança e escolhendo um padrão ativado). O Security Hub atribui aos controles um ID, título e descrição de controle de segurança consistentes em todos os padrões. Os IDs de controles incluem o AWS service (Serviço da AWS) relevante e um número exclusivo (por exemplo, CodeBuild.3).

As informações a seguir estão disponíveis na página Controles do Console do Security Hub:

  • Uma pontuação geral de segurança com base na proporção de controles aprovados em comparação com o número total de controles habilitados com dados

  • Detalhamento dos status de todos os controles compatíveis com o Security Hub

  • O número de verificações de segurança aprovadas e reprovadas.

  • O número de verificações de segurança de controles reprovadas com diferente gravidade e links para ver mais detalhes sobre essas verificações reprovadas.

  • Uma lista de controles do Security Hub, com filtros para visualizar subconjuntos de controles específicos.

Na página Controles, você pode escolher um controle para visualizar seus detalhes e agir de acordo com as descobertas geradas pelo controle. Nessa página, você também pode ativar ou desativar um controle de segurança em sua Conta da AWS e Região da AWS atuais. As ações de ativação e desativação da página Controles se aplicam a todos os padrões. Para obter mais informações, consulte Habilitar controles no Security Hub.

Para contas de administrador, a página Controles reflete o status dos controles nas contas dos membros. Se uma verificação de controle for reprovada em pelo menos uma conta-membro, o status do controle será Reprovado. Se você definiu uma Região de agregação, a página Controles refletirá o status dos controles em todas as regiões vinculadas. Se uma verificação de controle for reprovada em pelo menos uma região vinculada, o status do controle será Reprovado.

A exibição de controles consolidados causa alterações nos campos de busca de controle no AWS Formato do Security Finding (ASFF) que podem afetar os fluxos de trabalho. Para obter mais informações, consulte Visualização de controles consolidados - Alterações no ASFF.

Resumo da pontuação de segurança dos controles

A página Controles exibe um resumo da pontuação de segurança de 0 a 100%. Um resumo da pontuação de segurança baseada na proporção de controles aprovados em relação ao número total de controles habilitados com dados em vários padrões.

nota

Para ver a pontuação geral de segurança dos controles, você deve adicionar permissão para chamar BatchGetControlEvaluations para o perfil do IAM que você usa para acessar o Security Hub. Essa permissão não é necessária para visualizar as pontuações de segurança de padrões específicos.

Quando você habilita o Security Hub, ele calcula a pontuação de segurança inicial dentro de 30 minutos após sua primeira visita à página Resumo ou à página Padrões de Segurança no console do Security Hub. Pode levar até 24 horas para que as pontuações de segurança pela primeira vez sejam geradas nas regiões da China e AWS GovCloud (US) Region.

Além da pontuação geral de segurança, o Security Hub calcula uma pontuação de segurança padrão para cada padrão habilitado dentro de 30 minutos após sua primeira visita à página Resumo ou à página Padrões de segurança. Para ver uma lista dos padrões atualmente habilitados, usa a operação da API GetEnabledStandards.

O AWS Config deve ser habilitado com a gravação de recursos para as pontuações serem exibidas. Para obter mais informações sobre como o Security Hub calcula pontuações de segurança, consulte Calcular pontuações de segurança.

Após a primeira geração de pontuação, o Security Hub atualiza as pontuações de segurança a cada 24 horas. O Security Hub exibe um timestamp para indicar quando uma pontuação de segurança foi atualizada pela última vez.

Se você definiu uma região de agregação, as pontuações de segurança geral incluem as descobertas de controles em todas as regiões vinculadas.