As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Noções básicas sobre verificações e as pontuações de segurança no CSPM do Security Hub
Para cada controle que você habilita, o AWS Security Hub CSPM executa verificações de segurança. Uma verificação de segurança produz uma descoberta que informa se um AWS recurso específico está em conformidade com as regras que o controle inclui.
Algumas verificações são executadas em uma programação periódica. Outras verificações são executadas somente quando há uma alteração no estado do recurso. Para obter mais informações, consulte [Programar a execução de verificações de segurança](securityhub-standards-schedule.md).
Muitas verificações de segurança usam regras AWS Config gerenciadas ou personalizadas para estabelecer os requisitos de conformidade. Para executar essas verificações, você deve configurar AWS Config e ativar o registro de recursos para os recursos necessários. Para obter mais informações sobre a configuração AWS Config, consulte[Habilitando e configurando o AWS Config Security Hub CSPM](securityhub-setup-prereqs.md). Para obter uma lista dos AWS Config recursos que você deve registrar para cada padrão, consulte[AWS Config Recursos necessários para descobertas de controle](controls-config-resources.md). Outros controles usam funções do Lambda personalizadas, que são gerenciadas pelo CSPM do Security Hub e não exigem nenhum pré-requisito.
À medida que o CSPM do Security Hub executa verificações de segurança, ele gera descobertas e atribui a elas um status de conformidade. Para obter mais informações sobre o status de conformidade, consulte [Avaliação do status de conformidade das descobertas do CSPM do Security Hub](controls-overall-status.md#controls-overall-status-compliance-status).
O CSPM do Security Hub usa o status de conformidade das descobertas de controle para determinar um status geral de controle. Com base no status de controle, o CSPM do Security Hub também calcula uma pontuação de segurança para todos os controles habilitados e para os padrões específicos. Para obter mais informações, consulte [Avaliação do status de conformidade e do status de controle](controls-overall-status.md) e [Calcular pontuações de segurança](standards-security-score.md).
Se você ativou as descobertas de controle consolidadas, o CSPM do Security Hub gerará uma única descoberta mesmo quando um controle estiver associado a mais de um padrão. Para obter mais informações, consulte [Descobertas de controle consolidadas](controls-findings-create-update.md#consolidated-control-findings).
**Topics**
+ [
# AWS Config Recursos necessários para descobertas de controle
](controls-config-resources.md)
+ [
# Programar a execução de verificações de segurança
](securityhub-standards-schedule.md)
+ [
# Gerando e atualizando descobertas de controle
](controls-findings-create-update.md)
+ [
# Avaliação do status de conformidade e do status de controle
](controls-overall-status.md)
+ [
# Calcular pontuações de segurança
](standards-security-score.md)
# AWS Config Recursos necessários para descobertas de controle
No CSPM do AWS Security Hub, alguns controles usam AWS Config regras vinculadas a serviços que detectam alterações de configuração em seus recursos. AWS Para que o Security Hub CSPM gere descobertas precisas para esses controles, você deve habilitar AWS Config e ativar o registro de recursos em. AWS Config Para obter informações sobre como o Security Hub CSPM usa AWS Config regras e como habilitar e configurar AWS Config, consulte. [Habilitando e configurando o AWS Config Security Hub CSPM](securityhub-setup-prereqs.md) Para obter informações detalhadas sobre os registros de recursos, consulte [Trabalho com o gravador de configurações](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) no *Guia do desenvolvedor do AWS Config *.
Para receber resultados de controle precisos, você deve ativar o registro de AWS Config recursos para controles habilitados com um tipo de agendamento *acionado por alteração*. Alguns controles com um tipo de programação *periódica* também exigem o registro de recursos. Esta página lista os recursos necessários para esses controles do CSPM do Security Hub.
Os controles CSPM do Security Hub podem se basear em AWS Config regras gerenciadas ou em regras personalizadas de CSPM do Security Hub. Certifique-se de que não haja políticas AWS Identity and Access Management (IAM) ou políticas AWS Organizations gerenciadas que AWS Config impeçam a permissão de registrar seus recursos. Os controles CSPM do Security Hub avaliam as configurações de recursos diretamente e não levam em conta AWS Organizations as políticas.
**nota**
Regiões da AWS Quando um controle não está disponível, o recurso correspondente não está disponível em AWS Config. Para obter uma lista desses limites, consulte [Limites regionais em controles do CSPM do Security Hub](regions-controls.md).
**Topics**
+ [
## Recursos obrigatórios para todos os controles do CSPM do Security Hub
](#all-controls-config-resources)
+ [
## Recursos necessários para o padrão AWS Foundational Security Best Practices
](#securityhub-standards-fsbp-config-resources)
+ [
## Recursos necessários para o CIS AWS Foundations Benchmark
](#securityhub-standards-cis-config-resources)
+ [
## Recursos obrigatórios para o padrão NIST SP 800-53 Revisão 5
](#nist-config-resources)
+ [
## Recursos obrigatórios para o padrão NIST SP 800-171 Revisão 2
](#nist-800-171-config-resources)
+ [
## Recursos obrigatórios para o PCI DSS v3.2.1
](#securityhub-standards-pci-config-resources)
+ [
## Recursos necessários para o padrão AWS de marcação de recursos
](#tagging-config-resources)
## Recursos obrigatórios para todos os controles do CSPM do Security Hub
Para que o Security Hub CSPM gere descobertas para controles acionados por alterações que estejam habilitados e usem uma AWS Config regra, você deve registrar os seguintes tipos de recursos em. AWS Config Essa tabela também indica quais controles avaliam um tipo de recurso específico. Um único controle pode avaliar mais de um tipo de recurso.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/controls-config-resources.html)
## Recursos necessários para o padrão AWS Foundational Security Best Practices
Para que o CSPM do Security Hub relate com precisão as descobertas de controles acionados por alterações que se aplicam ao padrão AWS Foundational Security Best Practices (v.1.0.0), esteja habilitado e use uma AWS Config regra, você deve registrar os seguintes tipos de recursos em. AWS Config Para obter informações sobre esse padrão, consulte [AWS Padrão básico de melhores práticas de segurança no Security Hub CSPM](fsbp-standard.md).
| AWS service (Serviço da AWS) | Resource types |
| --- | --- |
| Amazon API Gateway | `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage` |
| AWS AppSync | `AWS::AppSync::ApiCache`, `AWS::AppSync::GraphQLApi` |
| AWS Backup | `AWS::Backup::RecoveryPoint` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| AWS CodeBuild | `AWS::CodeBuild::Project`, `AWS::CodeBuild::ReportGroup` |
| Amazon Cognito | `AWS::Cognito::IdentityPool`, `AWS::Cognito::UserPool` |
| Amazon Connect | `AWS::Connect::Instance` |
| AWS DataSync | `AWS::DataSync::Task` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask` |
| Amazon DynamoDB | `AWS::DynamoDB::Table` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::SnapshotBlockPublicAccess`, `AWS::EC2::SpotFleet`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPCBlockPublicAccessOptions`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::Repository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::CapacityProvider`, `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`, `AWS::ECS::TaskSet` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint`, `AWS::EFS::FileSystem` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer` |
| ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EMR | `AWS::EMR::SecurityConfiguration` |
| AWS Glue | `AWS::Glue::Job`, `AWS::Glue::MLTransform` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Key` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon Managed Streaming for Apache Kafka (Amazon MSK) | `AWS::MSK::Cluster`, `AWS::KafkaConnect::Connector` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| OpenSearch Serviço Amazon | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBProxy`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription` |
| banco de dados de origem | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup` |
| Amazon Redshift Sem Servidor | `AWS::RedshiftServerless::Workgroup` |
| Amazon Route 53 | `AWS::Route53::HostedZone` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`, `AWS::S3::MultiRegionAccessPoint`, `AWS::S3Express::DirectoryBucket` |
| SageMaker IA da Amazon | `AWS::SageMaker::Model`, `AWS::SageMaker::NotebookInstance` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service (Amazon SQS) | `AWS::SQS::Queue` |
| AWS Secrets Manager | `AWS::SecretsManager::Secret` |
| AWS Step Functions | `AWS::StepFunctions::StateMachine` |
| AWS Transfer Family | `AWS::Transfer::Connector` |
| AWS WAF | `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL` |
| Amazon WorkSpaces | `AWS::WorkSpaces::WorkSpace` |
## Recursos necessários para o CIS AWS Foundations Benchmark
Para executar verificações de segurança para controles habilitados que se aplicam ao benchmark de AWS fundamentos do Center for Internet Security (CIS), o Security Hub CSPM executa as etapas de auditoria exatas prescritas para as verificações ou usa regras gerenciadas específicas. AWS Config Para obter informações sobre esse padrão no CSPM do Security Hub , consulte [Referência do CIS AWS Foundations no Security Hub CSPM](cis-aws-foundations-benchmark.md).
### Recursos necessários para o CIS v5.0.0
Para que o Security Hub CSPM relate com precisão as descobertas dos controles acionados por alterações do CIS v5.0.0 habilitados que usam uma AWS Config regra, você deve registrar os seguintes tipos de recursos em. AWS Config
| AWS service (Serviço da AWS) | Resource types |
| --- | --- |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::FileSystem` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBInstance`, `AWS::RDS::DBCluster` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` |
### Recursos obrigatórios para o CIS v3.0.0
Para que o Security Hub CSPM relate com precisão as descobertas dos controles acionados por alterações do CIS v3.0.0 habilitados que usam uma AWS Config regra, você deve registrar os seguintes tipos de recursos em. AWS Config
| AWS service (Serviço da AWS) | Resource types |
| --- | --- |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBInstance` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` |
### Recursos necessários para o CIS v1.4.0
Para que o Security Hub CSPM relate com precisão as descobertas dos controles acionados por alterações do CIS v1.4.0 habilitados que usam uma AWS Config regra, você deve registrar os seguintes tipos de recursos em. AWS Config
| AWS service (Serviço da AWS) | Resource types |
| --- | --- |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBInstance` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` |
### Recursos necessários para o CIS v1.2.0
Para que o Security Hub CSPM relate com precisão as descobertas dos controles acionados por alterações do CIS v1.2.0 habilitados que usam uma AWS Config regra, você deve registrar os seguintes tipos de recursos em. AWS Config
| AWS service (Serviço da AWS) | Resource types |
| --- | --- |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::SecurityGroup` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` |
## Recursos obrigatórios para o padrão NIST SP 800-53 Revisão 5
Para que o Security Hub CSPM relate com precisão as descobertas de controles acionados por alterações que se aplicam ao padrão NIST SP 800-53 Revisão 5, esteja habilitado e use uma AWS Config regra, você deve registrar os seguintes tipos de recursos em. AWS Config Para obter informações sobre esse padrão, consulte [NIST SP 800-53 Revisão 5 no CSPM do Security Hub](standards-reference-nist-800-53.md).
| AWS service (Serviço da AWS) | Resource types |
| --- | --- |
| Amazon API Gateway | `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage` |
| AWS AppSync | `AWS::AppSync::GraphQLApi` |
| AWS Backup | `AWS::Backup::RecoveryPoint` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| AWS CodeBuild | `AWS::CodeBuild::Project` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask` |
| Amazon DynamoDB | `AWS::DynamoDB::Table` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::Repository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer` |
| Amazon ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EMR | `AWS::EMR::SecurityConfiguration` |
| Amazon EventBridge | `AWS::Events::Endpoint`, `AWS::Events::EventBus` |
| AWS Glue | `AWS::Glue::Job` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon Managed Streaming for Apache Kafka (Amazon MSK) | `AWS::MSK::Cluster` |
| Amazon MQ | `AWS::AmazonMQ::Broker` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| OpenSearch Serviço Amazon | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription` |
| banco de dados de origem | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup` |
| Amazon Route 53 | `AWS::Route53::HostedZone` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket` |
| AWS Service Catalog | `AWS::ServiceCatalog::Portfolio` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service (Amazon SQS) | `AWS::SQS::Queue` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
| SageMaker IA da Amazon | `AWS::SageMaker::NotebookInstance` |
| AWS Secrets Manager | `AWS::SecretsManager::Secret` |
| AWS Transfer Family | `AWS::Transfer::Connector` |
| AWS WAF | `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL` |
## Recursos obrigatórios para o padrão NIST SP 800-171 Revisão 2
Para que o Security Hub CSPM relate com precisão as descobertas de controles acionados por alterações que se aplicam ao padrão NIST SP 800-171 Revisão 2, esteja habilitado e use uma AWS Config regra, você deve registrar os seguintes tipos de recursos em. AWS Config Para obter informações sobre esse padrão, consulte [NIST SP 800-171 Revisão 2 no CSPM do Security Hub](standards-reference-nist-800-171.md).
| AWS service (Serviço da AWS) | Resource types |
| --- | --- |
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` |
| Amazon API Gateway | `AWS::ApiGateway::Stage` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` |
| AWS Identity and Access Management(IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` |
| AWS WAF | `AWS::WAFv2::RuleGroup` |
## Recursos obrigatórios para o PCI DSS v3.2.1
Para que o CSPM do Security Hub relate com precisão as descobertas dos controles aplicáveis ao Payment Card Industry Data Security Standard (PCI DSS) v3.2.1, habilitados e que usam uma regra do AWS Config , é necessário registrar os tipos de recursos a seguir em AWS Config. Para obter informações sobre esse padrão, consulte [PCI DSS no CSPM do Security Hub](pci-standard.md).
| AWS service (Serviço da AWS) | Resource types |
| --- | --- |
| AWS CodeBuild | `AWS::CodeBuild::Project` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::SecurityGroup` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| AWS Lambda | `AWS::Lambda::Function` |
| OpenSearch Serviço Amazon | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot` |
| banco de dados de origem | `AWS::Redshift::Cluster` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
## Recursos necessários para o padrão AWS de marcação de recursos
Todos os controles que se aplicam ao padrão AWS Resource Tagging são acionados por alterações e usam uma AWS Config regra. Para que o Security Hub CSPM relate com precisão as descobertas desses controles, você deve registrar os seguintes tipos de recursos em. AWS Config Para obter informações sobre esse padrão, consulte [AWS Padrão de marcação de recursos no Security Hub CSPM](standards-tagging.md).
| AWS service (Serviço da AWS) | Resource types |
| --- | --- |
| AWS Amplify | `AWS::Amplify::App`, `AWS::Amplify::Branch` |
| Amazon AppFlow | `AWS::AppFlow::Flow` |
| AWS App Runner | `AWS::AppRunner::Service`, `AWS::AppRunner::VpcConnector` |
| AWS AppConfig | `AWS::AppConfig::Application`, `AWS::AppConfig::ConfigurationProfile`, `AWS::AppConfig::Environment`, `AWS::AppConfig::ExtensionAssociation` |
| AWS AppSync | `AWS::AppSync::GraphQLApi` |
| Amazon Athena | `AWS::Athena::DataCatalog`, `AWS::Athena::WorkGroup` |
| AWS Backup | `AWS::Backup::BackupPlan`, `AWS::Backup::BackupVault`, `AWS::Backup::RecoveryPlan`, `AWS::Backup::ReportPlan` |
| AWS Batch | `AWS::Batch::ComputeEnvironment`, `AWS::Batch::JobQueue`, `AWS::Batch::SchedulingPolicy` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| AWS CloudTrail | `AWS::CloudTrail::Trail` |
| AWS CodeArtifact | `AWS::CodeArtifact::Repository` |
| Amazon CodeGuru | `AWS::CodeGuruProfiler::ProfilingGroup`, `AWS::CodeGuruReviewer::RepositoryAssociation` |
| Amazon Connect | `AWS::CustomerProfiles::ObjectType` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Certificate`, `AWS::DMS::EventSubscription` `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationSubnetGroup` |
| AWS DataSync | `AWS::DataSync::Task` |
| Amazon Detective | `AWS::Detective::Graph` |
| Amazon DynamoDB | `AWS::DynamoDB::Trail` |
| Amazon Elastic Compute Cloud (EC2) | `AWS::EC2::CustomerGateway`, `AWS::EC2::DHCPOptions`, `AWS::EC2::EIP`, `AWS::EC2::FlowLog`, `AWS::EC2::Instance`, `AWS::EC2::InternetGateway`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NatGateway`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::PrefixList`, `AWS::EC2::RouteTable`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TrafficMirrorFilter`, `AWS::EC2::TrafficMirrorSession`, `AWS::EC2::TrafficMirrorTarget`, `AWS::EC2::TransitGateway`, `AWS::EC2::TransitGatewayAttachment`, `AWS::EC2::TransitGatewayRouteTable`, `AWS::EC2::Volume`, `AWS::EC2::VPC`, `AWS::EC2::VPCEndpointService`, `AWS::EC2::VPCPeeringConnection`, `AWS::EC2::VPNGateway` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::PublicRepository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster`, `AWS::EKS::IdentityProviderConfig` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EventBridge | `AWS::Events::EventBus` |
| Amazon Fraud Detector | `AWS::FraudDetector::EntityType`, `AWS::FraudDetector::Label` `AWS::FraudDetector::Outcome`, `AWS::FraudDetector::Variable` |
| AWS Global Accelerator | `AWS::GlobalAccelerator::Accelerator` |
| AWS Glue | `AWS::Glue::Job` |
| Amazon GuardDuty | `AWS::GuardDuty::Detector`, `AWS::GuardDuty::Filter`, `AWS::GuardDuty::IPSet` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Role`, `AWS::IAM::User` |
| AWS Identity and Access Management Access Analyzer (Analisador de acesso IAM) | `AWS::AccessAnalyzer::Analyzer` |
| AWS IoT | `AWS::IoT::Authorizer`, `AWS::IoT::Dimension`, `AWS::IoT::MitigationAction`, `AWS::IoT::Policy`, `AWS::IoT::RoleAlias`, `AWS::IoT::SecurityProfile` |
| AWS IoT Eventos | `AWS::IoTEvents::AlarmModel`, `AWS::IoTEvents::DetectorModel`, `AWS::IoTEvents::Input` |
| AWS IoT SiteWise | `AWS::IoTSiteWise::Dashboard`, `AWS::IoTSiteWise::Gateway`, `AWS::IoTSiteWise::Portal`, `AWS::IoTSiteWise::Project` |
| AWS IoT TwinMaker | `AWS::IoTTwinMaker::Entity`, `AWS::IoTTwinMaker::Scene`, `AWS::IoTTwinMaker::SyncJob`, `AWS::IoTTwinMaker::Workspace` |
| AWS IoT Sem fio | `AWS::IoTWireless::FuotaTask`, `AWS::IoTWireless::MulticastGroup`, `AWS::IoTWireless::ServiceProfile` |
| Amazon Interactive Video Service (Amazon IVS) | `AWS::IVS::Channel`, `AWS::IVS::PlaybackKeyPair`, `AWS::IVS::RecordingConfiguration` |
| Amazon Keyspaces (para Apache Cassandra) | `AWS::Cassandra::Keyspace` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon MQ | `AWS::AmazonMQ::Broker` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy` |
| OpenSearch Serviço Amazon | `AWS::OpenSearch::Domain` |
| Autoridade de Certificação Privada da AWS | `AWS::ACMPCA::CertificateAuthority` |
| Amazon Relational Database Service | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSecurityGroup`, `AWS::RDS::DBSnapshot`, `AWS::RDS::DBSubnetGroup` |
| banco de dados de origem | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterParameterGroup`, `AWS::Redshift::ClusterSnapshot`, `AWS::Redshift::ClusterSubnetGroup`, `AWS::Redshift::EventSubscription` |
| Amazon Route 53 | `AWS::Route53::HealthCheck` |
| SageMaker IA da Amazon | `AWS::SageMaker::AppImageConfig`, `AWS::SageMaker::Image` |
| AWS Secrets Manager | `AWS::SecretsManager::Secret` |
| Amazon Simple Email Service (Amazon SES) | `AWS::SES::ConfigurationSet`, `AWS::SES::ContactList` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service (Amazon SQS) | `AWS::SQS::Queue` |
| AWS Step Functions | `AWS::StepFunctions::Activity` |
| AWS Systems Manager (SMS) | `AWS::SSM::Document` |
| AWS Transfer Family | `AWS::Transfer::Agreement`, `AWS::Transfer::Certificate`, `AWS::Transfer::Connector`, `AWS::Transfer::Profile`, `AWS::Transfer::Workflow` |
# Programar a execução de verificações de segurança
Depois de habilitar um padrão de segurança, o AWS Security Hub CSPM começa a executar todas as verificações em duas horas. A maioria das verificações começa a ser executada em 25 minutos. O CSPM do Security Hub executa verificações avaliando a regra subjacente a um controle. Até que um controle conclua sua primeira execução de verificações, seu status é **Sem dados**.
Quando você habilita um novo padrão, pode levar até 24 horas para que o Security Hub CSPM gere descobertas para controles que usam a mesma regra subjacente AWS Config vinculada ao serviço dos controles habilitados de outros padrões habilitados. Por exemplo, se você habilitar o controle [Lambda.1](lambda-controls.md#lambda-1) no padrão AWS Foundational Security Best Practices (FSBP), o Security Hub CSPM cria a regra vinculada ao serviço e normalmente gera descobertas em minutos. Depois disso, se você habilitar o Lambda.1 no Padrão de segurança de dados do setor de cartão de pagamento (PCI DSS), o CSPM do Security Hub poderá levar até 24 horas para gerar descobertas para esse controle, pois ele usa a mesma regra vinculada ao serviço.
Após a verificação inicial, a programação para cada controle pode ser periódica ou acionada por alterações. Para um controle baseado em uma AWS Config regra gerenciada, a descrição do controle inclui um link para a descrição da regra no *Guia do AWS Config desenvolvedor*. Essa descrição especifica se a regra é periódica ou acionada por alterações.
## Verificações de segurança periódicas
As verificações periódicas são executadas automaticamente dentro de 12 ou 24 horas após a última execução. O CSPM do Security Hub determina a periodicidade, e você não pode alterá-la. Os controles periódicos refletem uma avaliação no momento em que a verificação é executada.
Se você atualizar o status do fluxo de trabalho de uma descoberta de controle periódica e, na próxima verificação, o status de conformidade da descoberta permanecer o mesmo, o status do fluxo de trabalho permanecerá em seu estado modificado. Por exemplo, se você tiver uma falha na descoberta do controle [KMS.4](kms-controls.md#kms-4) (a *AWS KMS key rotação deve ser ativada*) e, em seguida, corrigir a descoberta, o CSPM do Security Hub alterará o status do fluxo de trabalho de para. `NEW` `RESOLVED` Se você desativar a alternância da chave KMS antes da próxima verificação periódica, o status do fluxo de trabalho da descoberta permanecerá `RESOLVED`.
As verificações que usam as funções do Lambda personalizadas para o CSPM do Security Hub são periódicas.
## Verificações de segurança acionadas por alterações
As verificações de segurança acionadas por alterações são executadas quando o recurso associado muda de estado. AWS Config permite escolher entre *gravação contínua* de alterações no estado do recurso e *gravação diária*. Se você escolher a gravação diária, AWS Config fornecerá dados de configuração do recurso no final de cada período de 24 horas se houver alterações no estado do recurso. Se não houver alterações, nenhum dado será entregue. Isso pode atrasar a geração das descobertas do CSPM do Security Hub até que um período de 24 horas seja concluído. Independentemente do período de gravação escolhido, o CSPM do Security Hub verifica a cada 18 horas para garantir que nenhuma atualização de recursos tenha AWS Config sido perdida.
Em geral, o CSPM do Security Hub usa regras acionadas por alterações sempre que possível. Para que um recurso use uma regra acionada por alterações, ele deve oferecer suporte a itens de AWS Config configuração.
# Gerando e atualizando descobertas de controle
AWS O Security Hub CSPM gera e atualiza as descobertas de controle quando executa verificações nos controles de segurança. As descobertas de controles usam o [Formato de Descobertas de Segurança da AWS (ASFF)](securityhub-findings-format.md).
O CSPM do Security Hub normalmente cobra por cada verificação de segurança de um controle. No entanto, se vários controles usarem a mesma AWS Config regra, o Security Hub CSPM cobrará somente uma vez por cada verificação contra a regra. Por exemplo, a AWS Config `iam-password-policy` regra é usada por vários controles no padrão CIS AWS Foundations Benchmark e no padrão AWS Foundational Security Best Practices. Cada vez que o CSPM do Security Hub executa uma verificação em relação a essa regra , ele gera uma descoberta de controle separada para cada controle relacionado, mas cobra apenas uma vez pela verificação.
Se o tamanho de uma descoberta de controle exceder o máximo de 240 KB, o CSPM do Security Hub removerá o objeto `Resource.Details` da descoberta. Para controles que são apoiados por AWS Config recursos, você pode revisar os detalhes dos recursos usando o AWS Config console.
**Topics**
+ [
## Descobertas de controle consolidadas
](#consolidated-control-findings)
+ [
## Geração, atualização e arquivamento de descobertas de controle
](#securityhub-standards-results-updating)
+ [
## Automação e supressão de descobertas de controle
](#automation-control-findings)
+ [
## Detalhes de conformidade para as descobertas de controle
](#control-findings-asff-compliance)
+ [
## ProductFields detalhes das descobertas de controle
](#control-findings-asff-productfields)
+ [
## Níveis de gravidade para as descobertas de controles
](#control-findings-severity)
## Descobertas de controle consolidadas
Se as descobertas de controle consolidadas estiverem habilitadas para a sua conta, o CSPM do Security Hub gerará uma única descoberta ou atualização de descoberta para cada verificação de segurança de um controle, mesmo que um controle se aplique a vários padrões habilitados. Para obter uma lista dos controles e dos padrões aos quais eles se aplicam, consulte a [Referência de controle para o CSPM do Security Hub](securityhub-controls-reference.md). Recomendamos habilitar as descobertas de controles consolidadas para reduzir o ruído das descobertas.
Se você habilitou o Security Hub CSPM Conta da AWS antes de 23 de fevereiro de 2023, você pode habilitar descobertas de controle consolidadas seguindo as instruções mais adiante nesta seção. Se você habilitou o CSPM do Security Hub a partir de 23 de fevereiro de 2023, as descobertas de controles consolidadas serão habilitadas automaticamente para a sua conta.
Se você usar a [Integração do CSPM do Security Hub com o AWS Organizations](securityhub-accounts-orgs.md) ou convidar contas de membro por um [processo de convite manual](account-management-manual.md), as descobertas de controles consolidadas serão habilitadas somente para as contas de membro se forem habilitadas para a conta do administrador. Se o atributo for desabilitado para a conta do administrador, ele será desabilitado para as contas de membro. Esse comportamento se aplica a contas de membros novas e existentes. Além disso, se o administrador usar a [configuração central](central-configuration-intro.md) para gerenciar o CSPM do Security Hub para várias contas, ele não poderá usar políticas de configuração central para habilitar ou desabilitar descobertas de controle consolidadas para as contas.
Se você desabilitar as descobertas de controles consolidadas para sua conta, o CSPM do Security Hub gerará ou atualizará uma descoberta de controle separada para cada padrão habilitado que incluir um controle. Por exemplo, se você habilitar quatro padrões que compartilhem um controle, você receberá quatro descobertas separadas após uma verificação de segurança para o controle. Se você habilitar as descobertas de controles consolidadas, receberá somente uma descoberta.
Quando você habilita as descobertas de controles consolidadas, o CSPM do Security Hub cria novas descobertas independentes de padrões e arquiva as descobertas originais baseadas em padrões. Alguns campos e valores de descobertas de controle mudarão e poderão afetar seus fluxos de trabalho existentes. Consulte informações sobre essas alterações em [Descobertas de controle consolidadas - Alterações no ASFF](asff-changes-consolidation.md#securityhub-findings-format-consolidated-control-findings). Habilitar as descobertas de controle consolidadas também pode afetar as descobertas que as integrações de produtos de terceiros recebem do CSPM do Security Hub. Se você usa a solução [Automated Security Response na AWS v2.0.0](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/), observe que ela oferece suporte a descobertas de controle consolidadas.
Para habilitar ou desabilitar as descobertas de controles consolidadas, é necessário fazer login em uma conta de administrador ou a uma conta autônoma.
**nota**
Depois de você habilitar as descobertas de controles consolidadas, pode levar até 24 horas para que o CSPM do Security Hub gere novas descobertas consolidadas e arquive as descobertas existentes baseadas em padrões. De modo semelhante, depois de desabilitar as descobertas de controles consolidadas, o CSPM do Security Hub pode levar até 24 horas para gerar descobertas novas baseadas em padrões e arquivar as descobertas consolidadas existentes. Durante esses períodos, talvez você veja uma mistura de descobertas independentes de padrões e baseadas em padrões em sua conta.
------
#### [ Security Hub CSPM console ]
**Para habilitar ou desabilitar as descobertas de controles consolidadas**
1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. No painel de navegação, em **Configurações**, selecione **Geral**.
1. Na seção **Controles**, selecione **Editar**.
1. Use a opção **Descobertas de controle consolidadas** para habilitar ou desabilitar as descobertas de controles consolidadas.
1. Escolha **Salvar**.
------
#### [ Security Hub CSPM API ]
Para habilitar ou desabilitar as descobertas de controle programaticamente, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html) da API do CSPM do Security Hub. Ou, se você estiver usando o AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html)comando.
Para o parâmetro `control-finding-generator`, especifique `SECURITY_CONTROL` para habilitar as descobertas de controle consolidadas. Para desabilitar as descobertas de controles consolidadas, especifique `STANDARD_CONTROL`.
Por exemplo, o AWS CLI comando a seguir permite descobertas de controle consolidadas.
```
$ aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL
```
O AWS CLI comando a seguir desativa as descobertas de controle consolidadas.
```
$ aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL
```
------
## Geração, atualização e arquivamento de descobertas de controle
O CSPM do Security Hub executa verificações de segurança em uma [programação](securityhub-standards-schedule.md). A primeira vez que o Security Hub CSPM executa uma verificação de segurança para um controle, ele gera uma nova descoberta para cada AWS recurso verificado pelo controle. Cada vez que o CSPM do Security Hub executa uma verificação de segurança subsequente para o controle, ele atualiza as descobertas existentes para relatar os resultados da verificação. Isso significa que é possível usar os dados fornecidos por descobertas individuais para rastrear alterações de conformidade de recursos específicos em relação a controles específicos.
Por exemplo, se o status de conformidade de um recurso mudar de `FAILED` para `PASSED` para um controle específico, o CSPM do Security Hub não gerará uma nova descoberta. Em vez disso, o CSPM do Security Hub atualizará a descoberta existente para o controle e o recurso. Na descoberta, o CSPM do Security Hub altera o valor do campo status de conformidade (`Compliance.Status`) para `PASSED`. O CSPM do Security Hub também atualiza os valores dos campos adicionais para refletir os resultados da verificação, como, por exemplo, o rótulo de gravidade, o status do fluxo de trabalho e os timestamps que indicam quando o CSPM do Security Hub executou a verificação mais recentemente e atualizou a descoberta.
Ao relatar alterações no status de conformidade, o CSPM do Security Hub pode atualizar qualquer um dos campos a seguir em uma descoberta de controle:
+ `Compliance.Status`: o novo status de conformidade do recurso para o controle especificado.
+ `FindingProviderFields.Severity.Label`: a nova representação qualitativa da gravidade da descoberta, como `LOW`, `MEDIUM` ou `HIGH`.
+ `FindingProviderFields.Severity.Original`: a nova representação quantitativa da gravidade da descoberta, como `0` para um recurso em conformidade.
+ `FirstObservedAt`: quando o status de conformidade do recurso foi alterado mais recentemente.
+ `LastObservedAt`: quando o CSPM do Security Hub executou mais recentemente a verificação de segurança do controle e do recurso especificados.
+ `ProcessedAt`: quando o CSPM do Security Hub começou a processar a descoberta mais recentemente.
+ `ProductFields.PreviousComplianceStatus`: o status de conformidade (`Compliance.Status`) anterior do recurso para o controle especificado.
+ `UpdatedAt`: quando o CSPM do Security Hub atualizou a descoberta mais recentemente.
+ `Workflow.Status`: o status da investigação sobre a descoberta, com base no novo status de conformidade do recurso para o controle especificado.
Se o CSPM do Security Hub atualiza um campo, isso depende principalmente dos resultados da verificação de segurança mais recente para o controle e o recurso aplicáveis. Por exemplo, se o status de conformidade de um recurso mudar de `PASSED` para `FAILED` para um controle específico, o CSPM do Security Hub alterará o status do fluxo de trabalho da descoberta para `NEW`. Para rastrear as atualizações de descobertas individuais, é possível consultar o histórico de uma descoberta. Para obter detalhes sobre campos individuais nas descobertas, consulte o [Formato de Descobertas de Segurança da AWS (ASFF)](securityhub-findings-format.md).
Em certos casos, o CSPM do Security Hub gera novas descobertas para verificações subsequentes por um controle, em vez de atualizar as descobertas existentes. Isso pode ocorrer se houver um problema com a AWS Config regra que apóia um controle. Se isso acontecer, o CSPM do Security Hub arquivará a descoberta existente e gerará uma nova descoberta para cada verificação. Nas novas descobertas, o status de conformidade será `NOT_AVAILABLE` e o estado do registro será `ARCHIVED`. Depois de resolver o problema com a AWS Config regra, o Security Hub CSPM gera novas descobertas e começa a atualizá-las para rastrear alterações subsequentes no status de conformidade de recursos individuais.
Além de gerar e atualizar as descobertas de controle, o CSPM do Security Hub arquiva automaticamente as descobertas de controle que atendem a determinados critérios. O CSPM do Security Hub arquivará uma descoberta se o controle estiver desabilitado, se o recurso especificado for excluído ou se o recurso especificado não existir mais. Um recurso pode não existir mais porque o serviço associado não está mais sendo usado. Mais especificamente, o CSPM do Security Hub arquivará automaticamente uma descoberta de controle se a descoberta atender a um dos critérios a seguir:
+ A descoberta não foi atualizada dentro de 3 a 5 dias. Observe que o arquivamento com base nesse período de tempo é feito com base em melhor esforço, e não é garantido.
+ A AWS Config avaliação associada retornou `NOT_APPLICABLE` para o status de conformidade do recurso especificado.
Para determinar se uma descoberta está arquivada, é possível consultar o campo estado do registro (`RecordState`) da descoberta. Se uma descoberta for arquivada, o valor desse campo será `ARCHIVED`.
O CSPM do Security Hub armazena as descobertas de controle arquivadas por 30 dias. Depois de 30 dias, as descobertas expiram e o CSPM do Security Hub as exclui de forma permanente. Para determinar se uma descoberta de controle arquivada expirou, o CSPM do Security Hub baseia seu cálculo no valor do campo `UpdatedAt` da descoberta.
Para armazenar descobertas de controle arquivadas por mais de 30 dias, será possível exportá-las para um bucket do S3. Você pode fazer isso usando uma ação personalizada com uma EventBridge regra da Amazon. Para obter mais informações, consulte [Usando EventBridge para resposta e remediação automatizadas](securityhub-cloudwatch-events.md).
**nota**
Antes de 3 de julho de 2025, o CSPM do Security Hub gerava e atualizava as descobertas de controle de forma diferente quando o status de conformidade de um recurso mudava para um controle. Anteriormente, o CSPM do Security Hub criava uma nova descoberta de controle e arquivava a descoberta existente para um recurso. Portanto, é possível ter várias descobertas arquivadas para um determinado controle e recurso até que essas descobertas expirem (após 30 dias).
## Automação e supressão de descobertas de controle
É possível usar as regras de automação do CSPM do Security Hub para atualizar ou suprimir descobertas de controle específicas. Se você suprimir uma descoberta, poderá continuar acessando-a. No entanto, a supressão indica sua crença de que nenhuma ação é necessária para lidar com a descoberta.
Ao suprimir as descobertas, é possível reduzir o ruído de descobertas. Por exemplo, é possível suprimir as descobertas de controle geradas nas contas de teste. Ou é possível suprimir descobertas relacionadas a recursos específicos. Para saber mais sobre como atualizar ou suprimir descobertas automaticamente, consulte [Noções básicas sobre as regras de automação do CSPM do Security Hub](automation-rules.md).
As regras de automação são apropriadas quando você deseja atualizar ou suprimir descobertas de controle específicas. No entanto, se um controle não for relevante para sua organização ou caso de uso, recomendamos [desabilitar o controle](disable-controls-overview.md). Se você desabilitar um controle, o CSPM do Security Hub não executará as verificações de segurança e você não será cobrado por ele.
## Detalhes de conformidade para as descobertas de controle
Nas descobertas geradas pelas verificações de segurança dos controles, o objeto de [conformidade](asff-top-level-attributes.md#asff-compliance) e os campos no Formato de descoberta de AWS segurança (ASFF) fornecem detalhes de conformidade para recursos individuais verificados por um controle. Isso as informações a seguir:
+ `AssociatedStandards`: os padrões habilitados nos quais um controle está habilitado.
+ `RelatedRequirements`: os requisitos relacionados para o controle em todos os padrões habilitados. Esses requisitos derivam de estruturas de segurança de terceiros para o controle, como o Padrão de segurança de dados do setor de cartão de pagamento (PCI DSS) ou o padrão NIST SP 800-171 Revisão 2.
+ `SecurityControlId`: o identificador para o controle dentre os padrões de segurança aos quais o CSPM do Security Hub oferece suporte.
+ `Status`: o resultado da verificação mais recente que o CSPM do Security Hub executou para o controle. Os resultados das verificações anteriores são mantidos no histórico da descoberta.
+ `StatusReasons`: uma matriz que lista os motivos do valor especificado pelo campo `Status`. Para cada motivo, isso inclui um código de motivo e uma descrição.
A tabela a seguir lista os códigos de motivos e as descrições que uma descoberta pode incluir na matriz `StatusReasons`. As etapas de correção variam, dependendo de qual controle gerou uma descoberta com um código de motivo específico. Para analisar a orientação de correção de um controle, consulte a [Referência de controle para o CSPM do Security Hub](securityhub-controls-reference.md).
| Código do motivo | Compliance status (Status de conformidade) | Description |
| --- | --- | --- |
| `CLOUDTRAIL_METRIC_FILTER_NOT_VALID` | `FAILED` | A CloudTrail trilha multirregional não tem um filtro métrico válido. |
| `CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT` | `FAILED` | Os filtros métricos não estão presentes na CloudTrail trilha multirregional. |
| `CLOUDTRAIL_MULTI_REGION_NOT_PRESENT` | `FAILED` | A conta não tem uma CloudTrail trilha multirregional com a configuração necessária. |
| `CLOUDTRAIL_REGION_INVAILD` | `WARNING` | As CloudTrail trilhas multirregionais não estão na região atual. |
| `CLOUDWATCH_ALARM_ACTIONS_NOT_VALID` | `FAILED` | Nenhuma ação de alarme válida está presente. |
| `CLOUDWATCH_ALARMS_NOT_PRESENT` | `FAILED` | CloudWatch os alarmes não existem na conta. |
| `CONFIG_ACCESS_DENIED` | `NOT_AVAILABLE` AWS Config status é `ConfigError` | AWS Config acesso negado. Verifique se AWS Config está ativado e se recebeu permissões suficientes. |
| `CONFIG_EVALUATIONS_EMPTY` | `PASSED` | AWS Config avaliou seus recursos com base na regra. A regra não se aplicava aos AWS recursos em seu escopo, os recursos especificados foram excluídos ou os resultados da avaliação foram excluídos. |
| `CONFIG_RECORDER_CUSTOM_ROLE` | `FAILED` (para Config.1) | O AWS Config gravador usa uma função personalizada do IAM em vez da função AWS Config vinculada ao serviço, e o parâmetro `includeConfigServiceLinkedRoleCheck` personalizado para Config.1 não está definido como. `false` |
| `CONFIG_RECORDER_DISABLED` | `FAILED` (para Config.1) | AWS Config não está habilitado com o gravador de configuração ligado. |
| `CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES` | `FAILED` (para Config.1) | AWS Config não está registrando todos os tipos de recursos que correspondem aos controles CSPM habilitados do Security Hub. Ative a gravação para os seguintes recursos:*Resources that aren't being recorded*. |
| `CONFIG_RETURNS_NOT_APPLICABLE` | `NOT_AVAILABLE` | O status de conformidade é `NOT_AVAILABLE` porque AWS Config retornou um status de **Não aplicável**. AWS Config não fornece o motivo do status. Aqui estão alguns motivos possíveis para o status **Não aplicável**: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/controls-findings-create-update.html) |
| `CONFIG_RULE_EVALUATION_ERROR` | `NOT_AVAILABLE` AWS Config status é `ConfigError` | Esse código de motivo é usado para vários tipos diferentes de erros de avaliação. A descrição fornece as informações específicas do motivo. O tipo de erro pode ser um dos seguintes: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/controls-findings-create-update.html) |
| `CONFIG_RULE_NOT_FOUND` | `NOT_AVAILABLE` AWS Config status é `ConfigError` | A AWS Config regra está em processo de criação. |
| `INTERNAL_SERVICE_ERROR` | `NOT_AVAILABLE` | Ocorreu um erro desconhecido. |
| `LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE` | `FAILED` | O CSPM do Security Hub não consegue realizar uma verificação em um runtime do Lambda personalizado. |
| `S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION` | `WARNING` | A descoberta está no estado `WARNING` porque o bucket do S3 associado a essa regra está em uma região ou conta diferente. Essa regra não é compatível com verificações entre regiões ou entre contas. É recomendável que você desabilite esse controle nessa região ou conta. Execute somente na região ou na conta onde o recurso está localizado. |
| `SNS_SUBSCRIPTION_NOT_PRESENT` | `FAILED` | Os filtros métricos do CloudWatch Logs não têm uma assinatura válida do Amazon SNS. |
| `SNS_TOPIC_CROSS_ACCOUNT` | `WARNING` | A descoberta está em um estado de `WARNING`. O tópico SNS associado a esta regra pertence a uma conta diferente. A conta atual não pode obter as informações da assinatura. A conta proprietária do tópico do SNS deve conceder à conta atual a permissão `sns:ListSubscriptionsByTopic` para o tópico do SNS. |
| `SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION` | `WARNING` | A descoberta está em estado `WARNING` porque o tópico do SNS associado a essa regra está em uma região ou conta diferente. Essa regra não é compatível com verificações entre regiões ou entre contas. É recomendável que você desabilite esse controle nessa região ou conta. Execute somente na região ou na conta onde o recurso está localizado. |
| `SNS_TOPIC_INVALID` | `FAILED` | O tópico do SNS associado a essa regra é inválido. |
| `THROTTLING_ERROR` | `NOT_AVAILABLE` | A operação de API relevante excedeu a taxa permitida. |
## ProductFields detalhes das descobertas de controle
Nas descobertas geradas pelas verificações de segurança dos controles, o [ProductFields](asff-top-level-attributes.md#asff-productfields)atributo no Formato de descoberta de AWS segurança (ASFF) pode incluir os seguintes campos.
`ArchivalReasons:0/Description`
Descreve por que o CSPM do Security Hub arquivou uma descoberta.
Por exemplo, o CSPM do Security Hub arquiva descobertas existentes quando você desabilita um controle ou padrão, ou quando você habilita ou desabilita [descobertas de controle consolidadas](#consolidated-control-findings).
`ArchivalReasons:0/ReasonCode`
Especifica por que o CSPM do Security Hub arquivou uma descoberta.
Por exemplo, o CSPM do Security Hub arquiva descobertas existentes quando você desabilita um controle ou padrão, ou quando você habilita ou desabilita [descobertas de controle consolidadas](#consolidated-control-findings).
`PreviousComplianceStatus`
O status de conformidade (`Compliance.Status`) anterior do recurso para o controle especificado, a partir da atualização mais recente da descoberta. Se o status de conformidade do recurso não foi alterado durante a atualização mais recente, esse valor será igual ao valor do campo `Compliance.Status` da descoberta. Para obter uma lista de valores possíveis, consulte [Avaliação do status de conformidade e do status de controle](controls-overall-status.md).
`StandardsGuideArn` ou `StandardsArn`
O ARN do padrão associado ao controle.
Para o padrão CIS AWS Foundations Benchmark, o campo é. `StandardsGuideArn` Para os padrões PCI DSS e AWS Foundational Security Best Practices, o campo é. `StandardsArn`
Esses campos serão removidos em favor dos `Compliance.AssociatedStandards` se você habilitar as [descobertas de controles consolidadas](#consolidated-control-findings).
`StandardsGuideSubscriptionArn` ou `StandardsSubscriptionArn`
O ARN da assinatura padrão da conta.
Para o padrão CIS AWS Foundations Benchmark, o campo é. `StandardsGuideSubscriptionArn` Para os padrões PCI DSS e AWS Foundational Security Best Practices, o campo é. `StandardsSubscriptionArn`
Esses campos serão removidos se você habilitar as [descobertas de controles consolidadas](#consolidated-control-findings).
`RuleId` ou `ControlId`
O identificador do controle.
Para a versão 1.2.0 do padrão CIS AWS Foundations Benchmark, o campo é. `RuleId` Para outros padrões, incluindo versões subsequentes do padrão CIS AWS Foundations Benchmark, o campo é `ControlId`.
Esses campos serão removidos em favor dos `Compliance.SecurityControlId` se você habilitar as [descobertas de controles consolidadas](#consolidated-control-findings).
`RecommendationUrl`
O URL para informações de correção para o controle. Esse campo será removido em favor dos `Remediation.Recommendation.Url` se você habilitar as [descobertas de controles consolidadas](#consolidated-control-findings).
`RelatedAWSResources:0/name`
O nome do recurso associado à descoberta.
`RelatedAWSResource:0/type`
O tipo de recurso associado ao controle.
`StandardsControlArn`
O ARN do controle. Esse campo será removido se você habilitar as [descobertas de controles consolidadas](#consolidated-control-findings).
`aws/securityhub/ProductName`
Para descobertas de controles, o nome do produto é `Security Hub`.
`aws/securityhub/CompanyName`
Para descobertas de controles, o nome da empresa é `AWS`.
`aws/securityhub/annotation`
Uma descrição do problema descoberto pelo controle.
`aws/securityhub/FindingId`
O identificador para a descoberta.
Esse campo não referenciará um padrão se você habilitar as [descobertas de controles consolidadas](#consolidated-control-findings).
## Níveis de gravidade para as descobertas de controles
A gravidade atribuída a um controle do CSPM do Security Hub indica a importância do controle. A gravidade de um controle determina o rótulo de gravidade atribuído às descobertas do controle.
### Critérios de gravidade
A gravidade de um controle é determinada com base em uma avaliação dos seguintes critérios:
+ **É difícil para um agente de ameaças tirar proveito da fraqueza de configuração associada ao controle?** A dificuldade é determinada pela quantidade de sofisticação ou complexidade necessária para usar a fraqueza para realizar um cenário de ameaça.
+ **Qual é a probabilidade de que a fraqueza leve ao comprometimento de seus recursos Contas da AWS ou de seus recursos?** O comprometimento de seus Contas da AWS recursos significa que a confidencialidade, a integridade ou a disponibilidade de seus dados ou AWS infraestrutura estão danificadas de alguma forma. A probabilidade de comprometimento indica a probabilidade de o cenário de ameaça resultar em uma interrupção ou violação de seus recursos ou de seus recursos Serviços da AWS .
Como exemplo, considere os seguintes pontos fracos da configuração:
+ As chaves de acesso do usuário não são trocadas a cada 90 dias.
+ A chave de usuário raiz do IAM existe.
Ambas as fraquezas são igualmente difíceis de serem aproveitadas por um adversário. Em ambos os casos, o adversário pode usar o roubo de credenciais ou algum outro método para adquirir uma chave de usuário. Eles podem então usá-lo para acessar seus recursos de forma não autorizada.
No entanto, a probabilidade de um comprometimento é muito maior se o agente da ameaça adquirir a chave de acesso do usuário raiz, pois isso lhe dá maior acesso. Como resultado, a fraqueza da chave do usuário raiz tem uma gravidade maior.
A gravidade não leva em conta a criticidade do recurso subjacente. A criticidade é definida como o nível de importância dos recursos associados à descoberta. Por exemplo, um recurso associado a uma aplicação de missão crítica é mais crítico que um associado a testes que não sejam de produção. Para capturar informações sobre a criticidade do recurso, use o `Criticality` campo AWS Security Finding Format (ASFF).
A tabela a seguir mapeia a dificuldade de exploração e a probabilidade de comprometimento dos rótulos de segurança.
| | | | | |
| --- |--- |--- |--- |--- |
| | **Comprometimento altamente provável** | **Comprometimento provável** | **Comprometimento improvável** | **Comprometimento altamente improvável** |
| **Muito fácil de explorar** | Crítico | Crítico | Alto | Médio |
| **Um pouco fácil de explorar** | Crítico | Alto | Médio | Médio |
| **Um pouco difícil de explorar** | Alto | Médio | Médio | Baixo |
| **Muito difícil de explorar** | Médio | Médio | Baixo | Baixo |
### Definições de gravidade
Os rótulos de gravidade são definidos da seguinte forma.
**Crítico: o problema deve ser corrigido imediatamente para evitar que seja escalonado.**
Por exemplo, um bucket do S3 aberto é considerado uma descoberta de gravidade crítica. Como muitos atores maliciosos buscam buckets do S3 abertos, é provável que os dados em um bucket do S3 exposto sejam descobertos e acessados por outros.
Em geral, os recursos acessíveis ao público são considerados problemas críticos de segurança. É necessário tratar as descobertas críticas com a máxima urgência. Você também deve considerar a importância do recurso.
**Alto: o problema deve ser tratado como prioridade de curto prazo.**
Por exemplo, se um grupo de segurança VPC padrão estiver aberto ao tráfego de entrada e saída, ele será considerado de alta gravidade. É um pouco fácil para um agente de ameaças comprometer uma VPC usando esse método. Também é provável que o agente da ameaça consiga interromper ou exfiltrar recursos quando eles estiverem na VPC.
O CSPM do Security Hub recomenda que você trate uma descoberta de alta gravidade como uma prioridade de curto prazo. É necessário tomar medidas imediatas de correção. Você também deve considerar a importância do recurso.
**Médio: a questão deve ser tratada como uma prioridade de médio prazo.**
Por exemplo, a falta de criptografia para dados em trânsito é considerada uma descoberta de gravidade média. É necessário um man-in-the-middle ataque sofisticado para tirar proveito dessa fraqueza. Em outras palavras, é um pouco difícil. É provável que alguns dados sejam comprometidos se o cenário de ameaça for bem-sucedido.
O CSPM do Security Hub recomenda que você investigue o recurso implicado o mais cedo possível. Você também deve considerar a importância do recurso.
**Baixo: o problema não requer ação por conta própria.**
Por exemplo, a falha na coleta de informações forenses é considerada de baixa gravidade. Esse controle pode ajudar a evitar futuros compromissos, mas a ausência de perícia não leva diretamente a um comprometimento.
Você não precisa tomar medidas imediatas em relação às descobertas de baixa gravidade, mas elas podem fornecer contexto quando você as correlaciona com outros problemas.
**Informativo: nenhuma falha de configuração foi encontrada.**
Em outras palavras, o status é `PASSED`, `WARNING` ou `NOT AVAILABLE`.
Não há ação recomendada. As descobertas informativas ajudam os clientes a demonstrar que estão em um estado de conformidade.
# Avaliação do status de conformidade e do status de controle
O `Compliance.Status` campo do Formato de descoberta de AWS segurança descreve o resultado de uma descoberta de controle. AWS O Security Hub CSPM usa o status de conformidade das descobertas de controle para determinar um status geral de controle. O status do controle é exibido na página de detalhes do controle no console do CSPM do Security Hub.
## Avaliação do status de conformidade das descobertas do CSPM do Security Hub
Ao status de conformidade de cada descoberta é atribuído um dos seguintes valores:
+ `PASSED`: indica que o controle passou na verificação de segurança da descoberta. Isso define automaticamente o CSPM do `Workflow.Status` do Security Hub como `RESOLVED`.
+ `FAILED`: indica que o controle não passou na verificação de segurança da descoberta.
+ `WARNING`: indica que o CSPM do Security Hub não pode determinar se o recurso está em um estado `PASSED` ou `FAILED`. Por exemplo, a [gravação de recursos do AWS Config](securityhub-setup-prereqs.md#config-resource-recording) não está ativada para o tipo de recurso correspondente.
+ `NOT_AVAILABLE`— Indica que a verificação não pode ser concluída porque um servidor falhou, o recurso foi excluído ou o resultado da AWS Config avaliação foi`NOT_APPLICABLE`. Se o resultado da AWS Config avaliação for`NOT_APPLICABLE`, o Security Hub CSPM arquiva automaticamente a descoberta.
Se o status de conformidade de uma descoberta mudar de `PASSED` para `FAILED`, `WARNING` ou `NOT_AVAILABLE`, e o `Workflow.Status` for `NOTIFIED` ou `RESOLVED`, o CSPM do Security Hub automaticamente modificará `Workflow.Status` para `NEW`.
Se você não tiver os recursos que correspondam a um controle, o CSPM do Security Hub gerará uma descoberta `PASSED` no nível da conta. Se você tiver um recurso que corresponda a um controle, mas excluir o recurso, o CSPM do Security Hub criará uma descoberta `NOT_AVAILABLE` e a arquivará imediatamente. Após 18 horas, você receberá uma descoberta `PASSED`, pois não terá mais os recursos correspondentes ao controle.
## Derivar o status do controle do status de conformidade
O CSPM do Security Hub usa o status de conformidade das descobertas de controles para determinar um status geral de controle. Ao determinar o status do controle, o CSPM do Security Hub ignorará as descobertas que tenham um `RecordState` de `ARCHIVED` e as descobertas que tenham um `Workflow.Status` de `SUPPRESSED`.
Ao status do controle é atribuído um dos valores a seguir:
+ **Aprovado**: indica que o status de conformidade de todas as descobertas é `PASSED`.
+ **Reprovado**: indica que o status de conformidade de pelo menos um descoberta é `FAILED`.
+ **Desconhecido**: indica que o status de conformidade de pelo menos uma descoberta é `WARNING` ou `NOT_AVAILABLE`. Nenhuma descoberta tem um status de conformidade `FAILED`.
+ **Sem dados**: indica que não há descobertas para o controle. Por exemplo, um controle recém-habilitado terá esse status até o CSPM do Security Hub começar a gerar descobertas para ele. Um controle também terá esse status se todas as suas descobertas forem `SUPPRESSED` ou se ele estiver indisponível na Região da AWS atual.
+ **Desabilitado**: indica que o controle está desabilitado na conta e região atual. Nenhuma verificação de segurança está sendo feita para esse controle nessa conta e nessa região. Porém, as descobertas de um controle desabilitado podem ter um de status de conformidade por até 24 horas após a desabilitação.
Em uma conta de administrador, o status do controle reflete o status do controle para a conta de administrador e em todas as contas de membro. Especificamente, o status geral de um controle aparece como **Reprovado** se o controle tiver uma ou mais descobertas reprovadas na conta do administrador ou em alguma das contas de membro. Se você definiu uma região de agregação, o status do controle na região de agregação refletirá o status do controle na região de agregação e nas regiões vinculadas. Especificamente, o status geral de um controle aparece como **Reprovado** se o controle tiver uma ou mais descobertas reprovadas na região de agregação ou em alguma das regiões vinculadas.
Normalmente, o CSPM do Security Hub gera o status inicial do controle dentro de 30 minutos após sua primeira visita à página **Resumo** ou à página **Padrões de segurança** no console do CSPM do Security Hub. A [gravação de recursos do AWS Config](controls-config-resources.md) deve estar configurada para que o status do controle seja exibido. Depois que o status do controle for gerado pela primeira vez, o CSPM do Security Hub atualizará esse status a cada 24 horas com base nas descobertas das 24 horas anteriores. Um timestamp na página de detalhes do controle indica a última vez que o status do controle foi atualizado.
**nota**
Após a habilitação de um controle pela primeira vez, pode levar até 24 horas para que os status de controle sejam gerados nas regiões da China e da AWS GovCloud (US) Region.
# Calcular pontuações de segurança
No console CSPM do AWS Security Hub, a página **Resumo** e a página **Controles** exibem uma pontuação de segurança resumida em todos os padrões habilitados. Na página **Padrões de segurança**, o CSPM do Security Hub também exibe uma pontuação de segurança de 0 a 100% para cada padrão habilitado.
Quando você habilita o CSPM do Security Hub pela primeira vez, ele calcula a pontuação de segurança resumida e as pontuações de segurança padrão dentro de 30 minutos após sua primeira visita à página **Resumo** ou à página **Padrões de segurança** no console. As pontuações são geradas somente para padrões que estejam habilitados quando você visita essas páginas no console. Além disso, a gravação de recursos do AWS Config deve ser configurada para que as pontuações sejam exibidas. A pontuação de segurança resumida é a média das pontuações de segurança padrão. Para revisar uma lista de padrões atualmente habilitados, você pode usar a [GetEnabledStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)operação da API CSPM do Security Hub.
Após a primeira geração de pontuação, o CSPM do Security Hub atualizará as pontuações de segurança a cada 24 horas. O CSPM do Security Hub exibe um timestamp para indicar quando uma pontuação de segurança foi atualizada pela última vez. Observe que pode levar até 24 horas para que as pontuações de segurança sejam geradas pela primeira vez nas regiões da China e AWS GovCloud (US) Regions.
Se você ativar as [descobertas de controle consolidadas](controls-findings-create-update.md#consolidated-control-findings), poderá levar até 24 horas para que suas pontuações de segurança sejam atualizadas. Além disso, habilitar uma nova região de agregação ou atualizar regiões vinculadas redefine as pontuações de segurança existentes. Pode levar até 24 horas para que o CSPM do Security Hub gere novas pontuações de segurança que incluam dados das regiões atualizadas.
## Método de cálculo das pontuações de segurança
A pontuação de segurança representa a proporção de controles no estado **Aprovado** para controles habilitados. A pontuação é exibida como uma porcentagem arredondada para cima ou para baixo para o número inteiro mais próximo.
O CSPM do Security Hub calcula uma pontuação de segurança resumida em todos os seus padrões habilitados. O CSPM do Security Hub também calcula uma pontuação de segurança para cada padrão habilitado. Para fins de cálculo de pontuação, os controles habilitados incluem controles com status de **Aprovado**, **Falha** e **Desconhecido**. Os controles com o status **Sem dados** são excluídos do cálculo da pontuação.
O CSPM do Security Hub ignora descobertas arquivadas e suprimidas ao calcular o status do controle. Isso pode afetar as pontuações de segurança. Por exemplo, se você suprimir todas as descobertas com falhas de um controle, seu status se tornará **Aprovado**, o que, por sua vez, pode melhorar suas pontuações de segurança. Para obter mais informações sobre status de controle, consulte [Avaliação do status de conformidade e do status de controle](controls-overall-status.md).
**Exemplo de pontuação:**
| Standard | Controles aprovados | Falha nos controles | Controles desconhecidos | Pontuação padrão |
| --- | --- | --- | --- | --- |
| AWS Melhores práticas básicas de segurança v1.0.0 | 168 | 22 | 0 | 88% |
| Referência do CIS AWS Foundations v1.4.0 | 8 | 29 | 0 | 22% |
| Referência do CIS AWS Foundations v1.2.0 | 6 | 35 | 0 | 15% |
| Publicação especial 800-53 do NIST Revisão 5 | 159 | 56 | 0 | 74% |
| PCI DSS v3.2.1 | 28 | 17 | 0 | 62% |
Ao calcular a pontuação resumida de segurança, o CSPM do Security Hub conta cada controle apenas uma vez em todos os padrões. Por exemplo, se você ativou um controle que se aplica a três padrões ativados, ele conta apenas como um controle ativado para fins de pontuação.
Neste exemplo, embora o número total de controles habilitados em todos os padrões habilitados seja 528, o CSPM do Security Hub conta cada controle exclusivo apenas uma vez para fins de pontuação. O número de controles ativados exclusivos provavelmente é menor que 528. Se assumirmos que o número de controles exclusivos ativados é 515 e o número de controles exclusivos aprovados é 357, a pontuação resumida é 69%. Essa pontuação é calculada dividindo o número de controles exclusivos aprovados pelo número de controles exclusivos habilitados.
É possível ter uma pontuação resumida diferente da pontuação de segurança padrão, mesmo que tenha habilitado apenas um padrão em sua conta na região atual. Isso pode ocorrer se você estiver conectado a uma conta de administrador e as contas de membros tiverem padrões adicionais ou padrões diferentes habilitados. Isso também pode ocorrer se você estiver visualizando a pontuação da região de agregação e padrões adicionais ou padrões diferentes estiverem habilitados nas regiões vinculadas.
## Pontuações de segurança para contas de administrador
Se você estiver conectado a uma conta de administrador, a pontuação de segurança resumida e a pontuação padrão contam com os status de controle na conta do administrador e em todas as contas dos membros.
Se o status de um controle for **Falha** em até mesmo uma conta de membro, seu status será **Falha** na conta do administrador e afetará as pontuações da conta do administrador.
Se você estiver conectado a uma conta de administrador e estiver visualizando pontuações em uma região de agregação, as pontuações de segurança representam os status de controle em todas as contas de membros *e* em todas as regiões vinculadas.
## Pontuações de segurança se você tiver definido uma região de agregação
Se você definiu uma agregação Região da AWS, a pontuação de segurança resumida e a pontuação padrão são responsáveis pelos status de controle em todos Regiões vinculadas.
Se o status de um controle for **Falha** em até mesmo uma região vinculada, seu status será **Falha** na região de agregação e afetará as pontuações da região de agregação.
Se você estiver conectado a uma conta de administrador e estiver visualizando pontuações em uma região de agregação, as pontuações de segurança representam os status de controle em todas as contas de membros *e* em todas as regiões vinculadas.