在 Security Hub 中评估合规状态和控制状态 - AWS Security Hub
评估 Security Hub 调查结果的合规状态从合规状态得出控制状态

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Security Hub 中评估合规状态和控制状态

Compliance.Status领域 AWS 安全调查结果格式描述了控制结果的结果。Security Hub 使用控件调查发现的合规性状态来确定总体控件状态。控件状态显示在 Security Hub 控制台上控件的详细信息页面上。

评估 Security Hub 调查结果的合规状态

为每个发现的合规性状态分配了以下值之一:

  • PASSED— 表示控件已通过此发现的安全检查。自动将 Security Hub 设置Workflow.StatusRESOLVED

    如果Compliance.Status查找结果从变PASSEDFAILEDWARNING、或,并且Workflow.StatusNOTIFIEDNOT_AVAILABLERESOLVED,则 Security Hub 会自动设置Workflow.StatusNEW

    如果您没有与控件对应的资源,Security Hub 会在账户级别生成PASSED调查结果。如果您有与控件对应的资源,但随后删除了该资源,Security Hub 会创建NOT_AVAILABLE查找结果并立即将其存档。18 小时后,您会收到一个PASSED发现,因为您不再拥有与该控件对应的资源。

  • FAILED— 表示控件未通过此发现的安全检查。

  • WARNING— 表示检查已完成,但是 Security Hub 无法确定资源是否处于PASSEDFAILED状态。

  • NOT_AVAILABLE— 表示无法完成检查,原因是服务器出现故障、资源已删除或结果 AWS Config 评估是NOT_APPLICABLE

    如果 AWS Config 评估结果是NOT_APPLICABLE,Security Hub 会自动将发现结果存档。

从合规状态得出控制状态

Security Hub 根据控制结果的合规状态得出总体控制状态。在确定控制状态时,Security Hub 会忽略具有为RecordState的发现结果ARCHIVED和具有为Workflow.StatusSUPPRESSED结果。

控制状态被分配以下值之一:

  • 已通过 — 表示所有发现的合规状态均为PASSED

  • 失败 — 表示至少有一个查找结果的合规状态为FAILED

  • 未知-表示至少有一个发现的合规状态为WARNINGNOT_AVAILABLE。没有发现的合规状态为FAILED

  • 无数据——表示控件没有结果。例如,新启用的控件在 Security Hub 开始为其生成发现结果之前一直处于此状态。如果所有发现结果均为SUPPRESSED或在当前区域不可用,则控件也将处于此状态。

  • 已禁用 — 表示当前账户和区域中的控件已禁用。当前未对当前账户和地区中的此控件进行安全检查。但是,禁用对照的发现可能对禁用后最长 24 小时的合规状态具有价值。

对于管理员帐户,控制状态反映了管理员帐户和成员帐户中的控制状态。具体而言,如果控件在管理员帐户或任何成员帐户中有一个或多个败的发现结果,则该控件的总体状态将显示为 “失败”。如果您设置了聚合区域,则聚合区域中的控制状态将反映聚合区域和链接区域中的控制状态。具体而言,如果控件在聚合区域或任何关联区域中有一个或多个失败的发现结果,则该控件的总体状态将显示为 “失败”。

Security Hub 通常会在您首次访问 Security Hub 控制台的 “摘要” 页面或 “安全标准” 页面后 30 分钟内生成初始控制状态。你一定有 AWS Config 资源记录已配置为显示控制状态。首次生成控制状态后,Security Hub 会根据前 24 小时的发现每 24 小时更新一次控制状态。控件详细信息页面上的时间戳表示上次更新控件状态的时间。

注意

启用控件后,最长可能需要 24 小时才能在中国区域生成首次控制状态 AWS GovCloud (US) Region.