在 Security Hub 中评估合规性状态和控件状态 - AWS Security Hub
评估 Security Hub 调查发现的合规性状态从合规性状态获取控件状态

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Security Hub 中评估合规性状态和控件状态

AWS 安全调查结果格式的Compliance.Status字段描述了控制结果的结果。Security Hub 使用控件调查发现的合规性状态来确定总体控件状态。控件状态将在 Security Hub 控制台上控件的详细信息页面上显示。

评估 Security Hub 调查发现的合规性状态

为每个调查发现的合规性状态分配以下值之一:

  • PASSED— 表示控件已通过调查结果的安全检查。这会自动将 Security Hub 设置Workflow.StatusRESOLVED

  • FAILED— 表示控件未通过发现的安全检查。

  • WARNING— 表示 Security Hub 无法确定资源是否处于PASSEDFAILED状态。例如,没有为相应的AWS Config 资源类型开启资源记录

  • NOT_AVAILABLE— 表示无法完成检查,原因是服务器出现故障、资源已删除或 AWS Config 评估结果失败NOT_APPLICABLE。如果 AWS Config 评估结果为NOT_APPLICABLE,Security Hub 会自动将结果存档。

如果查找结果的合规状态从PASSED变为FAILEDWARNING、或,并且Workflow.StatusNOTIFIEDNOT_AVAILABLERESOLVED,则 Security Hub 会自动更改Workflow.StatusNEW

如果您没有与控件对应的资源,Security Hub 会在账户级别生成 PASSED 调查发现。如果您有与控件对应的资源,但随后删除了该资源,Security Hub 会创建 NOT_AVAILABLE 调查发现并立即将其存档。18 小时后,您会收到PASSED调查结果,因为您不再拥有与该控件对应的资源。

从合规性状态获取控件状态

Security Hub 使用控件调查发现的合规性状态获取总体控件状态。在确定控件状态时,Security Hub 会忽略 RecordStateARCHIVED 的调查发现和 Workflow.StatusSUPPRESSED 的调查发现。

为控件状态分配以下值之一:

  • 通过 – 表示所有调查发现的合规性状态均为 PASSED

  • 未通过 – 表示至少一个调查发现的合规性状态为 FAILED

  • 未知 – 表示至少一个调查发现的合规性状态为 WARNINGNOT_AVAILABLE。如果没有调查发现,则合规性状态为 FAILED

  • 无数据——表示控件没有结果。例如,新启用的控件在 Security Hub 开始为其生成调查发现之前一直处于此状态。如果控件的所有发现均为SUPPRESSED或当前不可用,则该控件也将处于此状态 AWS 区域。

  • 已禁用 – 表示当前账户和区域中的控件已禁用。目前没有对当前账户和区域中的此控件进行安全检查。然而,已禁用控件的调查发现在禁用后最多 24 小时内可能仍有​​合规性状态的值。

对于管理员帐户,控制状态反映管理员帐户和成员帐户的控制状态。具体而言,如果控件在管理员账户或任何成员账户中有一个或多个失败的调查发现,则该控件的总体状态将显示为失败。如果您设置了聚合区域,则聚合区域中的控件状态将反映聚合区域和关联区域的控件状态。具体而言,如果控件在聚合区域或任何关联区域中有一个或多个失败的调查发现,则该控件的总体状态将显示为失败

Security Hub 通常会在您首次访问 Security Hub 控制台上的 “摘要” 页面或 “安全标准” 页面后 30 分钟内生成初始控制状态。此外,必须配置 AWS Config 资源记录才能显示控件状态。首次生成控件状态后,Security Hub 会根据前 24 小时的调查发现每 24 小时更新一次控件状态。控件详细信息页面上的时间戳表示控件状态的上次更新时间。

注意

首次启用控件后,最长可能需要 24 小时才能在中国区域生成控制状态和。 AWS GovCloud (US) Region