在 Security Hub 中評估合規狀態和控制狀態 - AWS Security Hub
評估 Security Hub 調查結果的合規狀態從合規狀態衍生控制狀態

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Security Hub 中評估合規狀態和控制狀態

AWS 安全調查結果格式Compliance.Status的欄位說明控制調查結果的結果。Security Hub 會使用控制調查結果的合規狀態來判斷整體控制狀態。控制項狀態會顯示在 Security Hub 主控台上控制項的詳細資訊頁面上。

評估 Security Hub 調查結果的合規狀態

每個調查結果的合規狀態會指派下列其中一個值:

  • PASSED – 表示控制項已通過此調查結果的安全檢查。自動將 Security Hub Workflow.Status設定為 RESOLVED

    如果Compliance.Status問題清單從 PASSED變更為 FAILEDWARNINGNOT_AVAILABLE,且 Workflow.StatusNOTIFIEDRESOLVED,則 Security Hub 會自動Workflow.Status設定為 NEW

    如果您沒有與控制項對應的資源,Security Hub 會在帳戶層級產生PASSED問題清單。如果您有對應至控制項的資源,但接著刪除資源,Security Hub 會建立NOT_AVAILABLE問題清單並立即將其封存。18 小時後,您會收到PASSED調查結果,因為您不再擁有與控制項對應的資源。

  • FAILED – 表示控制項未通過此調查結果的安全檢查。

  • WARNING – 表示檢查已完成,但 Security Hub 無法判斷資源是否處於 PASSEDFAILED 狀態。

  • NOT_AVAILABLE – 表示無法完成檢查,因為伺服器失敗、資源已刪除,或 AWS Config 評估結果為 NOT_APPLICABLE

    如果 AWS Config 評估結果為 NOT_APPLICABLE,Security Hub 會自動封存問題清單。

從合規狀態衍生控制狀態

Security Hub 會從控制調查結果的合規狀態衍生整體控制狀態。判斷控制狀態時,Security Hub 會忽略具有 RecordState的調查結果,ARCHIVED以及具有 Workflow.Status的調查結果SUPPRESSED

控制狀態會指派下列其中一個值:

  • 已傳遞 – 表示所有調查結果的合規狀態為 PASSED

  • 失敗 – 表示至少一個調查結果的合規狀態為 FAILED

  • 未知 – 表示至少一個調查結果的合規狀態為 WARNINGNOT_AVAILABLE。沒有任何調查結果的合規狀態為 FAILED

  • 無資料 – 表示沒有控制項的調查結果。例如,在 Security Hub 開始為其產生問題清單之前,新啟用的控制項都會有此狀態。如果所有調查結果都是 SUPPRESSED或目前區域中無法使用,控制項也會有此狀態。

  • 停用 – 表示控制項在目前帳戶和區域中已停用。目前在目前帳戶和區域中,沒有針對此控制項執行安全檢查。不過,停用控制項的調查結果在停用後最多 24 小時內可能具有合規狀態的值。

對於管理員帳戶,控制狀態反映管理員帳戶和成員帳戶中的控制狀態。具體而言,如果控制項在管理員帳戶或任何成員帳戶中有一或多個失敗的調查結果,則控制項的整體狀態會顯示為失敗。如果您已設定彙總區域,則彙總區域中的控制項狀態會反映彙總區域和連結區域中的控制項狀態。具體而言,如果控制項在彙總區域或任何連結區域中有一或多個失敗的調查結果,則控制項的整體狀態會顯示為失敗

Security Hub 通常會在您第一次造訪 Security Hub 主控台的摘要頁面或安全標準頁面後 30 分鐘內產生初始控制狀態。您必須設定AWS Config 資源記錄,才能顯示控制項狀態。第一次產生控制狀態後,Security Hub 會根據過去 24 小時的調查結果,每 24 小時更新一次控制狀態。控制詳細資訊頁面上的時間戳記指出上次更新控制狀態的時間。

注意

在中國區域和 中啟用第一次控制狀態的控制後,最多可能需要 24 小時的時間 AWS GovCloud (US) Region。