本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 了解 Security Hub CSPM 中的安全檢查和分數
<a name="securityhub-controls-finding-generation"></a>

對於您啟用的每個控制項， AWS Security Hub CSPM 會執行安全檢查。安全檢查會產生調查結果，告訴您特定 AWS 資源是否符合控制項包含的規則。

有些檢查會定期執行。其他檢查只會在資源狀態變更時執行。如需詳細資訊，請參閱[執行安全檢查的排程](securityhub-standards-schedule.md)。

許多安全檢查會使用 AWS Config 受管或自訂規則來建立合規要求。若要執行這些檢查，您必須設定 AWS Config 並開啟所需資源的資源記錄。如需設定的詳細資訊 AWS Config，請參閱 [啟用和設定 AWS Config Security Hub CSPM](securityhub-setup-prereqs.md)。如需您必須為每個標準記錄 AWS Config 的資源清單，請參閱 [控制問題清單所需的 AWS Config 資源](controls-config-resources.md)。其他控制項使用自訂 Lambda 函數，這些函數由 Security Hub CSPM 管理，不需要任何先決條件。

當 Security Hub CSPM 執行安全檢查時，會產生調查結果並為其指派合規狀態。如需合規狀態的詳細資訊，請參閱 [評估 Security Hub CSPM 調查結果的合規狀態](controls-overall-status.md#controls-overall-status-compliance-status)。

Security Hub CSPM 使用控制調查結果的合規狀態來判斷整體控制狀態。根據控制狀態，Security Hub CSPM 也會計算所有啟用控制項和特定標準的安全分數。如需詳細資訊，請參閱[評估合規狀態和控制狀態](controls-overall-status.md)及[計算安全分數](standards-security-score.md)。

如果您已開啟合併控制調查結果，即使控制項與多個標準相關聯，Security Hub CSPM 也會產生單一調查結果。如需詳細資訊，請參閱[合併的控制問題清單](controls-findings-create-update.md#consolidated-control-findings)。

**Topics**
+ [控制問題清單所需的 AWS Config 資源](controls-config-resources.md)
+ [執行安全檢查的排程](securityhub-standards-schedule.md)
+ [產生和更新控制問題清單](controls-findings-create-update.md)
+ [評估合規狀態和控制狀態](controls-overall-status.md)
+ [計算安全分數](standards-security-score.md)

# 控制問題清單所需的 AWS Config 資源
<a name="controls-config-resources"></a>

在 AWS Security Hub CSPM 中，某些控制項使用服務連結 AWS Config 規則來偵測 AWS 資源中的組態變更。若要讓 Security Hub CSPM 產生這些控制項的準確調查結果，您必須在其中啟用 AWS Config 和開啟資源錄製 AWS Config。如需 Security Hub CSPM 如何使用 AWS Config 規則以及如何啟用和設定的詳細資訊 AWS Config，請參閱 [啟用和設定 AWS Config Security Hub CSPM](securityhub-setup-prereqs.md)。如需資源錄製的詳細資訊，請參閱《 *AWS Config 開發人員指南*》中的[使用組態記錄器](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)。

若要接收準確的控制調查結果，您必須為具有*變更觸發*排程類型的已啟用控制項開啟 AWS Config 資源記錄。有些具有*定期*排程類型的控制項也需要資源記錄。此頁面列出這些 Security Hub CSPM 控制項所需的資源。

Security Hub CSPM 控制項可以依賴受管 AWS Config 規則或自訂 Security Hub CSPM 規則。請確定沒有任何 AWS Identity and Access Management (IAM) 政策或 AWS Organizations 受管政策 AWS Config 會阻止 擁有記錄 資源的許可。Security Hub CSPM 控制會直接評估資源組態，且不考慮 AWS Organizations 政策。

**注意**  
在無法使用控制項 AWS 區域 的情況下，對應的資源無法使用 AWS Config。如需這些限制的清單，請參閱 [Security Hub CSPM 控制項的區域限制](regions-controls.md)。

**Topics**
+ [所有 Security Hub CSPM 控制項的必要資源](#all-controls-config-resources)
+ [AWS 基礎安全最佳實務標準的必要資源](#securityhub-standards-fsbp-config-resources)
+ [CIS AWS Foundations Benchmark 的必要資源](#securityhub-standards-cis-config-resources)
+ [NIST SP 800-53 修訂版 5 標準所需的資源](#nist-config-resources)
+ [NIST SP 800-171 修訂版 2 標準所需的資源](#nist-800-171-config-resources)
+ [PCI DSS 3.2.1 版的必要資源](#securityhub-standards-pci-config-resources)
+ [資源標記標準所需的 AWS 資源](#tagging-config-resources)

## 所有 Security Hub CSPM 控制項的必要資源
<a name="all-controls-config-resources"></a>

若要讓 Security Hub CSPM 為已啟用並使用 AWS Config 規則的變更觸發控制項產生調查結果，您必須在其中記錄下列類型的資源 AWS Config。此資料表也會指出哪些控制項會評估特定類型的資源。單一控制項可能會評估一種以上的資源類型。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/controls-config-resources.html)

## AWS 基礎安全最佳實務標準的必要資源
<a name="securityhub-standards-fsbp-config-resources"></a>

若要讓 Security Hub CSPM 準確報告適用於 AWS 基礎安全最佳實務標準 (v.1.0.0) 的變更觸發控制項的問題清單，並且使用 AWS Config 規則，您必須在其中記錄下列類型的資源 AWS Config。如需此標準的資訊，請參閱 [AWS Security Hub CSPM 中的基礎安全最佳實務標準](fsbp-standard.md)。


| AWS 服務 | 資源類型 | 
| --- | --- | 
|  Amazon API Gateway  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::ApiCache`, `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`, `AWS::CodeBuild::ReportGroup`  | 
|  Amazon Cognito  |  `AWS::Cognito::IdentityPool`, `AWS::Cognito::UserPool`  | 
|  Amazon Connect  |  `AWS::Connect::Instance`  | 
|  AWS DataSync  |  `AWS::DataSync::Task`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::SnapshotBlockPublicAccess`, `AWS::EC2::SpotFleet`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPCBlockPublicAccessOptions`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::CapacityProvider`, `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`, `AWS::ECS::TaskSet`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`, `AWS::EFS::FileSystem`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  AWS Glue  |  `AWS::Glue::Job`, `AWS::Glue::MLTransform`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Key`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`, `AWS::KafkaConnect::Connector`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|  Amazon OpenSearch Service  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBProxy`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Redshift Serverless  |  `AWS::RedshiftServerless::Workgroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`, `AWS::S3::MultiRegionAccessPoint`, `AWS::S3Express::DirectoryBucket`  | 
|  Amazon SageMaker AI  |  `AWS::SageMaker::Model`, `AWS::SageMaker::NotebookInstance`  | 
|  Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
|  Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
|  AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
|  AWS Step Functions  |  `AWS::StepFunctions::StateMachine`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 
|  Amazon WorkSpaces  |  `AWS::WorkSpaces::WorkSpace`  | 

## CIS AWS Foundations Benchmark 的必要資源
<a name="securityhub-standards-cis-config-resources"></a>

若要針對適用於網際網路安全中心 (CIS) AWS 基準基準的已啟用控制項執行安全檢查，Security Hub CSPM 會執行針對檢查指定的確切稽核步驟，或使用特定 AWS Config 受管規則。如需 Security Hub CSPM 中此標準的資訊，請參閱 [Security Hub CSPM 中的 CIS AWS Foundations 基準](cis-aws-foundations-benchmark.md)。

### CIS v5.0.0 的必要資源
<a name="cis-5.0-config-resources"></a>

若要讓 Security Hub CSPM 準確報告使用 AWS Config 規則的已啟用 CIS v5.0.0 變更觸發控制項的問題清單，您必須在 中記錄下列類型的資源 AWS Config。


| AWS 服務 | 資源類型 | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::FileSystem`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBInstance`, `AWS::RDS::DBCluster`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::Bucket`  | 

### CIS v3.0.0 的必要資源
<a name="cis-3.0-config-resources"></a>

若要讓 Security Hub CSPM 準確報告使用 AWS Config 規則的已啟用 CIS v3.0.0 變更觸發控制項的問題清單，您必須在 中記錄下列類型的資源 AWS Config。


| AWS 服務 | 資源類型 | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBInstance`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::Bucket`  | 

### CIS v1.4.0 的必要資源
<a name="cis-1.4-config-resources"></a>

若要讓 Security Hub CSPM 準確報告使用 AWS Config 規則的已啟用 CIS v1.4.0 變更觸發控制項的問題清單，您必須在 中記錄下列類型的資源 AWS Config。


| AWS 服務 | 資源類型 | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Policy`, `AWS::IAM::User`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBInstance`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::Bucket`  | 

### CIS v1.2.0 的必要資源
<a name="cis-1.2-config-resources"></a>

若要讓 Security Hub CSPM 準確報告使用 AWS Config 規則的已啟用 CIS v1.2.0 變更觸發控制項的問題清單，您必須在 中記錄下列類型的資源 AWS Config。


| AWS 服務 | 資源類型 | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::SecurityGroup`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Policy`, `AWS::IAM::User`  | 

## NIST SP 800-53 修訂版 5 標準所需的資源
<a name="nist-config-resources"></a>

若要讓 Security Hub CSPM 準確報告適用於 NIST SP 800-53 修訂版 5 標準的變更觸發控制項的問題清單，啟用並使用 AWS Config 規則，您必須在其中記錄下列類型的資源 AWS Config。如需此標準的資訊，請參閱 [Security Hub CSPM 中的 NIST SP 800-53 修訂版 5](standards-reference-nist-800-53.md)。


| AWS 服務 | 資源類型 | 
| --- | --- | 
|  Amazon API Gateway  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  Amazon CloudWatch  |  `AWS::CloudWatch::Alarm`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  Amazon ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  Amazon EventBridge  |  `AWS::Events::Endpoint`, `AWS::Events::EventBus`  | 
|  AWS Glue  |  `AWS::Glue::Job`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Alias`, `AWS::KMS::Key`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`  | 
|  Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|  Amazon OpenSearch Service  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
|  AWS Service Catalog  |  `AWS::ServiceCatalog::Portfolio`  | 
|  Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
|  Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  Amazon SageMaker AI  |  `AWS::SageMaker::NotebookInstance`  | 
|  AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 

## NIST SP 800-171 修訂版 2 標準所需的資源
<a name="nist-800-171-config-resources"></a>

若要讓 Security Hub CSPM 準確報告適用於 NIST SP 800-171 修訂版 2 標準、已啟用並使用 AWS Config 規則的變更觸發控制項調查結果，您必須在其中記錄下列類型的資源 AWS Config。如需此標準的資訊，請參閱 [Security Hub CSPM 中的 NIST SP 800-171 修訂版 2](standards-reference-nist-800-171.md)。


| AWS 服務 | 資源類型 | 
| --- | --- | 
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` | 
| Amazon API Gateway | `AWS::ApiGateway::Stage` | 
| Amazon CloudFront | `AWS::CloudFront::Distribution` | 
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` | 
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` | 
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` | 
| AWS Identity and Access Management (IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` | 
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` | 
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` | 
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` | 
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` | 
| AWS Systems Manager (SSM) | `AWS::SSM::PatchCompliance` | 
| AWS WAF | `AWS::WAFv2::RuleGroup` | 

## PCI DSS 3.2.1 版的必要資源
<a name="securityhub-standards-pci-config-resources"></a>

若要讓 Security Hub CSPM 準確報告適用於支付卡產業資料安全標準 (PCI DSS) v3.2.1 的控制項的問題清單，啟用 並使用 AWS Config 規則，您必須在其中記錄下列類型的資源 AWS Config。如需此標準的資訊，請參閱 [Security Hub CSPM 中的 PCI DSS](pci-standard.md)。


| AWS 服務 | 資源類型 | 
| --- | --- | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::SecurityGroup`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Policy`, `AWS::IAM::User`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon OpenSearch Service  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 

## 資源標記標準所需的 AWS 資源
<a name="tagging-config-resources"></a>

套用至 AWS 資源標記標準的所有控制項都會觸發變更並使用 AWS Config 規則。若要讓 Security Hub CSPM 準確報告這些控制項的問題清單，您必須在其中記錄下列類型的資源 AWS Config。如需此標準的資訊，請參閱 [AWS Security Hub CSPM 中的資源標記標準](standards-tagging.md)。


| AWS 服務 | 資源類型 | 
| --- | --- | 
| AWS Amplify |  `AWS::Amplify::App`, `AWS::Amplify::Branch`  | 
| Amazon AppFlow  |  `AWS::AppFlow::Flow`  | 
| AWS App Runner  |  `AWS::AppRunner::Service`, `AWS::AppRunner::VpcConnector`  | 
| AWS AppConfig  |  `AWS::AppConfig::Application`, `AWS::AppConfig::ConfigurationProfile`, `AWS::AppConfig::Environment`, `AWS::AppConfig::ExtensionAssociation`  | 
| AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
| Amazon Athena  |  `AWS::Athena::DataCatalog`, `AWS::Athena::WorkGroup`  | 
| AWS Backup |  `AWS::Backup::BackupPlan`, `AWS::Backup::BackupVault`, `AWS::Backup::RecoveryPlan`, `AWS::Backup::ReportPlan`  | 
| AWS Batch  |  `AWS::Batch::ComputeEnvironment`, `AWS::Batch::JobQueue`, `AWS::Batch::SchedulingPolicy`  | 
| AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
| AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
| Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
| AWS CloudTrail  |  `AWS::CloudTrail::Trail`  | 
| AWS CodeArtifact  |  `AWS::CodeArtifact::Repository`  | 
| Amazon CodeGuru  |  `AWS::CodeGuruProfiler::ProfilingGroup`, `AWS::CodeGuruReviewer::RepositoryAssociation`  | 
| Amazon Connect  |  `AWS::CustomerProfiles::ObjectType`  | 
| AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Certificate`, `AWS::DMS::EventSubscription` `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationSubnetGroup`  | 
| AWS DataSync |  `AWS::DataSync::Task`  | 
| Amazon Detective  |  `AWS::Detective::Graph`  | 
| Amazon DynamoDB  |  `AWS::DynamoDB::Trail`  | 
| Amazon Elastic Compute Cloud (EC2)  |  `AWS::EC2::CustomerGateway`, `AWS::EC2::DHCPOptions`, `AWS::EC2::EIP`, `AWS::EC2::FlowLog`, `AWS::EC2::Instance`, `AWS::EC2::InternetGateway`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NatGateway`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::PrefixList`, `AWS::EC2::RouteTable`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TrafficMirrorFilter`, `AWS::EC2::TrafficMirrorSession`, `AWS::EC2::TrafficMirrorTarget`, `AWS::EC2::TransitGateway`, `AWS::EC2::TransitGatewayAttachment`, `AWS::EC2::TransitGatewayRouteTable`, `AWS::EC2::Volume`, `AWS::EC2::VPC`, `AWS::EC2::VPCEndpointService`, `AWS::EC2::VPCPeeringConnection`, `AWS::EC2::VPNGateway`  | 
| Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`  | 
| Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::PublicRepository`  | 
| Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
| Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
| Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`, `AWS::EKS::IdentityProviderConfig`  | 
| AWS Elastic Beanstalk |  `AWS::ElasticBeanstalk::Environment`  | 
| ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
| Amazon EventBridge  |  `AWS::Events::EventBus`  | 
| Amazon Fraud Detector  |  `AWS::FraudDetector::EntityType`, `AWS::FraudDetector::Label` `AWS::FraudDetector::Outcome`, `AWS::FraudDetector::Variable`  | 
| AWS Global Accelerator  |  `AWS::GlobalAccelerator::Accelerator`  | 
| AWS Glue  |  `AWS::Glue::Job`  | 
| Amazon GuardDuty  |  `AWS::GuardDuty::Detector`, `AWS::GuardDuty::Filter`, `AWS::GuardDuty::IPSet`  | 
| AWS Identity and Access Management (IAM)  |  `AWS::IAM::Role`, `AWS::IAM::User`  | 
| AWS Identity and Access Management Access Analyzer (IAM Access Analyzer)  |  `AWS::AccessAnalyzer::Analyzer`  | 
| AWS IoT  |  `AWS::IoT::Authorizer`, `AWS::IoT::Dimension`, `AWS::IoT::MitigationAction`, `AWS::IoT::Policy`, `AWS::IoT::RoleAlias`, `AWS::IoT::SecurityProfile`  | 
| AWS IoT 活動  |  `AWS::IoTEvents::AlarmModel`, `AWS::IoTEvents::DetectorModel`, `AWS::IoTEvents::Input`  | 
| AWS IoT SiteWise  |  `AWS::IoTSiteWise::Dashboard`, `AWS::IoTSiteWise::Gateway`, `AWS::IoTSiteWise::Portal`, `AWS::IoTSiteWise::Project`  | 
| AWS IoT TwinMaker  |  `AWS::IoTTwinMaker::Entity`, `AWS::IoTTwinMaker::Scene`, `AWS::IoTTwinMaker::SyncJob`, `AWS::IoTTwinMaker::Workspace`  | 
| AWS IoT 無線  |  `AWS::IoTWireless::FuotaTask`, `AWS::IoTWireless::MulticastGroup`, `AWS::IoTWireless::ServiceProfile`  | 
| Amazon Interactive Video Service (Amazon IVS)  |  `AWS::IVS::Channel`, `AWS::IVS::PlaybackKeyPair`, `AWS::IVS::RecordingConfiguration`  | 
| Amazon Keyspaces (適用於 Apache Cassandra)  |  `AWS::Cassandra::Keyspace`  | 
| Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
| AWS Lambda  |  `AWS::Lambda::Function`  | 
| Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
| AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`  | 
| Amazon OpenSearch Service |  `AWS::OpenSearch::Domain`  | 
| AWS 私有憑證授權單位 |  `AWS::ACMPCA::CertificateAuthority`  | 
| Amazon Relational Database Service  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSecurityGroup`, `AWS::RDS::DBSnapshot`, `AWS::RDS::DBSubnetGroup`  | 
| Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterParameterGroup`, `AWS::Redshift::ClusterSnapshot`, `AWS::Redshift::ClusterSubnetGroup`, `AWS::Redshift::EventSubscription`  | 
| Amazon Route 53  |  `AWS::Route53::HealthCheck`  | 
| Amazon SageMaker AI |  `AWS::SageMaker::AppImageConfig`, `AWS::SageMaker::Image`  | 
| AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
| Amazon Simple Email Service (Amazon SES)  |  `AWS::SES::ConfigurationSet`, `AWS::SES::ContactList`  | 
| Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
| Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| AWS Step Functions  |  `AWS::StepFunctions::Activity`  | 
| AWS Systems Manager (SSM) |  `AWS::SSM::Document`  | 
| AWS Transfer Family |  `AWS::Transfer::Agreement`, `AWS::Transfer::Certificate`, `AWS::Transfer::Connector`, `AWS::Transfer::Profile`, `AWS::Transfer::Workflow`  | 

# 執行安全檢查的排程
<a name="securityhub-standards-schedule"></a>

啟用安全標準後， AWS Security Hub CSPM 會在兩小時內開始執行所有檢查。大多數檢查會在 25 分鐘內開始執行。Security Hub CSPM 透過評估控制項基礎的規則來執行檢查。在控制項完成第一次執行檢查之前，其狀態為**無資料**。

當您啟用新標準時，Security Hub CSPM 最多可能需要 24 小時才能產生控制項的調查結果，這些控制項使用與其他啟用標準相同的基礎 AWS Config 服務連結規則。例如，如果您在 AWS 基礎安全最佳實務 (FSBP) 標準中啟用 [Lambda.1](lambda-controls.md#lambda-1) 控制項，Security Hub CSPM 會建立服務連結規則，通常在幾分鐘內產生問題清單。之後，如果您在支付卡產業資料安全標準 (PCI DSS) 中啟用 Lambda.1 控制項，Security Hub CSPM 最多可能需要 24 小時才能產生控制項的問題清單，因為它使用相同的服務連結規則。

初次檢查後，每個控制項的排程可以定期或觸發變更。對於以受管 AWS Config 規則為基礎的控制項，控制項描述包含《 *AWS Config 開發人員指南*》中規則描述的連結。該描述指定規則是觸發變更還是定期變更。

## 定期安全檢查
<a name="periodic-checks"></a>

定期安全檢查會在最近一次執行後的 12 或 24 小時內自動執行。Security Hub CSPM 會決定週期性，您無法變更。定期控制反映檢查執行時的評估。

如果您更新定期控制調查結果的工作流程狀態，然後在下次檢查調查結果的合規狀態保持不變，工作流程狀態會保持修改狀態。例如，如果您的 [KMS.4](kms-controls.md#kms-4) 控制項問題清單失敗 (*AWS KMS key 應該啟用輪換*)，然後修復問題清單，Security Hub CSPM 會將工作流程狀態從 變更為 `NEW` `RESOLVED`。如果您在下一次定期檢查之前停用 KMS 金鑰輪換，則調查結果的工作流程狀態會保持 `RESOLVED`。

使用 Security Hub CSPM 自訂 Lambda 函數的檢查是定期的。

## 變更觸發的安全檢查
<a name="change-triggered-checks"></a>

當相關聯的資源變更狀態時，會執行變更觸發的安全性檢查。 AWS Config 您可以在資源狀態和*每日記錄*的*持續記錄*之間進行選擇。如果您選擇每日錄製，如果資源狀態發生變更， 會在每 24 小時期間結束時 AWS Config 傳送資源組態資料。如果沒有變更，則不會交付任何資料。這可能會延遲 Security Hub CSPM 調查結果的產生，直到 24 小時期間完成為止。無論您選擇的記錄期間為何，Security Hub CSPM 每 18 小時會檢查一次，以確保沒有 AWS Config 遺漏來自 的資源更新。

一般而言，Security Hub CSPM 會盡可能使用變更觸發的規則。若要讓資源使用變更觸發規則，它必須支援 AWS Config 組態項目。

# 產生和更新控制問題清單
<a name="controls-findings-create-update"></a>

AWS 當 Security Hub CSPM 針對安全控制執行檢查時，會產生和更新控制問題清單。控制問題清單使用[AWS 安全問題清單格式 (ASFF)](securityhub-findings-format.md)。

Security Hub CSPM 通常會針對控制項的每個安全檢查收取費用。不過，如果多個控制項使用相同的 AWS Config 規則，Security Hub CSPM 只會針對每個針對規則的檢查收取一次費用。例如，CIS AWS Foundations Benchmark 標準和 AWS 基礎安全最佳實務標準中的多個控制項會使用 AWS Config `iam-password-policy`規則。每次 Security Hub CSPM 針對該規則執行檢查時，都會為每個相關控制項產生個別的控制調查結果，但檢查只會收取一次費用。

如果控制項調查結果的大小超過 240 KB 的上限，Security Hub CSPM 會從調查結果中移除`Resource.Details`物件。對於資源 AWS Config 支援的控制項，您可以使用 AWS Config 主控台來檢閱資源詳細資訊。

**Topics**
+ [合併的控制問題清單](#consolidated-control-findings)
+ [產生、更新和封存控制問題清單](#securityhub-standards-results-updating)
+ [自動化和抑制控制問題清單](#automation-control-findings)
+ [控制問題清單的合規詳細資訊](#control-findings-asff-compliance)
+ [控制問題清單的 ProductFields 詳細資訊](#control-findings-asff-productfields)
+ [控制問題清單的嚴重性等級](#control-findings-severity)

## 合併的控制問題清單
<a name="consolidated-control-findings"></a>

如果您的帳戶已啟用合併控制調查結果，即使控制項適用於多個已啟用的標準，Security Hub CSPM 仍會為每個控制項的安全檢查產生單一調查結果或調查結果更新。如需控制項及其適用的標準清單，請參閱 [Security Hub CSPM 的控制項參考](securityhub-controls-reference.md)。我們建議您啟用合併控制調查結果，以減少調查結果的雜訊。

如果您在 2023 年 2 月 23 AWS 帳戶 日之前為 啟用 Security Hub CSPM，您可以按照本節稍後的說明啟用合併控制問題清單。如果您在 2023 年 2 月 23 日或之後啟用 Security Hub CSPM，則會自動為您的帳戶啟用合併控制問題清單。

如果您透過[手動邀請程序](account-management-manual.md)使用 [Security Hub CSPM 與 或受邀成員帳戶整合 AWS Organizations](securityhub-accounts-orgs.md)，則只有在成員帳戶啟用管理員帳戶時，才會為成員帳戶啟用合併控制問題清單。如果停用管理員帳戶的功能，則會停用成員帳戶的功能。此行為適用於新的和現有的成員帳戶。此外，如果管理員使用[中央組態](central-configuration-intro.md)來管理多個帳戶的 Security Hub CSPM，則無法使用中央組態政策來啟用或停用帳戶的合併控制問題清單。

如果您停用帳戶的合併控制問題清單，Security Hub CSPM 會為每個已啟用且包含控制項的標準產生或更新個別的控制問題清單。例如，如果您啟用四個共用控制項的標準，您會在控制項安全檢查後收到四個單獨的問題清單。如果您啟用合併控制調查結果，則只會收到一個調查結果。

當您啟用合併控制調查結果時，Security Hub CSPM 會建立新的標準獨立調查結果，並封存原始標準型調查結果。有些控制項問題清單欄位和值將會變更，這可能會影響您現有的工作流程。如需這些變更的詳細資訊，請參閱 [合併控制調查結果 – ASFF 變更](asff-changes-consolidation.md#securityhub-findings-format-consolidated-control-findings)。啟用合併控制調查結果也可能影響整合的第三方產品從 Security Hub CSPM 收到的調查結果。如果您使用 v[2 AWS .0.0 上的自動安全回應](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/)解決方案，請注意它支援合併的控制問題清單。

若要啟用或停用合併控制調查結果，您必須登入管理員帳戶或獨立帳戶。

**注意**  
啟用合併控制調查結果後，Security Hub CSPM 最多可能需要 24 小時才能產生新的合併調查結果，並封存現有的標準型調查結果。同樣地，停用合併控制問題清單後，Security Hub CSPM 最多可能需要 24 小時才能產生新的標準問題清單，並封存現有的合併問題清單。在這些期間，您可能會在帳戶中看到標準無關和標準型問題清單的混合。

------
#### [ Security Hub CSPM console ]

**啟用或停用合併控制問題清單**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

1. 在導覽窗格中，於 **Settings (設定)** 下選擇 **General (一般)**。

1. 在**控制項**區段中，選擇**編輯**。

1. 使用**合併控制問題清單**切換來啟用或停用合併控制問題清單。

1. 選擇**儲存**。

------
#### [ Security Hub CSPM API ]

若要以程式設計方式啟用或停用合併控制問題清單，請使用 Security Hub CSPM API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html)的操作。或者，如果您使用的是 AWS CLI，請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html)命令。

針對 `control-finding-generator` 參數，指定 `SECURITY_CONTROL`以啟用合併的控制項問題清單。若要停用合併控制調查結果，請指定 `STANDARD_CONTROL`。

例如，下列 AWS CLI 命令會啟用合併的控制問題清單。

```
$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL
```

下列 AWS CLI 命令會停用合併的控制問題清單。

```
$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL
```

------

## 產生、更新和封存控制問題清單
<a name="securityhub-standards-results-updating"></a>

Security Hub CSPM 會依[排程](securityhub-standards-schedule.md)執行安全檢查。第一次 Security Hub CSPM 執行控制項的安全檢查時，它會為控制項檢查的每個 AWS 資源產生新的問題清單。每次 Security Hub CSPM 隨後執行控制項的安全檢查時，都會更新現有的調查結果以報告檢查結果。這表示您可以使用個別調查結果提供的資料，根據特定控制項追蹤特定資源的合規變更。

例如，如果特定控制項的資源合規狀態從 變更為 `FAILED` `PASSED` ，Security Hub CSPM 不會產生新的調查結果。相反地，Security Hub CSPM 會更新控制項和資源的現有問題清單。在調查結果中，Security Hub CSPM 會將合規狀態 (`Compliance.Status`) 欄位的值變更為 `PASSED`。Security Hub CSPM 也會更新其他欄位的值，以反映檢查的結果，例如嚴重性標籤、工作流程狀態和時間戳記，指出 Security Hub CSPM 最近何時執行檢查並更新調查結果。

報告合規狀態變更時，Security Hub CSPM 可能會更新控制調查結果中的下列任何欄位：
+ `Compliance.Status` – 指定控制項之資源的新合規狀態。
+ `FindingProviderFields.Severity.Label` – 問題清單嚴重性的新定性表示法，例如 `LOW`、 `MEDIUM`或 `HIGH`。
+ `FindingProviderFields.Severity.Original` – 調查結果嚴重性的新量化表示，例如`0`合規資源。
+ `FirstObservedAt` – 資源的合規狀態最近變更時。
+ `LastObservedAt` – 當 Security Hub CSPM 最近針對指定的控制項和資源執行安全檢查時。
+ `ProcessedAt` – Security Hub CSPM 最近開始處理問題清單時。
+ `ProductFields.PreviousComplianceStatus` – 指定控制項之資源的先前合規狀態 (`Compliance.Status`)。
+ `UpdatedAt` – Security Hub CSPM 最近更新問題清單時。
+ `Workflow.Status` – 根據指定控制項之資源的新合規狀態，調查調查結果的狀態。

Security Hub CSPM 是否會更新欄位，主要取決於適用控制項和資源的最新安全性檢查結果。例如，如果特定控制項的資源合規狀態從 `PASSED` 變更為 `FAILED` ，Security Hub CSPM 會將調查結果的工作流程狀態變更為 `NEW`。若要追蹤個別問題清單的更新，您可以參考問題清單的歷史記錄。如需調查結果中個別欄位的詳細資訊，請參閱[AWS 安全調查結果格式 (ASFF)](securityhub-findings-format.md)。

在某些情況下，Security Hub CSPM 會為控制項的後續檢查產生新的問題清單，而不是更新現有的問題清單。如果支援控制項的 AWS Config 規則發生問題，就可能發生這種情況。如果發生這種情況，Security Hub CSPM 會封存現有的問題清單，並為每個檢查產生新的問題清單。在新調查結果中，合規狀態為 `NOT_AVAILABLE`，記錄狀態為 `ARCHIVED`。解決 AWS Config 規則的問題後，Security Hub CSPM 會產生新的問題清單，並開始更新這些問題清單，以追蹤個別資源的合規狀態後續變更。

除了產生和更新控制調查結果之外，Security Hub CSPM 也會自動封存符合特定條件的控制調查結果。如果停用控制項、刪除指定的資源，或指定的資源不再存在，Security Hub CSPM 會封存問題清單。資源可能不再存在，因為已不再使用相關聯的服務。更具體地說，如果問題清單符合下列其中一項條件，Security Hub CSPM 會自動封存控制問題清單：
+ 問題清單已有 3-5 天未更新。請注意，基於此時間範圍的封存是以最佳努力為基礎，不保證。
+ 針對指定資源的`NOT_APPLICABLE`合規狀態傳回的相關聯 AWS Config 評估。

若要判斷問題清單是否已封存，您可以參考問題清單的記錄狀態 (`RecordState`) 欄位。如果問題清單已封存，此欄位的值為 `ARCHIVED`。

Security Hub CSPM 會將封存的控制調查結果存放 30 天。30 天後，問題清單會過期，而 Security Hub CSPM 會永久刪除問題清單。為了判斷封存的控制項調查結果是否已過期，Security Hub CSPM 會根據調查結果`UpdatedAt`欄位的值來計算。

若要存放封存的控制調查結果超過 30 天，您可以將調查結果匯出至 S3 儲存貯體。您可以搭配 Amazon EventBridge 規則使用自訂動作來執行此操作。如需詳細資訊，請參閱[使用 EventBridge 進行自動回應和修復](securityhub-cloudwatch-events.md)。

**注意**  
在 2025 年 7 月 3 日之前，當控制項的資源合規狀態變更時，Security Hub CSPM 會以不同的方式產生和更新控制項調查結果。先前，Security Hub CSPM 建立了新的控制調查結果，並封存了資源的現有調查結果。因此，您可能會針對特定控制項和資源有多個封存的問題清單，直到這些問題清單過期為止 (30 天後）。

## 自動化和抑制控制問題清單
<a name="automation-control-findings"></a>

您可以使用 Security Hub CSPM 自動化規則來更新或隱藏特定控制問題清單。如果您隱藏問題清單，您可以繼續存取問題清單。不過，隱藏表示您相信不需要採取任何動作來解決問題清單。

透過抑制問題清單，您可以減少問題清單的雜訊。例如，您可能會隱藏測試帳戶中產生的控制問題清單。或者，您可以隱藏與特定資源相關的問題清單。若要進一步了解自動更新或隱藏問題清單，請參閱 [了解 Security Hub CSPM 中的自動化規則](automation-rules.md)。

當您想要更新或隱藏特定控制問題清單時，自動化規則是適當的。不過，如果控制項與您的組織或使用案例無關，建議您[停用控制項](disable-controls-overview.md)。如果您停用控制項，Security Hub CSPM 不會對其執行安全檢查，也不會向您收取費用。

## 控制問題清單的合規詳細資訊
<a name="control-findings-asff-compliance"></a>

在控制項安全檢查所產生的調查結果中， AWS 安全調查結果格式 (ASFF) 中的[合規](asff-top-level-attributes.md#asff-compliance)物件和欄位會提供控制項檢查之個別資源的合規詳細資訊。這包括以下資訊：
+ `AssociatedStandards` – 啟用控制項的已啟用標準。
+ `RelatedRequirements` – 所有啟用標準中控制項的相關需求。這些要求衍生自 控制項的第三方安全架構，例如支付卡產業資料安全標準 (PCI DSS) 或 NIST SP 800-171 修訂版 2 標準。
+ `SecurityControlId` – Security Hub CSPM 支援跨標準控制的識別符。
+ `Status` – Security Hub CSPM 為控制項執行的最新檢查結果。先前檢查的結果會保留在調查結果的歷史記錄中。
+ `StatusReasons` – 列出 `Status` 欄位指定值原因的陣列。對於每個原因，這包括原因代碼和描述。

下表列出問題清單可能包含在`StatusReasons`陣列中的原因代碼和描述。修復步驟會根據哪個控制項產生具有指定原因碼的問題清單而有所不同。若要檢閱控制項的修補指引，請參閱 [Security Hub CSPM 的控制項參考](securityhub-controls-reference.md)。


| 原因代碼 | 合規狀態 | Description | 
| --- | --- | --- | 
|  `CLOUDTRAIL_METRIC_FILTER_NOT_VALID`  |  `FAILED`  |  多區域 CloudTrail 追蹤沒有有效的指標篩選條件。  | 
|  `CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT`  |  `FAILED`  |  多區域 CloudTrail 追蹤沒有指標篩選條件。  | 
|  `CLOUDTRAIL_MULTI_REGION_NOT_PRESENT`  |  `FAILED`  |  帳戶沒有具有所需組態的多區域 CloudTrail 追蹤。  | 
|  `CLOUDTRAIL_REGION_INVAILD`  |  `WARNING`  |  多區域 CloudTrail 追蹤不在目前的區域中。  | 
|  `CLOUDWATCH_ALARM_ACTIONS_NOT_VALID`  |  `FAILED`  |  沒有有效的警示動作。  | 
|  `CLOUDWATCH_ALARMS_NOT_PRESENT`  |  `FAILED`  |  CloudWatch 警示不存在於帳戶中。  | 
|  `CONFIG_ACCESS_DENIED`  |  `NOT_AVAILABLE` AWS Config 狀態為 `ConfigError`  |  AWS Config 存取遭拒。 確認 AWS Config 已啟用，且已獲得足夠的許可。  | 
|  `CONFIG_EVALUATIONS_EMPTY`  |  `PASSED`  |  AWS Config 根據 規則評估您的 資源。 此規則不適用於其範圍內 AWS 的資源、已刪除指定的資源，或已刪除評估結果。  | 
|  `CONFIG_RECORDER_CUSTOM_ROLE`  |  `FAILED` （適用於 Config.1)  |   AWS Config 記錄器使用自訂 IAM 角色而非 AWS Config 服務連結角色，而且 Config.1 的`includeConfigServiceLinkedRoleCheck`自訂參數未設定為 。 `false`  | 
|  `CONFIG_RECORDER_DISABLED`  |  `FAILED` （適用於 Config.1)  |  AWS Config 未在組態記錄器開啟的情況下啟用。  | 
|  `CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES`  |  `FAILED` （適用於 Config.1)  |  AWS Config 不會記錄對應至已啟用 Security Hub CSPM 控制項的所有資源類型。開啟下列資源的錄製：*未錄製的資源*。  | 
|  `CONFIG_RETURNS_NOT_APPLICABLE`  |  `NOT_AVAILABLE`  |  合規狀態為 ，`NOT_AVAILABLE`因為 AWS Config 傳回**的狀態為不適用**。 AWS Config 不提供狀態的原因。以下是**不適用**狀態的一些可能原因： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/controls-findings-create-update.html)  | 
|  `CONFIG_RULE_EVALUATION_ERROR`  |  `NOT_AVAILABLE` AWS Config 狀態為 `ConfigError`  |  這個原因代碼用於數種不同類型的評估錯誤。 此描述會提供特定的原因資訊。 錯誤類型可以是下列其中一項： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/controls-findings-create-update.html)  | 
|  `CONFIG_RULE_NOT_FOUND`  |  `NOT_AVAILABLE` AWS Config 狀態為 `ConfigError`  |   AWS Config 規則正在建立中。  | 
|  `INTERNAL_SERVICE_ERROR`  |  `NOT_AVAILABLE`  |  發生未知的錯誤。  | 
|  `LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE`  |  `FAILED`  |  Security Hub CSPM 無法針對自訂 Lambda 執行時間執行檢查。  | 
|  `S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION`  |  `WARNING`  |  調查結果處於 `WARNING` 狀態，因為與此規則相關聯的 S3 儲存貯體位於不同的區域或帳戶中。 此規則不支援跨區域或跨帳戶檢查。 建議您在此區域或帳戶中停用此控制項。只能在資源所在的區域或帳戶中執行。  | 
|  `SNS_SUBSCRIPTION_NOT_PRESENT`  |  `FAILED`  |  CloudWatch Logs 指標篩選條件沒有有效的 Amazon SNS 訂閱。  | 
|  `SNS_TOPIC_CROSS_ACCOUNT`  |  `WARNING`  |  問題清單處於 `WARNING` 狀態。 與此規則相關聯的 SNS 主題由不同的 帳戶擁有。目前帳戶無法取得訂閱資訊。 擁有 SNS 主題的帳戶必須將 SNS 主題的`sns:ListSubscriptionsByTopic`許可授予目前帳戶。  | 
|  `SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION`  |  `WARNING`  |  調查結果處於 `WARNING` 狀態，因為與此規則相關聯的 SNS 主題位於不同的區域或帳戶中。 此規則不支援跨區域或跨帳戶檢查。 建議您在此區域或帳戶中停用此控制項。只能在資源所在的區域或帳戶中執行。  | 
|  `SNS_TOPIC_INVALID`  |  `FAILED`  |  與此規則相關聯的 SNS 主題無效。  | 
|  `THROTTLING_ERROR`  |  `NOT_AVAILABLE`  |  相關 API 操作超過允許的速率。  | 

## 控制問題清單的 ProductFields 詳細資訊
<a name="control-findings-asff-productfields"></a>

在 控制項安全檢查產生的調查結果中， AWS 安全調查結果格式 (ASFF) 中的 [ProductFields](asff-top-level-attributes.md#asff-productfields) 屬性可包含下列欄位。

`ArchivalReasons:0/Description`  
說明 Security Hub CSPM 封存問題清單的原因。  
例如，Security Hub CSPM 會在您停用控制項或標準時封存現有的問題清單，或者啟用或停用[合併的控制項問題清單](#consolidated-control-findings)。

`ArchivalReasons:0/ReasonCode`  
指定 Security Hub CSPM 封存問題清單的原因。  
例如，Security Hub CSPM 會在您停用控制項或標準時封存現有的問題清單，或者啟用或停用[合併的控制項問題清單](#consolidated-control-findings)。

`PreviousComplianceStatus`  
指定控制項之資源的先前合規狀態 (`Compliance.Status`)，截至調查結果的最近更新為止。如果資源的合規狀態未在最近的更新期間變更，則此值與調查結果`Compliance.Status`欄位的值相同。如需可能值的清單，請參閱 [評估合規狀態和控制狀態](controls-overall-status.md)。

`StandardsGuideArn` 或 `StandardsArn`  
與控制項相關聯的標準 ARN。  
針對 CIS AWS Foundations Benchmark 標準， 欄位為 `StandardsGuideArn`。對於 PCI DSS 和 AWS 基礎安全最佳實務標準， 欄位為 `StandardsArn`。  
`Compliance.AssociatedStandards` 如果您啟用[合併控制問題清單](#consolidated-control-findings)，這些欄位會移除。

`StandardsGuideSubscriptionArn` 或 `StandardsSubscriptionArn`  
帳戶對 標準的訂閱 ARN。  
針對 CIS AWS Foundations Benchmark 標準， 欄位為 `StandardsGuideSubscriptionArn`。對於 PCI DSS 和 AWS 基礎安全最佳實務標準， 欄位為 `StandardsSubscriptionArn`。  
如果您啟用[合併控制調查結果](#consolidated-control-findings)，則會移除這些欄位。

`RuleId` 或 `ControlId`  
控制項的識別符。  
對於 CIS AWS Foundations Benchmark 標準的 1.2.0 版， 欄位為 `RuleId`。對於其他標準，包括後續版本的 CIS AWS Foundations Benchmark 標準， 欄位為 `ControlId`。  
`Compliance.SecurityControlId` 如果您啟用[合併的控制問題清單](#consolidated-control-findings)，這些欄位會移除。

`RecommendationUrl`  
控制項的修補資訊 URL。`Remediation.Recommendation.Url` 如果您啟用[合併的控制問題清單](#consolidated-control-findings)，則此欄位會移除。

`RelatedAWSResources:0/name`  
與調查結果相關聯的資源名稱。

`RelatedAWSResource:0/type`  
與控制項相關聯的資源類型。

`StandardsControlArn`  
組態的 ARN。如果您啟用[合併控制調查結果](#consolidated-control-findings)，則會移除此欄位。

`aws/securityhub/ProductName`  
對於控制項調查結果，產品名稱為 `Security Hub`。

`aws/securityhub/CompanyName`  
對於控制項調查結果，公司名稱為 `AWS`。

`aws/securityhub/annotation`  
控制項所發現問題的描述。

`aws/securityhub/FindingId`  
調查結果的識別符。  
如果您啟用[合併控制調查結果](#consolidated-control-findings)，則此欄位不會參考標準。

## 控制問題清單的嚴重性等級
<a name="control-findings-severity"></a>

指派給 Security Hub CSPM 控制項的嚴重性表示控制項的重要性。控制項的嚴重性決定指派給控制項調查結果的嚴重性標籤。

### 嚴重性條件
<a name="securityhub-standards-results-severity-criteria"></a>

控制項的嚴重性取決於下列條件的評估：
+ **威脅行為者利用與控制項相關聯的組態弱點有多困難？** 難度取決於使用弱點來執行威脅案例所需的複雜程度或複雜性。
+ **弱點對您的 AWS 帳戶 或 資源造成損害的可能性有多高？** 入侵您的 AWS 帳戶 或 資源意味著資料或 AWS 基礎設施的機密性、完整性或可用性在某種程度上受損。入侵的可能性表示威脅案例造成 AWS 服務 或 資源中斷或違規的可能性。

例如，請考慮下列組態弱點：
+ 使用者存取金鑰不會每 90 天輪換一次。
+ IAM 根使用者金鑰存在。

對手也同樣難以利用這兩個弱點。在這兩種情況下，對手都可以使用憑證盜竊或其他方法來取得使用者金鑰。然後，他們可以使用它，以未經授權的方式存取您的資源。

不過，如果威脅行為者取得根使用者存取金鑰，則入侵的可能性會更高，因為這樣可以讓他們存取更多。因此，根使用者金鑰弱點的嚴重性較高。

嚴重性不會考慮基礎資源的重要性。關鍵性是與調查結果相關聯之資源的重要性層級。例如，與關鍵任務應用程式相關聯的資源比與非生產測試相關聯的資源更重要。若要擷取資源關鍵性資訊，請使用 AWS 安全調查結果格式 (ASFF) `Criticality`的欄位。

下表映射了難以利用以及入侵安全標籤的可能性。


|  |  |  |  |  | 
| --- |--- |--- |--- |--- |
|    |  **極有可能遭到入侵**  |  **可能遭到入侵**  |  **不太可能遭到入侵**  |  **極不可能入侵**  | 
|  **非常容易利用**  |  嚴重  |  嚴重  |  高  |  中  | 
|  **有點容易利用**  |  嚴重  |  高  |  中  |  中  | 
|  **有些難以利用**  |  高  |  中  |  中  |  低  | 
|  **非常難以利用**  |  中  |  中  |  低  |  低  | 

### 嚴重性定義
<a name="securityhub-standards-results-severity-definitions"></a>

嚴重性標籤的定義如下。

**嚴重 – 問題應該立即修復，以避免升級。**  
舉例來說，開啟的 S3 儲存貯體將視作重大嚴重性問題。由於有許多威脅執行者會掃描開啟的 S3 儲存貯體，因此公開的 S3 儲存貯體中的資料可能會被其他人探索和存取。  
一般而言，可公開存取的資源會被視為重大安全問題。您應該最緊迫地處理關鍵問題清單。您也應該考慮資源的重要性。

**高 – 問題必須以短期優先順序處理。**  
例如，如果預設 VPC 安全群組開放給傳入和傳出流量，則會被視為高嚴重性。威脅行為者使用此方法入侵 VPC 有點容易。一旦資源位於 VPC 中，威脅行為者也可能能夠中斷或滲透資源。  
Security Hub CSPM 建議您將高嚴重性的問題清單視為短期優先順序。您應該立即採取修復步驟。您也應該考慮資源的重要性。

**中 – 問題應該以中期優先順序處理。**  
例如，缺少傳輸中資料的加密會被視為中等嚴重性的問題清單。它需要複雜的man-in-the-middle攻擊，才能利用此弱點。換句話說，這有點困難。如果威脅案例成功，某些資料可能會遭到入侵。  
Security Hub CSPM 建議您儘早調查隱含資源。您也應該考慮資源的重要性。

**低 – 問題不需要自行執行動作。**  
例如，未能收集鑑識資訊視為低嚴重性。此控制有助於防止未來的入侵，但缺少鑑識不會直接導致入侵。  
您不需要對低嚴重性的問題清單立即採取動作，但這些問題可在您與其他問題相互關聯時提供內容。

**資訊 – 找不到組態弱點。**  
換句話說，狀態為 `PASSED`、 `WARNING`或 `NOT AVAILABLE`。  
沒有任何建議的動作。參考性問題清單能協助客戶證明自己處於合規狀態。

# 評估合規狀態和控制狀態
<a name="controls-overall-status"></a>

安全性 AWS 調查結果格式`Compliance.Status`的欄位說明控制調查結果的結果。 AWS Security Hub CSPM 使用控制調查結果的合規狀態來判斷整體控制狀態。控制項狀態會顯示在 Security Hub CSPM 主控台上控制項的詳細資訊頁面上。

## 評估 Security Hub CSPM 調查結果的合規狀態
<a name="controls-overall-status-compliance-status"></a>

每個調查結果的合規狀態會指派下列其中一個值：
+ `PASSED` – 表示控制項已通過調查結果的安全檢查。這會自動將 Security Hub CSPM `Workflow.Status` 設定為 `RESOLVED`。
+ `FAILED` – 表示控制項未通過調查結果的安全檢查。
+ `WARNING` – 表示 Security Hub CSPM 無法判斷資源是否處於 `PASSED`或 `FAILED` 狀態。例如，對應的[AWS Config 資源類型不會開啟資源記錄](securityhub-setup-prereqs.md#config-resource-recording)。
+ `NOT_AVAILABLE` – 表示無法完成檢查，因為伺服器失敗、資源已刪除，或 AWS Config 評估結果為 `NOT_APPLICABLE`。如果 AWS Config 評估結果為 `NOT_APPLICABLE`，Security Hub CSPM 會自動封存問題清單。

如果調查結果的合規狀態從 變更為 `PASSED` `FAILED`、 `WARNING`或 `NOT_AVAILABLE`，且`Workflow.Status`為 `NOTIFIED`或 `RESOLVED`，則 Security Hub CSPM 會自動`Workflow.Status`變更為 `NEW`。

如果您沒有與控制項對應的資源，Security Hub CSPM 會在帳戶層級產生`PASSED`問題清單。如果您有對應至控制項的資源，但接著刪除資源，Security Hub CSPM 會建立`NOT_AVAILABLE`問題清單並立即將其封存。18 小時後，您會收到`PASSED`調查結果，因為您不再有與控制項對應的資源。

## 從合規狀態衍生控制狀態
<a name="controls-overall-status-values"></a>

Security Hub CSPM 會從控制調查結果的合規狀態衍生整體控制狀態。判斷控制狀態時，Security Hub CSPM 會忽略具有 `RecordState`的調查結果，`ARCHIVED`以及具有 `Workflow.Status`的調查結果`SUPPRESSED`。

控制狀態會獲指派下列其中一個值：
+ **已傳遞** – 表示所有調查結果的合規狀態為 `PASSED`。
+ **失敗** – 表示至少一個調查結果的合規狀態為 `FAILED`。
+ **未知** – 表示至少一個調查結果的合規狀態為 `WARNING`或 `NOT_AVAILABLE`。沒有任何調查結果的合規狀態為 `FAILED`。
+ **無資料** – 表示沒有控制項的問題清單。例如，新啟用的控制項具有此狀態，直到 Security Hub CSPM 開始為其產生問題清單為止。如果控制項的所有調查結果都為 `SUPPRESSED` 或目前 中無法使用，則控制項也會有此狀態 AWS 區域。
+ **已停用** – 表示控制項在目前帳戶和區域中已停用。目前未針對目前帳戶和區域中的此控制項執行任何安全檢查。不過，停用控制項的調查結果在停用後最多 24 小時內可能會有合規狀態的值。

對於管理員帳戶，控制狀態會反映管理員帳戶和成員帳戶的控制狀態。具體而言，如果控制項在管理員帳戶或任何成員帳戶中有一或多個失敗的問題清單，則控制項的整體狀態會顯示為**失敗**。如果您已設定彙總區域，則彙總區域中的控制項狀態會反映彙總區域和連結區域中的控制項狀態。具體而言，如果控制項在彙總區域或任何連結區域中有一或多個失敗的問題清單，則控制項的整體狀態會顯示為**失敗**。

Security Hub CSPM 通常會在您第一次造訪 Security Hub CSPM 主控台的**摘要**頁面或**安全標準**頁面後 30 分鐘內產生初始控制狀態。您必須設定[AWS Config 資源記錄](controls-config-resources.md)，控制項狀態才會出現。第一次產生控制狀態之後，Security Hub CSPM 會根據過去 24 小時的調查結果，每 24 小時更新一次控制狀態。控制項詳細資訊頁面上的時間戳記指出上次更新控制項狀態的時間。

**注意**  
第一次啟用控制項後，在中國區域和 中產生控制項狀態最多可能需要 24 小時 AWS GovCloud (US) Region。

# 計算安全分數
<a name="standards-security-score"></a>

在 AWS Security Hub CSPM 主控台上，**摘要**頁面和**控制**頁面會顯示所有已啟用標準的摘要安全分數。在**安全標準**頁面上，Security Hub CSPM 也會為每個啟用的標準顯示 0-100% 的安全分數。

當您第一次啟用 Security Hub CSPM 時，Security Hub CSPM 會在您第一次造訪主控台的摘要或安全標準頁面後 30 分鐘內計算**摘要**安全分數和**標準安全**分數。只會針對您在主控台上造訪這些頁面時啟用的標準產生分數。此外， AWS Config 必須設定資源記錄，才能顯示分數。摘要安全分數是標準安全分數的平均值。若要檢閱目前啟用的標準清單，您可以使用 Security Hub CSPM API 的 [GetEnabledStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html) 操作。

第一次產生分數後，Security Hub CSPM 會每 24 小時更新一次安全分數。Security Hub CSPM 會顯示時間戳記，指出上次更新安全分數的時間。請注意，在中國區域和 中，首次產生安全分數最多可能需要 24 小時 AWS GovCloud (US) Regions。

如果您開啟[合併控制問題清單](controls-findings-create-update.md#consolidated-control-findings)，可能需要長達 24 小時才能更新您的安全分數。此外，啟用新的彙總區域或更新連結的區域會重設現有的安全分數。Security Hub CSPM 最多可能需要 24 小時才能產生新的安全分數，其中包含來自更新區域的資料。

## 計算安全分數的方法
<a name="standard-security-score-calculation"></a>

安全性分數代表**已通過**控制項與已啟用控制項的比例。分數會以百分比顯示，四捨五入或向下到最接近的整數。

Security Hub CSPM 會計算所有已啟用標準的摘要安全分數。Security Hub CSPM 也會計算每個已啟用標準的安全分數。為了計算分數，啟用的控制項包括狀態為**通過**、**失敗**和**未知**的控制項。狀態為 **的控制項 分數計算不會排除任何資料**。

計算控制狀態時，Security Hub CSPM 會忽略封存和隱藏的問題清單。這可能會影響安全分數。例如，如果您隱藏控制項的所有失敗調查結果，則其狀態會變成**通過**，進而改善您的安全分數。如需控制狀態的詳細資訊，請參閱 [評估合規狀態和控制狀態](controls-overall-status.md)。

**評分範例：**


| 標準 | 傳遞控制項 | 失敗的控制項 | 不明控制項 | 標準分數 | 
| --- | --- | --- | --- | --- | 
|  AWS 基礎安全最佳實務 1.0.0 版  |  168  |  22  |  0  |  88%  | 
|  CIS AWS Foundations Benchmark 1.4.0 版  |  8  |  29  |  0  |  22%  | 
|  CIS AWS Foundations Benchmark 1.2.0 版  |  6  |  35  |  0  |  15%  | 
|  NIST 特別出版物 800-53 修訂版 5  |  159  |  56  |  0  |  74%  | 
|  PCI DSS v3.2.1  |  28  |  17  |  0  |  62%  | 

計算摘要安全分數時，Security Hub CSPM 只會跨標準計算每個控制項一次。例如，如果您已啟用套用至三個已啟用標準的控制項，則它只會計為一個已啟用的控制項，以供評分之用。

在此範例中，雖然跨已啟用標準啟用的控制項總數為 528，但 Security Hub CSPM 只會針對評分目的計算每個唯一控制項一次。唯一啟用的控制項數量可能低於 528。如果我們假設唯一啟用的控制項數目為 515，而唯一傳遞的控制項數目為 357，則摘要分數為 69%。此分數的計算方式是將唯一傳遞的控制項數量除以唯一啟用的控制項數量。

您可能有一個與標準安全分數不同的摘要分數，即使您在目前區域中只啟用了帳戶中的一個標準。如果您登入管理員帳戶，且成員帳戶已啟用其他標準或不同標準，則可能會發生這種情況。如果您從彙總區域檢視分數，並在連結區域中啟用其他標準或不同標準，也會發生這種情況。

## 管理員帳戶的安全分數
<a name="standard-security-score-admin"></a>

如果您已登入管理員帳戶，則管理員帳戶和所有成員帳戶中的控制狀態的摘要安全分數和標準分數帳戶。

如果甚至一個成員帳戶中的控制項狀態為**失敗**，則其在管理員帳戶中的狀態為**失敗**，並影響管理員帳戶分數。

如果您已登入管理員帳戶，且正在檢視彙總區域中的分數，則安全分數會考慮所有成員帳戶*和*所有連結區域中的控制狀態。

## 如果您已設定彙總區域，安全性分數
<a name="standard-security-aggregation-region"></a>

如果您已設定彙總 AWS 區域，則摘要安全分數和標準分數會考慮所有 中的控制狀態
 連結的區域。

如果甚至一個連結區域中的控制項狀態為**失敗**，則其狀態在彙總區域中為**失敗**，並影響彙總區域分數。

如果您已登入管理員帳戶，且正在檢視彙總區域中的分數，則安全分數會考慮所有成員帳戶*和*所有連結區域中的控制狀態。