計算安全分數 - AWS Security Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

計算安全分數

Security Hub 主台的 [摘要] 頁面和 [控制項] 頁面會顯示所有已啟用標準的摘要安全分數。在 [安全性標準] 頁面上,Security Hub 也會針對每個已啟用的標準,顯示介於 0-100% 之間的安全分數。

當您第一次啟用 Security Hub 時,Security Hub 會在您第一次造訪 Security Hub 主控台的 [摘要] 頁面或 [安全性標準] 頁面後的 30 分鐘內計算摘要安全分數和標準安全分數。只有在您造訪這些頁面時啟用的標準,才會產生分數。若要檢視目前啟用的標準清單,請呼叫該GetEnabledStandardsAPI作業。此外, AWS Config 必須配置資源記錄才能顯示分數。安全分數摘要是標準安全分數的平均值。

在第一次產生分數之後,Security Hub 會每 24 小時更新一次安全分數。Security Hub 會顯示時間戳記,以指出上次更新安全分數的時間。

注意

在中國地區產生首次安全分數可能需要長達 24 小時的時間, AWS GovCloud (US) Region.

如果您開啟合併控制項發現項目,最多可能需要 24 小時才能更新安全分數。此外,啟用新的彙總區域或更新連結的區域會重設現有的安全分數。Security Hub 最多可能需要 24 小時才能產生新的安全分數,其中包括來自更新區域的資料。

安全分數計算方法

安全分數代表「通過」控制項與已啟用控制項的比例。分數會以四捨五入至最接近的整數的百分比顯示。

Security Hub 會計算所有已啟用標準的摘要安全分數。Security Hub 也會針對每個已啟用的標準計算安全分數。為了計算分數,啟用的控制項包括狀態為「通過」、「失敗」和「未知」的控制項。狀態為「無資料」的控制項會從評分計算中排除。

Security Hub 會在計算控制狀態時忽略封存和隱藏的發現項目。這可能會影響安全分數。例如,如果您針對某個控制項隱藏所有失敗的發現項目,其狀態會變成「已通過」,進而改善您的安全分數。如需控制項狀態的詳細資訊,請參閱評估資訊安全中心的合規性狀態和控制狀態

評分示例:

標準 通過控制 失敗的控制 未知的控制 標準分數

AWS 基礎安全性最佳做法 v1.0.0

168

22

0

88%

CIS AWS 基金會基準測試版 1.4.0

8

29

0

22%

CIS AWS 基金會基準 V1.2.0

6

35

0

15%

NIST特別刊物 800-53 修訂版第五期刊物

159

56

0

74%

PCIDSSV3.2.1

28

17

0

62%

計算摘要安全分數時,Security Hub 只會計算跨標準的每個控制項一次。例如,如果您已啟用適用於三個已啟用標準的控制項,則該控制項僅會計為一個已啟用的控制項,以供評分使用。

在此範例中,雖然已啟用標準中已啟用的控制項總數為 528,但是 Security Hub 只會計算每個唯一控制項一次,以便用於評分。唯一啟用的控制項數目可能會低於 528 個。如果我們假設唯一啟用的控制項數目為 515,而唯一傳遞的控制項數目為 357,則摘要分數為 69%。此分數的計算方式是將唯一傳遞的控制項數除以唯一啟用的控制項數目。

您的摘要分數可能與標準安全分數不同,即使您只在目前的區域中的帳戶中啟用了一個標準。如果您已登入系統管理員帳戶,且成員帳戶已啟用其他標準或不同的標準,則可能會發生這種情況。如果您正在檢視彙總區域的分數,並且在連結的區域中啟用了其他標準或不同標準,也可能會發生這種情況。

管理員帳戶的安全分數

如果您已登入系統管理員帳戶,則系統管理員帳戶和所有成員帳戶中的控制狀態的摘要安全性分數和標準分數會計入帳戶。

如果即使是一個成員帳戶中的控制項狀態為「失敗」,則其狀態會在系統管理員帳戶中為「失敗」,並會影響系統管理員帳戶分數。

如果您已登入管理員帳戶,並且正在檢視彙總區域中的分數,安全性分數會將所有成員帳戶所有連結區域的控制狀態納入考量。

安全分數 (如果您已設定彙總區域)

如果您已設定彙總 AWS 區域,安全分數摘要和標準分數會列入所有控制項狀態 連結的區域。

如果某個連結「區域」中的控制項狀態為「失敗」,則其在聚總「區域」中的狀態為「失敗」,並會影響聚總「區域」評分。

如果您已登入管理員帳戶,並且正在檢視彙總區域中的分數,安全性分數會將所有成員帳戶所有連結區域的控制狀態納入考量。