评估合规性状态和控件状态
Amazon 安全调查发现格式的 Compliance.Status 字段描述了控件调查发现的结果。AmazonSecurity Hub CSPM 使用控件调查发现的合规性状态来确定总体控件状态。控件状态将在 Security Hub CSPM 控制台上控件的详细信息页面上显示。
评估 Security Hub CSPM 调查发现的合规性状态
为每个调查发现的合规性状态分配以下值之一:
-
PASSED– 表示控件通过了调查发现的安全检查。这会自动将 Security Hub CSPMWorkflow.Status设置为RESOLVED。 -
FAILED– 表示控件未通过调查发现的安全检查。 -
WARNING– 表示 Security Hub CSPM 无法确定资源是处于PASSED还是FAILED状态。例如,没有为相应的资源类型启用 Amazon Config 资源记录。 -
NOT_AVAILABLE– 表示检查无法完成,因为服务器出现故障、资源被删除或 Amazon Config 评估结果为NOT_APPLICABLE。如果 Amazon Config 评估结果为NOT_APPLICABLE,则 Security Hub CSPM 会自动存档调查发现。
如果调查发现的合规性状态从 PASSED 更改为 FAILED、WARNING 或 NOT_AVAILABLE,并且 Workflow.Status 是 NOTIFIED 或 RESOLVED,则 Security Hub CSPM 会自动将 Workflow.Status 更改为 NEW。
如果您没有与控件对应的资源,Security Hub CSPM 会在账户级别生成 PASSED 调查发现。如果您有与控件对应的资源,但随后删除了该资源,Security Hub CSPM 会创建 NOT_AVAILABLE 调查发现并立即将其存档。18 小时后,您会收到一个 PASSED 调查发现,因为您不再拥有与该控件对应的资源。
从合规性状态获取控件状态
Security Hub CSPM 根据控件调查发现的合规性状态得出总体控件状态。在确定控件状态时,Security Hub CSPM 会忽略 RecordState 为 ARCHIVED 的调查发现和 Workflow.Status 为 SUPPRESSED 的调查发现。
为控件状态分配以下值之一:
-
通过 – 表示所有调查发现的合规性状态均为
PASSED。 -
未通过 – 表示至少一个调查发现的合规性状态为
FAILED。 -
未知 – 表示至少一个调查发现的合规性状态为
WARNING或NOT_AVAILABLE。如果没有调查发现,则合规性状态为FAILED。 -
无数据——表示控件没有结果。例如,新启用的控件在 Security Hub CSPM 开始为其生成调查发现之前一直处于此状态。如果所有标准的状态为
SUPPRESSED或在当前 Amazon Web Services 区域中不可用,则控件也具有此状态。 -
已禁用 – 表示当前账户和区域中的控件已禁用。目前没有对当前账户和区域中的此控件进行安全检查。然而,已禁用控件的调查发现在禁用后最多 24 小时内可能仍有合规性状态的值。
对于管理员账户,控件状态反映了管理员账户和成员账户的控件状态。具体而言,如果控件在管理员账户或任何成员账户中有一个或多个失败的调查发现,则该控件的总体状态将显示为失败。如果您设置了聚合区域,则聚合区域中的控件状态将反映聚合区域和关联区域的控件状态。具体而言,如果控件在聚合区域或任何关联区域中有一个或多个失败的调查发现,则该控件的总体状态将显示为失败。
Security Hub CSPM 通常会在您首次访问 Security Hub CSPM 控制台上的摘要页面或安全标准页面后 30 分钟内生成初始控件状态。此外,必须配置 Amazon Config 资源记录才能显示控件状态。首次生成控件状态后,Security Hub CSPM 会根据前 24 小时的调查发现每 24 小时更新一次控件状态。控件详细信息页面上的时间戳表示控件状态的上次更新时间。
注意
首次启用控件后,最长可能需要 24 小时才能在中国地区和 Amazon GovCloud (US) Region生成控件状态。