本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
评估合规状态和控制状态
Amazon 安全调查结果格式的Compliance.Status字段描述了控制结果的结果。 Amazon Security Hub 云安全态势管理 (CSPM) 使用控制结果的合规状态来确定总体控制状态。控制状态显示在 Security Hub CSPM 控制台上控件的详细信息页面上。
评估 Security Hub CSPM 调查结果的合规状态
为每个调查发现的合规性状态分配以下值之一:
-
PASSED— 表示控件已通过调查结果的安全检查。这会自动将 Security Hub CSPMWorkflow.Status设置为。RESOLVED -
FAILED— 表示控件未通过发现的安全检查。 -
WARNING— 表示 Security Hub CSPM 无法确定资源是否处于PASSED或FAILED状态。例如,没有为相应的Amazon Config 资源类型开启资源记录。 -
NOT_AVAILABLE— 表示无法完成检查,原因是服务器出现故障、资源已删除或 Amazon Config 评估结果失败NOT_APPLICABLE。如果 Amazon Config 评估结果为NOT_APPLICABLE,Security Hub CSPM 会自动将发现结果存档。
如果查找结果的合规状态从PASSED变为FAILEDWARNING、或,并且Workflow.Status是NOTIFIED或 NOT_AVAILABLERESOLVED,则 Security Hub CSPM 会自动更改Workflow.Status为。NEW
如果您没有与控件对应的资源,Security Hub CSPM 会在账户级别生成PASSED调查结果。如果您有与控件对应的资源,但随后删除了该资源,Security Hub CSPM 会创建NOT_AVAILABLE查找结果并立即将其存档。18 小时后,您会收到PASSED调查结果,因为您不再拥有与该控件对应的资源。
从合规性状态获取控件状态
Security Hub CSPM 根据控制结果的合规状态得出总体控制状态。在确定控制状态时,Security Hub CSPM 会忽略具有为RecordState的发现结果ARCHIVED和具有为的结果。Workflow.Status SUPPRESSED
为控件状态分配以下值之一:
-
通过 – 表示所有调查发现的合规性状态均为
PASSED。 -
未通过 – 表示至少一个调查发现的合规性状态为
FAILED。 -
未知 – 表示至少一个调查发现的合规性状态为
WARNING或NOT_AVAILABLE。如果没有调查发现,则合规性状态为FAILED。 -
无数据——表示控件没有结果。例如,新启用的控件在 Security Hub CSPM 开始为其生成发现结果之前一直处于此状态。如果控件的所有发现均为
SUPPRESSED或当前不可用,则该控件也将处于此状态 Amazon Web Services 区域。 -
已禁用 – 表示当前账户和区域中的控件已禁用。目前没有对当前账户和区域中的此控件进行安全检查。然而,已禁用控件的调查发现在禁用后最多 24 小时内可能仍有合规性状态的值。
对于管理员帐户,控制状态反映管理员帐户和成员帐户的控制状态。具体而言,如果控件在管理员账户或任何成员账户中有一个或多个失败的调查发现,则该控件的总体状态将显示为失败。如果您设置了聚合区域,则聚合区域中的控件状态将反映聚合区域和关联区域的控件状态。具体而言,如果控件在聚合区域或任何关联区域中有一个或多个失败的调查发现,则该控件的总体状态将显示为失败。
Security Hub CSPM 通常会在您首次访问 Security Hub CSPM 控制台上的 “摘要” 页面或 “安全标准” 页面后 30 分钟内生成初始控制状态。此外,必须配置 Amazon Config 资源记录才能显示控件状态。首次生成控制状态后,Security Hub CSPM 会根据前 24 小时的发现每 24 小时更新一次控制状态。控件详细信息页面上的时间戳表示控件状态的上次更新时间。
注意
首次启用控件后,最长可能需要 24 小时才能在中国区域生成控制状态和。 Amazon GovCloud (US) Region