在 Security Hub 中评估合规性状态和控件状态 - Amazon Security Hub
评估 Security Hub 调查发现的合规性状态从合规性状态获取控件状态
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Security Hub 中评估合规性状态和控件状态

Amazon 安全调查结果格式的Compliance.Status字段描述了控制结果的结果。Security Hub 使用控件调查发现的合规性状态来确定总体控件状态。控件状态将在 Security Hub 控制台上控件的详细信息页面上显示。

评估 Security Hub 调查发现的合规性状态

为每个调查发现的合规性状态分配以下值之一:

  • PASSED – 表示控件通过了此调查发现的安全检查。自动将 Security Hub Workflow.Status 设置为 RESOLVED

    如果调查发现的 Compliance.StatusPASSED 变为 FAILEDWARNINGNOT_AVAILABLE;并且 Workflow.StatusNOTIFIEDRESOLVED;则 Security Hub 会自动将 Workflow.Status 设置为 NEW

    如果您没有与控件对应的资源,Security Hub 会在账户级别生成 PASSED 调查发现。如果您有与控件对应的资源,但随后删除了该资源,Security Hub 会创建 NOT_AVAILABLE 调查发现并立即将其存档。18 小时后,您会收到一个 PASSED 调查发现,因为您不再拥有与该控件对应的资源。

  • FAILED – 表示控件未通过此调查发现的安全检查。

  • WARNING – 表示检查已完成,但 Security Hub 无法确定资源是处于 PASSED 还是 FAILED 状态。

  • NOT_AVAILABLE— 表示无法完成检查,原因是服务器出现故障、资源已删除或 Amazon Config 评估结果失败NOT_APPLICABLE

    如果 Amazon Config 评估结果为NOT_APPLICABLE,Security Hub 会自动将结果存档。

从合规性状态获取控件状态

Security Hub 使用控件调查发现的合规性状态获取总体控件状态。在确定控件状态时,Security Hub 会忽略 RecordStateARCHIVED 的调查发现和 Workflow.StatusSUPPRESSED 的调查发现。

为控件状态分配以下值之一:

  • 通过 – 表示所有调查发现的合规性状态均为 PASSED

  • 未通过 – 表示至少一个调查发现的合规性状态为 FAILED

  • 未知 – 表示至少一个调查发现的合规性状态为 WARNINGNOT_AVAILABLE。如果没有调查发现,则合规性状态为 FAILED

  • 无数据——表示控件没有结果。例如,新启用的控件在 Security Hub 开始为其生成调查发现之前一直处于此状态。如果所有控件为 SUPPRESSED 或控件在当前区域中不可用,则控件也具有此状态。

  • 已禁用 – 表示当前账户和区域中的控件已禁用。目前没有对当前账户和区域中的此控件进行安全检查。然而,已禁用控件的调查发现在禁用后最多 24 小时内可能仍有​​合规性状态的值。

对于管理员账户,控件状态反映了管理员账户和成员账户中的控件状态。具体而言,如果控件在管理员账户或任何成员账户中有一个或多个失败的调查发现,则该控件的总体状态将显示为失败。如果您设置了聚合区域,则聚合区域中的控件状态将反映聚合区域和关联区域的控件状态。具体而言,如果控件在聚合区域或任何关联区域中有一个或多个失败的调查发现,则该控件的总体状态将显示为失败

Security Hub 通常会在您首次访问 Security Hub 控制台的摘要页面或安全标准页面后 30 分钟内生成初始控件状态。此外,必须配置 Amazon Config 资源记录才能显示控件状态。首次生成控件状态后,Security Hub 会根据前 24 小时的调查发现每 24 小时更新一次控件状态。控件详细信息页面上的时间戳表示控件状态的上次更新时间。

注意

启用控件后,最长可能需要 24 小时才能在中国地区和 Amazon GovCloud (US) Region生成首次控件状态。