Evaluación del estado de cumplimiento y del estado del control - AWSSecurity Hub
Evaluación del estado de cumplimiento de los resultados del CSPM de Security HubObtención del estado de control a partir del estado de conformidad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Evaluación del estado de cumplimiento y del estado del control

El campo Compliance.Status del Formato de resultados de seguridad de AWS describe el resultado de una comprobación de control. AWS El CSPM de Security Hub usa el estado de cumplimiento de los resultados del control para determinar el estado general del control. El estado del control se muestra en la página de detalles de un control en la consola del CSPM de Security Hub.

Evaluación del estado de cumplimiento de los resultados del CSPM de Security Hub

El estado de conformidad para cada resultado se asigna uno de los siguientes valores:

  • PASSED: indica que el control superó la comprobación de seguridad correspondiente al resultado. Esto establece de forma automática el Workflow.Status del CSPM de Security Hub en RESOLVED.

  • FAILED: indica que el control no superó la comprobación de seguridad correspondiente al resultado.

  • WARNING: indica que el CSPM de Security Hub no puede determinar si el recurso se encuentra en un estado PASSED o FAILED. Por ejemplo, si el registro de recursos de AWS Config no se encuentra activado para el tipo de recurso correspondiente.

  • NOT_AVAILABLE: indica que el control no se pudo completar porque se ha producido un error en el servidor, se ha eliminado el recurso o el resultado de la evaluación de AWS Config ha sido NOT_APPLICABLE. Si el resultado de evaluación de AWS Config era NOT_APPLICABLE, el CSPM de Security Hub archiva el resultado de forma automática.

Si el estado de cumplimiento de un resultado cambia de PASSED a FAILED, WARNING o NOT_AVAILABLE, y Workflow.Status era NOTIFIED o RESOLVED, el CSPM de Security Hub cambia de forma automática Workflow.Status a NEW.

Si no cuenta con recursos correspondientes a un control, el CSPM de Security Hub genera un resultado PASSED a nivel de la cuenta. Si cuenta con un recurso correspondiente a un control y luego elimina ese recurso, el CSPM de Security Hub crea un resultado NOT_AVAILABLE y lo archiva de inmediato. Después de 18 horas, recibe un resultado PASSED porque ya no cuenta con recursos correspondientes al control.

Obtención del estado de control a partir del estado de conformidad

El CSPM de Security Hub deriva un estado general del control a partir del estado de cumplimiento de los resultados del control. Al determinar el estado del control, el CSPM de Security Hub ignora los resultados con RecordState de ARCHIVED, y los resultados con Workflow.Status de SUPPRESSED.

El estado de control tiene asignado uno de los siguientes valores:

  • Aprobado: indica que todos los resultados tienen un estado de conformidad como PASSED.

  • Con fallos: indica que al menos un resultado tiene un estado de conformidad como FAILED.

  • Desconocido: indica que al menos un resultado tiene un estado de conformidad como WARNING o NOT_AVAILABLE. Ningún resultado tiene un estado de conformidad como FAILED.

  • Sin datos: indica que no hay ningún resultado para el control. Por ejemplo, un control recién habilitado presenta este estado hasta que el CSPM de Security Hub empieza a generar resultados para dicho control. Un control también presenta este estado si todos sus resultados son SUPPRESSED o si no se encuentra disponible en la Región de AWS actual.

  • Desactivado: indica que el control está desactivado en la cuenta actual y en la región. No se están realizando controles de seguridad para este control en la cuenta y la región actuales. Sin embargo, los resultados de un control desactivado pueden tener un valor para el estado de conformidad hasta 24 horas después de la desactivación.

Para una cuenta de administrador, el estado del control refleja su estado para la cuenta de administrador y para las cuentas de miembro. En concreto, el estado general de un control aparece como Con fallos si el control tiene uno o más resultados fallidos en la cuenta del administrador o en cualquiera de las cuentas de los miembros. Si estableció una región de agregación, el estado de control de la región de agregación refleja el estado de control de dicha región y las regiones vinculadas. En concreto, el estado general de un control aparece como Con fallos si el control tiene uno o más resultados fallidos en la región de agregación o en cualquiera de las regiones vinculadas.

El CSPM de Security Hub normalmente genera el estado inicial del control dentro de los 30 minutos posteriores a su primera visita a la página Resumen o a la página de Estándares de seguridad en la consola del CSPM de Security Hub. El registro de recursos de AWS Config debe estar configurado para que aparezca el estado de control. Una vez generados los estados de control por primera vez, el CSPM de Security Hub los actualiza cada 24 horas con base en los resultados del periodo anterior. Una marca de tiempo en la página de detalles de control indica cuándo se actualizó por última vez el estado de control.

nota

Después de habilitar un control por primera vez, el proceso puede tardar hasta 24 horas para que se generen los estados de control en las regiones de China y en la AWS GovCloud (US) Region.