Génération et mise à jour des résultats de contrôle - AWS Security Hub
Conclusions de contrôle consolidéesGénération, mise à jour et archivage des résultats des contrôlesAutomatisation et suppression des résultats de contrôleDétails de conformité pour les résultats des contrôlesProductFields détails relatifs aux résultats des contrôlesNiveaux de gravité des résultats de contrôle

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Génération et mise à jour des résultats de contrôle

AWS Security Hub Cloud Security Posture Management (CSPM) génère et met à jour les résultats des contrôles lorsqu'il effectue des vérifications par rapport aux contrôles de sécurité. Les résultats des contrôles utilisent le format ASFF (AWS Security Finding Format).

Security Hub CSPM facture normalement chaque contrôle de sécurité effectué pour un contrôle. Toutefois, si plusieurs contrôles utilisent la même AWS Config règle, Security Hub CSPM ne facture qu'une seule fois pour chaque vérification effectuée par rapport à la règle. Par exemple, la AWS Config iam-password-policy règle est utilisée par plusieurs contrôles dans les normes CIS AWS Foundations Benchmark et AWS Foundational Security Best Practices. Chaque fois que Security Hub CSPM effectue une vérification par rapport à cette règle, il génère un résultat de contrôle distinct pour chaque contrôle associé, mais ne facture qu'une seule fois pour le contrôle.

Si la taille d'un résultat de contrôle dépasse le maximum de 240 Ko, Security Hub CSPM supprime l'Resource.Detailsobjet du résultat. Pour les contrôles basés sur des AWS Config ressources, vous pouvez consulter les détails des ressources à l'aide de la AWS Config console.

Conclusions de contrôle consolidées

Si les résultats de contrôle consolidés sont activés pour votre compte, Security Hub CSPM génère une seule découverte ou mise à jour des résultats pour chaque contrôle de sécurité d'un contrôle, même si un contrôle s'applique à plusieurs normes activées. Pour obtenir la liste des contrôles et des normes auxquelles ils s'appliquent, consultez leRéférence de contrôle pour Security Hub CSPM. Nous recommandons d'activer les résultats de contrôle consolidés afin de réduire le bruit de détection.

Si vous avez activé Security Hub CSPM Compte AWS avant le 23 février 2023, vous pouvez activer les résultats de contrôle consolidés en suivant les instructions fournies plus loin dans cette section. Si vous activez Security Hub CSPM le 23 février 2023 ou après cette date, les résultats de contrôle consolidés sont automatiquement activés pour votre compte.

Si vous utilisez l'intégration du Security Hub CSPM avec des comptes membres AWS Organizations ou si vous les invitez par le biais d'un processus d'invitation manuel, les résultats de contrôle consolidés ne sont activés pour les comptes membres que s'ils sont activés pour le compte administrateur. Si la fonctionnalité est désactivée pour le compte administrateur, elle est désactivée pour les comptes membres. Ce comportement s'applique aux comptes de membres nouveaux et existants. En outre, si l'administrateur utilise une configuration centralisée pour gérer le Security Hub CSPM pour plusieurs comptes, il ne peut pas utiliser de politiques de configuration centralisées pour activer ou désactiver les résultats de contrôle consolidés pour les comptes.

Si vous désactivez les résultats de contrôle consolidés pour votre compte, Security Hub CSPM génère ou met à jour un résultat de contrôle distinct pour chaque norme activée qui inclut un contrôle. Par exemple, si vous activez quatre normes qui partagent un contrôle, vous recevez quatre résultats distincts après un contrôle de sécurité pour le contrôle. Si vous activez les résultats de contrôle consolidés, vous ne recevez qu'un seul résultat.

Lorsque vous activez les résultats de contrôle consolidés, Security Hub CSPM crée de nouveaux résultats indépendants des normes et archive les résultats standard d'origine. Certains champs et valeurs de recherche de contrôle vont changer, ce qui peut avoir un impact sur vos flux de travail existants. Pour plus d'informations sur ces modifications, consultezConclusions de contrôle consolidées — modifications apportées à l'ASFF. L'activation des résultats de contrôle consolidés peut également affecter les résultats que les produits tiers intégrés reçoivent de Security Hub CSPM. Si vous utilisez la solution Automated Security Response on AWS v2.0.0, notez qu'elle prend en charge les résultats de contrôle consolidés.

Pour activer ou désactiver les résultats de contrôle consolidés, vous devez être connecté à un compte administrateur ou à un compte autonome.

Note

Une fois que vous avez activé les résultats de contrôle consolidés, Security Hub CSPM peut mettre jusqu'à 24 heures pour générer de nouveaux résultats consolidés et archiver les résultats standard existants. De même, après avoir désactivé les résultats de contrôle consolidés, Security Hub CSPM peut mettre jusqu'à 24 heures pour générer de nouveaux résultats basés sur des normes et archiver les résultats consolidés existants. Au cours de ces périodes, il est possible que vous constatiez un mélange de résultats indépendants des normes et de résultats basés sur les normes dans votre compte.

Security Hub CSPM console
Pour activer ou désactiver les résultats des contrôles consolidés

  1. Ouvrez la console AWS Security Posture Management (CSPM) du Security Hub Cloud à l'adresse. https://console.aws.amazon.com/securityhub/

  2. Dans le volet de navigation, sous Paramètres, choisissez Général.

  3. Dans la section Contrôles, choisissez Modifier.

  4. Utilisez le commutateur Consolidated control findings pour activer ou désactiver les résultats de contrôle consolidés.

  5. Choisissez Enregistrer.

Security Hub CSPM API

Pour activer ou désactiver les résultats des contrôles consolidés par programmation, utilisez l'UpdateSecurityHubConfigurationAPI Security Hub CSPM. Ou, si vous utilisez le AWS CLI, exécutez la update-security-hub-configurationcommande.

Pour le control-finding-generator paramètre, spécifiez SECURITY_CONTROL pour activer les résultats de contrôle consolidés. Pour désactiver les résultats des contrôles consolidés, spécifiezSTANDARD_CONTROL.

Par exemple, la AWS CLI commande suivante permet de consolider les résultats des contrôles.

$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL

La AWS CLI commande suivante désactive les résultats de contrôle consolidés.

$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL

Génération, mise à jour et archivage des résultats des contrôles

Security Hub CSPM exécute des contrôles de sécurité selon un calendrier. La première fois que Security Hub CSPM effectue un contrôle de sécurité pour un contrôle, il génère un nouveau résultat pour chaque AWS ressource vérifiée par le contrôle. Chaque fois que Security Hub CSPM effectue ensuite un contrôle de sécurité pour le contrôle, il met à jour les résultats existants pour signaler les résultats du contrôle. Cela signifie que vous pouvez utiliser les données fournies par les résultats individuels pour suivre les changements de conformité pour des ressources spécifiques par rapport à des contrôles particuliers.

Par exemple, si le statut de conformité d'une ressource passe de FAILED à PASSED pour un contrôle particulier, Security Hub CSPM ne génère pas de nouveau résultat. Security Hub CSPM met plutôt à jour les résultats existants pour le contrôle et la ressource. Dans le résultat, Security Hub CSPM remplace la valeur du champ État de conformité (Compliance.Status) par. PASSED Security Hub CSPM met également à jour les valeurs des champs supplémentaires afin de refléter les résultats de la vérification, par exemple, l'étiquette de gravité, le statut du flux de travail et les horodatages qui indiquent la date à laquelle Security Hub CSPM a effectué la dernière vérification et mis à jour le résultat.

Lorsque vous signalez une modification de l'état de conformité, Security Hub CSPM peut mettre à jour l'un des champs suivants dans une constatation de contrôle :

  • Compliance.Status— Le nouveau statut de conformité de la ressource pour le contrôle spécifié.

  • FindingProviderFields.Severity.Label— La nouvelle représentation qualitative de la gravité du résultat, telle que LOWMEDIUM, ouHIGH.

  • FindingProviderFields.Severity.Original— La nouvelle représentation quantitative de la gravité de la constatation, par exemple 0 pour une ressource conforme.

  • FirstObservedAt— Lorsque le statut de conformité de la ressource a récemment changé.

  • LastObservedAt— Lorsque Security Hub CSPM a récemment effectué le contrôle de sécurité pour le contrôle et la ressource spécifiés.

  • ProcessedAt— Quand Security Hub CSPM a récemment commencé à traiter le résultat.

  • ProductFields.PreviousComplianceStatus— L'état de conformité précédent (Compliance.Status) de la ressource pour le contrôle spécifié.

  • UpdatedAt— Quand Security Hub CSPM a mis à jour le résultat pour la dernière fois.

  • Workflow.Status— L'état de l'enquête sur le résultat, sur la base du nouveau statut de conformité de la ressource pour le contrôle spécifié.

La mise à jour d'un champ par Security Hub CSPM dépend principalement des résultats du dernier contrôle de sécurité concernant le contrôle et les ressources applicables. Par exemple, si le statut de conformité d'une ressource passe de PASSED à FAILED pour un contrôle particulier, Security Hub CSPM change le statut du flux de travail du résultat en. NEW Pour suivre les mises à jour des résultats individuels, vous pouvez consulter l'historique d'un résultat. Pour plus de détails sur les champs individuels des résultats, voir AWS Security Finding Format (ASFF).

Dans certains cas, Security Hub CSPM génère de nouveaux résultats pour des vérifications ultérieures par un contrôle, au lieu de mettre à jour les résultats existants. Cela peut se produire en cas de problème avec la AWS Config règle qui soutient un contrôle. Dans ce cas, Security Hub CSPM archive le résultat existant et génère un nouveau résultat pour chaque vérification. Dans les nouvelles découvertes, le statut de conformité est NOT_AVAILABLE et l'état de l'enregistrement estARCHIVED. Une fois que vous avez résolu le problème lié à la AWS Config règle, Security Hub CSPM génère de nouvelles conclusions et commence à les mettre à jour afin de suivre les modifications ultérieures du statut de conformité des ressources individuelles.

Outre la génération et la mise à jour des résultats de contrôle, Security Hub CSPM archive automatiquement les résultats de contrôle qui répondent à certains critères. Security Hub CSPM archive un résultat si le contrôle est désactivé, si la ressource spécifiée est supprimée ou si la ressource spécifiée n'existe plus. Il est possible qu'une ressource n'existe plus car le service associé n'est plus utilisé. Plus précisément, Security Hub CSPM archive automatiquement un résultat de contrôle si celui-ci répond à l'un des critères suivants :

  • Le résultat n'a pas été mis à jour depuis 3 à 5 jours. Notez que l'archivage basé sur cette période est effectué dans la mesure du possible et n'est pas garanti.

  • L' AWS Config évaluation associée renvoyée NOT_APPLICABLE pour l'état de conformité de la ressource spécifiée.

Pour déterminer si une recherche est archivée, vous pouvez vous référer au champ record state (RecordState) de la recherche. Si un résultat est archivé, la valeur de ce champ estARCHIVED.

Security Hub CSPM stocke les résultats de contrôle archivés pendant 30 jours. Au bout de 30 jours, les résultats expirent et Security Hub CSPM les supprime définitivement. Pour déterminer si un résultat de contrôle archivé a expiré, Security Hub CSPM base son calcul sur la valeur du UpdatedAt champ du résultat.

Pour conserver les résultats de contrôle archivés pendant plus de 30 jours, vous pouvez les exporter vers un compartiment S3. Vous pouvez le faire en utilisant une action personnalisée avec une EventBridge règle Amazon. Pour de plus amples informations, veuillez consulter Utilisation EventBridge pour une réponse et une correction automatisées.

Note

Avant le 3 juillet 2025, Security Hub CSPM générait et mettait à jour les résultats de contrôle différemment lorsque le statut de conformité d'une ressource changeait pour un contrôle. Auparavant, Security Hub CSPM créait un nouveau résultat de contrôle et archivait le résultat existant pour une ressource. Par conséquent, vous pouvez avoir plusieurs résultats archivés pour un contrôle et une ressource particuliers jusqu'à leur expiration (après 30 jours).

Automatisation et suppression des résultats de contrôle

Vous pouvez utiliser les règles d'automatisation CSPM de Security Hub pour mettre à jour ou supprimer des résultats de contrôle spécifiques. Si vous supprimez un résultat, vous pouvez continuer à y accéder. Cependant, la suppression indique que vous pensez qu'aucune action n'est nécessaire pour remédier à la constatation.

En supprimant les résultats, vous pouvez réduire le bruit de recherche. Par exemple, vous pouvez supprimer les résultats de contrôle générés dans les comptes de test. Vous pouvez également supprimer les résultats liés à des ressources spécifiques. Pour en savoir plus sur la mise à jour ou la suppression automatique des résultats, consultezComprendre les règles d'automatisation dans Security Hub CSPM.

Les règles d'automatisation sont appropriées lorsque vous souhaitez mettre à jour ou supprimer des résultats de contrôle spécifiques. Toutefois, si un contrôle n'est pas pertinent pour votre organisation ou votre cas d'utilisation, nous vous recommandons de le désactiver. Si vous désactivez un contrôle, Security Hub CSPM n'effectue aucun contrôle de sécurité pour celui-ci et vous n'êtes pas facturé pour ce contrôle.

Détails de conformité pour les résultats des contrôles

Dans les résultats générés par les contrôles de sécurité pour les contrôles, l'objet de conformité et les champs du format ASFF ( AWS Security Finding Format) fournissent des détails de conformité pour les ressources individuelles vérifiées par un contrôle. Cela inclut les informations suivantes :

  • AssociatedStandards— Les normes activées dans lesquelles le contrôle est activé.

  • RelatedRequirements— Les exigences associées au contrôle dans toutes les normes activées. Ces exigences découlent de cadres de sécurité tiers pour le contrôle, tels que la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) ou la norme NIST SP 800-171 révision 2.

  • SecurityControlId— L'identifiant pour le contrôle des normes prises en charge par Security Hub CSPM.

  • Status— Le résultat de la dernière vérification effectuée par Security Hub CSPM pour le contrôle. Les résultats des vérifications précédentes sont conservés dans l'historique des résultats.

  • StatusReasons— Tableau répertoriant les raisons de la valeur spécifiée par le Status champ. Pour chaque raison, cela inclut un code de motif et une description.

Le tableau suivant répertorie les codes de motif et les descriptions qu'un résultat peut inclure dans le StatusReasons tableau. Les étapes de correction varient en fonction du contrôle qui a généré une constatation avec un code de motif spécifié. Pour consulter les instructions de correction relatives à un contrôle, reportez-vous auRéférence de contrôle pour Security Hub CSPM.

Code de motif Statut de conformité Description

CLOUDTRAIL_METRIC_FILTER_NOT_VALID

FAILED

Le CloudTrail parcours multirégional ne possède pas de filtre métrique valide.

CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT

FAILED

Les filtres métriques ne sont pas présents pour le CloudTrail parcours multirégional.

CLOUDTRAIL_MULTI_REGION_NOT_PRESENT

FAILED

Le compte ne dispose pas d'un CloudTrail parcours multirégional avec la configuration requise.

CLOUDTRAIL_REGION_INVAILD

WARNING

Les CloudTrail sentiers multirégionaux ne se trouvent pas dans la région actuelle.

CLOUDWATCH_ALARM_ACTIONS_NOT_VALID

FAILED

Aucune action d'alarme valide n'est présente.

CLOUDWATCH_ALARMS_NOT_PRESENT

FAILED

CloudWatch les alarmes n'existent pas dans le compte.

CONFIG_ACCESS_DENIED

NOT_AVAILABLE

AWS Config le statut est ConfigError

AWS Config accès refusé.

Vérifiez qu'il AWS Config est activé et que des autorisations suffisantes ont été accordées.

CONFIG_EVALUATIONS_EMPTY

PASSED

AWS Config a évalué vos ressources en fonction de la règle.

La règle ne s'appliquait pas aux AWS ressources incluses dans son champ d'application, les ressources spécifiées ont été supprimées ou les résultats de l'évaluation ont été supprimés.

CONFIG_RECORDER_CUSTOM_ROLE

FAILED(pour Config.1)

L' AWS Config enregistreur utilise un rôle IAM personnalisé au lieu du rôle AWS Config lié au service, et le paramètre includeConfigServiceLinkedRoleCheck personnalisé de Config.1 n'est pas défini sur. false

CONFIG_RECORDER_DISABLED

FAILED(pour Config.1)

AWS Config n'est pas activé lorsque l'enregistreur de configuration est activé.

CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES

FAILED(pour Config.1)

AWS Config n'enregistre pas tous les types de ressources correspondant aux contrôles Security Hub CSPM activés. Activez l'enregistrement pour les ressources suivantes :Resources that aren't being recorded.

CONFIG_RETURNS_NOT_APPLICABLE

NOT_AVAILABLE

Le statut de conformité est NOT_AVAILABLE dû au fait que le statut « Non applicable » a été AWS Config renvoyé.

AWS Config ne fournit pas la raison du statut. Voici quelques raisons pouvant expliquer le statut Non applicable :

  • La ressource a été supprimée du champ d'application de la AWS Config règle.

  • La AWS Config règle a été supprimée.

  • La ressource a été supprimée.

  • La logique des AWS Config règles peut produire un statut Non applicable.

CONFIG_RULE_EVALUATION_ERROR

NOT_AVAILABLE

AWS Config le statut est ConfigError

Ce code de motif est utilisé pour plusieurs types d'erreur d'évaluation différents.

La description fournit des informations sur la raison spécifique.

Le type d'erreur peut être l'un des suivants :

  • Impossibilité d'effectuer l'évaluation en raison d'un manque d'autorisations. La description fournit l'autorisation spécifique manquante.

  • Valeur manquante ou non valide pour un paramètre. La description fournit le paramètre et les conditions requises pour la valeur du paramètre.

  • Erreur de lecture à partir d'un compartiment S3. La description identifie le compartiment et indique l'erreur spécifique.

  • AWS Abonnement manquant.

  • Un délai d'attente général pour l'évaluation.

  • Un compte suspendu.

CONFIG_RULE_NOT_FOUND

NOT_AVAILABLE

AWS Config le statut est ConfigError

La AWS Config règle est en cours de création.

INTERNAL_SERVICE_ERROR

NOT_AVAILABLE

Une erreur inconnue s'est produite.

LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE

FAILED

Security Hub CSPM n'est pas en mesure d'effectuer une vérification par rapport à un environnement d'exécution Lambda personnalisé.

S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION

WARNING

Le résultat est dans un WARNING état car le compartiment S3 associé à cette règle se trouve dans une région ou un compte différent.

Cette règle ne prend pas en charge les vérifications entre régions ou entre comptes.

Il est recommandé de désactiver ce contrôle dans cette région ou ce compte. Exécutez-le uniquement dans la région ou le compte où se trouve la ressource.

SNS_SUBSCRIPTION_NOT_PRESENT

FAILED

Les filtres métriques CloudWatch Logs ne disposent pas d'un abonnement Amazon SNS valide.

SNS_TOPIC_CROSS_ACCOUNT

WARNING

Le résultat est en WARNING état.

La rubrique SNS associée à cette règle appartient à un autre compte. Le compte courant ne peut pas obtenir les informations d'abonnement.

Le compte propriétaire de la rubrique SNS doit accorder au compte actuel l'sns:ListSubscriptionsByTopicautorisation pour la rubrique SNS.

SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION

WARNING

Le résultat est invalide WARNING car le sujet SNS associé à cette règle se trouve dans une autre région ou dans un autre compte.

Cette règle ne prend pas en charge les vérifications entre régions ou entre comptes.

Il est recommandé de désactiver ce contrôle dans cette région ou ce compte. Exécutez-le uniquement dans la région ou le compte où se trouve la ressource.

SNS_TOPIC_INVALID

FAILED

La rubrique SNS associée à cette règle n'est pas valide.

THROTTLING_ERROR

NOT_AVAILABLE

L'opération d’API pertinente a dépassé le taux autorisé.

ProductFields détails relatifs aux résultats des contrôles

Dans les résultats générés par les contrôles de sécurité pour les contrôles, l'ProductFieldsattribut du format ASFF ( AWS Security Finding Format) peut inclure les champs suivants.

ArchivalReasons:0/Description

Décrit pourquoi Security Hub CSPM a archivé une découverte.

Par exemple, Security Hub CSPM archive les résultats existants lorsque vous désactivez un contrôle ou une norme, ou lorsque vous activez ou désactivez les résultats de contrôle consolidés.

ArchivalReasons:0/ReasonCode

Spécifie pourquoi Security Hub CSPM a archivé un résultat.

Par exemple, Security Hub CSPM archive les résultats existants lorsque vous désactivez un contrôle ou une norme, ou lorsque vous activez ou désactivez les résultats de contrôle consolidés.

PreviousComplianceStatus

État de conformité précédent (Compliance.Status) de la ressource pour le contrôle spécifié, à compter de la dernière mise à jour du résultat. Si le statut de conformité de la ressource n'a pas changé lors de la dernière mise à jour, cette valeur est identique à la valeur du Compliance.Status champ du résultat. Pour obtenir une liste des valeurs possibles, consultez Évaluation de l'état de conformité et de l'état du contrôle.

StandardsGuideArn ou StandardsArn

L'ARN de la norme associée au contrôle.

Pour la norme CIS AWS Foundations Benchmark, le champ estStandardsGuideArn. En ce qui concerne les normes PCI DSS et les meilleures pratiques de sécurité AWS fondamentales, le domaine est. StandardsArn

Ces champs sont supprimés au profit de Compliance.AssociatedStandards si vous activez les résultats de contrôle consolidés.

StandardsGuideSubscriptionArn ou StandardsSubscriptionArn

L'ARN de l'abonnement du compte à la norme.

Pour la norme CIS AWS Foundations Benchmark, le champ estStandardsGuideSubscriptionArn. En ce qui concerne les normes PCI DSS et les meilleures pratiques de sécurité AWS fondamentales, le domaine est. StandardsSubscriptionArn

Ces champs sont supprimés si vous activez les résultats de contrôle consolidés.

RuleId ou ControlId

Identifiant du contrôle.

Pour la norme CIS AWS Foundations Benchmark, le champ estRuleId. Pour les autres normes, le champ estControlId.

Ces champs sont supprimés au profit de Compliance.SecurityControlId si vous activez les résultats de contrôle consolidés.

RecommendationUrl

URL contenant les informations de correction pour le contrôle. Ce champ est supprimé au profit de Remediation.Recommendation.Url si vous activez les résultats de contrôle consolidés.

RelatedAWSResources:0/name

Nom de la ressource associée à la découverte.

RelatedAWSResource:0/type

Type de ressource associé au contrôle.

StandardsControlArn

L'ARN du contrôle. Ce champ est supprimé si vous activez les résultats de contrôle consolidés.

aws/securityhub/ProductName

Pour les résultats de contrôle, le nom du produit estSecurity Hub.

aws/securityhub/CompanyName

Pour les résultats de contrôle, le nom de la société estAWS.

aws/securityhub/annotation

Description du problème découvert par le contrôle.

aws/securityhub/FindingId

Identifiant de la recherche.

Ce champ ne fait pas référence à une norme si vous activez les résultats de contrôle consolidés.

Niveaux de gravité des résultats de contrôle

La sévérité attribuée à un contrôle Security Hub CSPM indique l'importance de ce contrôle. La sévérité d'un contrôle détermine le label de gravité attribué aux résultats du contrôle.

Critères de sévérité

La sévérité d'un contrôle est déterminée sur la base d'une évaluation des critères suivants :

  • Est-il difficile pour un auteur de menaces de tirer parti de la faiblesse de configuration associée au contrôle ? La difficulté est déterminée par le degré de sophistication ou de complexité requis pour utiliser la faiblesse afin de réaliser un scénario de menace.

  • Quelle est la probabilité que cette faiblesse compromette vos ressources Comptes AWS ou celles de vos ressources ? La compromission de vos ressources Comptes AWS ou de vos ressources signifie que la confidentialité, l'intégrité ou la disponibilité de vos données ou de votre AWS infrastructure sont compromises d'une manière ou d'une autre. La probabilité d'une compromission indique la probabilité que le scénario de menace entraîne une interruption ou une violation de vos ressources Services AWS ou de vos ressources.

À titre d'exemple, considérez les faiblesses de configuration suivantes :

  • Les clés d'accès des utilisateurs ne sont pas renouvelées tous les 90 jours.

  • La clé utilisateur root IAM existe.

Il est tout aussi difficile pour un adversaire de tirer parti de ces deux faiblesses. Dans les deux cas, l'adversaire peut avoir recours au vol d'informations d'identification ou à une autre méthode pour obtenir une clé utilisateur. Ils peuvent ensuite l'utiliser pour accéder à vos ressources de manière non autorisée.

Cependant, le risque de compromission est beaucoup plus élevé si l'auteur de la menace obtient la clé d'accès de l'utilisateur root, car cela lui donne un meilleur accès. Par conséquent, la faiblesse de la clé de l'utilisateur root est plus grave.

La gravité ne tient pas compte de la criticité de la ressource sous-jacente. La criticité est le niveau d'importance des ressources associées à la découverte. Par exemple, une ressource associée à une application critique est plus critique qu'une ressource associée à des tests hors production. Pour saisir des informations sur la criticité des ressources, utilisez le Criticality champ du format ASFF ( AWS Security Finding Format).

Le tableau suivant décrit la difficulté d'exploitation et le risque de compromission des étiquettes de sécurité.

Compromis très probable

Compromis probable

Compromis peu probable

Compromis très peu probable

Très facile à exploiter

Critique

Critique

Élevé

Moyen

Assez facile à exploiter

Critique

Élevé

Moyen

Moyen

Assez difficile à exploiter

Élevé

Moyen

Moyen

Faible

Très difficile à exploiter

Moyen

Moyen

Faible

Faible

Définitions de gravité

Les étiquettes de gravité sont définies comme suit.

Critique — Le problème doit être résolu immédiatement pour éviter qu'il ne s'aggrave.

Par exemple, un compartiment S3 ouvert est considéré comme une résultat dont la gravité est critique. Étant donné que de nombreux acteurs de la menace recherchent des compartiments S3 ouverts, les données contenues dans les compartiments S3 exposés sont susceptibles d'être découvertes et d'être consultées par d'autres personnes.

En général, les ressources accessibles au public sont considérées comme des problèmes de sécurité critiques. Vous devez traiter les résultats critiques avec la plus grande urgence. Vous devez également tenir compte de l'importance de la ressource.

Élevé — Le problème doit être traité en priorité à court terme.

Par exemple, si un groupe de sécurité VPC par défaut est ouvert au trafic entrant et sortant, son niveau de gravité est considéré comme élevé. Il est assez facile pour un auteur de menaces de compromettre un VPC en utilisant cette méthode. Il est également probable que l'auteur de la menace soit en mesure de perturber ou d'exfiltrer les ressources une fois qu'elles se trouvent dans le VPC.

Security Hub CSPM vous recommande de traiter une constatation de gravité élevée comme une priorité à court terme. Vous devez prendre des mesures correctives immédiates. Vous devez également tenir compte de l'importance de la ressource.

Moyen — Le problème devrait être traité en priorité à moyen terme.

Par exemple, l'absence de chiffrement des données en transit est considérée comme une constatation de gravité moyenne. Une man-in-the-middle attaque sophistiquée est nécessaire pour tirer parti de cette faiblesse. En d'autres termes, c'est un peu difficile. Il est probable que certaines données soient compromises si le scénario de menace est réussi.

Security Hub CSPM vous recommande de rechercher la ressource impliquée dès que possible. Vous devez également tenir compte de l'importance de la ressource.

Faible — Le problème ne nécessite aucune action en soi.

Par exemple, l'absence de collecte d'informations médico-légales est considérée comme peu grave. Ce contrôle peut aider à prévenir de futurs compromis, mais l'absence de criminalistique ne mène pas directement à un compromis.

Il n'est pas nécessaire de prendre des mesures immédiates en cas de constatation de faible gravité, mais ils peuvent fournir un contexte lorsque vous les mettez en corrélation avec d'autres problèmes.

Information — Aucune faiblesse de configuration n'a été détectée.

En d'autres termes, le statut est PASSEDWARNING, ouNOT AVAILABLE.

Aucune action spécifique n'est recommandée. Les résultats fournis à titre informatif aident les clients à démontrer qu'ils sont dans un état de conformité.