Temuan kontrol terkonsolidasi Menghasilkan, memperbarui, dan mengarsipkan temuan kontrol Otomatisasi dan penindasan temuan kontrol Detail kepatuhan untuk temuan kontrol ProductFields rincian untuk temuan kontrol Tingkat keparahan untuk temuan kontrol

Menghasilkan dan memperbarui temuan kontrol

AWS Security Hub Cloud Security Posture Management (CSPM) menghasilkan dan memperbarui temuan kontrol saat menjalankan pemeriksaan terhadap kontrol keamanan. Temuan kontrol menggunakan AWS Security Finding Format (ASFF).

Security Hub CSPM biasanya mengenakan biaya untuk setiap pemeriksaan keamanan untuk kontrol. Namun, jika beberapa kontrol menggunakan AWS Config aturan yang sama, CSPM Security Hub hanya mengenakan biaya sekali untuk setiap pemeriksaan terhadap aturan. Misalnya, AWS Config iam-password-policy aturan ini digunakan oleh beberapa kontrol dalam standar Tolok Ukur AWS Yayasan CIS dan standar Praktik Terbaik Keamanan AWS Dasar. Setiap kali Security Hub CSPM menjalankan pemeriksaan terhadap aturan itu, itu menghasilkan temuan kontrol terpisah untuk setiap kontrol terkait, tetapi hanya mengenakan biaya sekali untuk pemeriksaan.

Jika ukuran temuan kontrol melebihi maksimum 240 KB, Security Hub CSPM menghapus Resource.Details objek dari temuan. Untuk kontrol yang didukung oleh AWS Config sumber daya, Anda dapat meninjau detail sumber daya menggunakan AWS Config konsol.

Topik

Temuan kontrol terkonsolidasi
Menghasilkan, memperbarui, dan mengarsipkan temuan kontrol
Otomatisasi dan penindasan temuan kontrol
Detail kepatuhan untuk temuan kontrol
ProductFields rincian untuk temuan kontrol
Tingkat keparahan untuk temuan kontrol

Temuan kontrol terkonsolidasi

Jika temuan kontrol konsolidasi diaktifkan untuk akun Anda, Security Hub CSPM menghasilkan satu temuan atau pembaruan pencarian untuk setiap pemeriksaan keamanan kontrol, bahkan jika kontrol berlaku untuk beberapa standar yang diaktifkan. Untuk daftar kontrol dan standar yang mereka terapkan, lihatReferensi kontrol untuk Security Hub CSPM. Kami merekomendasikan untuk mengaktifkan temuan kontrol terkonsolidasi untuk mengurangi kebisingan temuan.

Jika Anda mengaktifkan CSPM Security Hub Akun AWS sebelum 23 Februari 2023, Anda dapat mengaktifkan temuan kontrol konsolidasi dengan mengikuti petunjuk nanti di bagian ini. Jika Anda mengaktifkan CSPM Security Hub pada atau setelah 23 Februari 2023, temuan kontrol konsolidasi diaktifkan secara otomatis untuk akun Anda.

Jika Anda menggunakan integrasi CSPM Security Hub dengan AWS Organizations atau akun anggota yang diundang melalui proses undangan manual, temuan kontrol konsolidasi diaktifkan untuk akun anggota hanya jika diaktifkan untuk akun administrator. Jika fitur dinonaktifkan untuk akun administrator, itu dinonaktifkan untuk akun anggota. Perilaku ini berlaku untuk akun anggota baru dan yang sudah ada. Selain itu, jika administrator menggunakan konfigurasi pusat untuk mengelola CSPM Security Hub untuk beberapa akun, mereka tidak dapat menggunakan kebijakan konfigurasi pusat untuk mengaktifkan atau menonaktifkan temuan kontrol konsolidasi untuk akun.

Jika Anda menonaktifkan temuan kontrol konsolidasi untuk akun Anda, Security Hub CSPM akan menghasilkan atau memperbarui temuan kontrol terpisah untuk setiap standar yang diaktifkan yang menyertakan kontrol. Misalnya, jika Anda mengaktifkan empat standar yang berbagi kontrol, Anda menerima empat temuan terpisah setelah pemeriksaan keamanan untuk kontrol. Jika Anda mengaktifkan temuan kontrol terkonsolidasi, Anda hanya menerima satu temuan.

Saat Anda mengaktifkan temuan kontrol terkonsolidasi, Security Hub CSPM menciptakan temuan agnostik standar baru dan mengarsipkan temuan berbasis standar asli. Beberapa bidang dan nilai pencarian kontrol akan berubah, yang mungkin memengaruhi alur kerja Anda yang ada. Untuk informasi tentang perubahan ini, lihatTemuan kontrol konsolidasi - perubahan ASFF. Mengaktifkan temuan kontrol konsolidasi juga dapat memengaruhi temuan yang diterima produk pihak ketiga terintegrasi dari Security Hub CSPM. Jika Anda menggunakan Respons Keamanan Otomatis pada solusi AWS v2.0.0, perhatikan bahwa solusi ini mendukung temuan kontrol terkonsolidasi.

Untuk mengaktifkan atau menonaktifkan temuan kontrol konsolidasi, Anda harus masuk ke akun administrator atau akun mandiri.

catatan

Setelah Anda mengaktifkan temuan kontrol konsolidasi, dibutuhkan waktu hingga 24 jam bagi Security Hub CSPM untuk menghasilkan temuan konsolidasi baru dan mengarsipkan temuan berbasis standar yang ada. Demikian pula, setelah menonaktifkan temuan kontrol konsolidasi, dibutuhkan waktu hingga 24 jam bagi Security Hub CSPM untuk menghasilkan temuan berbasis standar baru dan mengarsipkan temuan konsolidasi yang ada. Selama masa-masa ini, Anda mungkin melihat campuran temuan agnostik standar dan berbasis standar di akun Anda.

Menghasilkan, memperbarui, dan mengarsipkan temuan kontrol

Security Hub CSPM menjalankan pemeriksaan keamanan sesuai jadwal. Pertama kali Security Hub CSPM menjalankan pemeriksaan keamanan untuk kontrol, ini menghasilkan temuan baru untuk setiap AWS sumber daya yang diperiksa kontrol. Setiap kali Security Hub CSPM kemudian menjalankan pemeriksaan keamanan untuk kontrol, itu memperbarui temuan yang ada untuk melaporkan hasil pemeriksaan. Ini berarti Anda dapat menggunakan data yang disediakan oleh temuan individu untuk melacak perubahan kepatuhan untuk sumber daya tertentu terhadap kontrol tertentu.

Misalnya, jika status kepatuhan sumber daya berubah dari FAILED ke PASSED untuk kontrol tertentu, Security Hub CSPM tidak menghasilkan temuan baru. Sebagai gantinya, Security Hub CSPM memperbarui temuan yang ada untuk kontrol dan sumber daya. Dalam temuan tersebut, Security Hub CSPM mengubah nilai untuk bidang status kepatuhan (Compliance.Status) menjadi. PASSED Security Hub CSPM juga memperbarui nilai untuk bidang tambahan untuk mencerminkan hasil pemeriksaan—misalnya, label tingkat keparahan, status alur kerja, dan stempel waktu yang menunjukkan kapan Security Hub CSPM baru-baru ini menjalankan pemeriksaan dan memperbarui temuan.

Saat melaporkan perubahan status kepatuhan, CSPM Security Hub dapat memperbarui salah satu bidang berikut dalam temuan kontrol:

Compliance.Status— Status kepatuhan baru dari sumber daya untuk kontrol yang ditentukan.
FindingProviderFields.Severity.LabelRepresentasi kualitatif baru dari tingkat keparahan temuan, seperti, LOWMEDIUM, atauHIGH.
FindingProviderFields.Severity.Original— Representasi kuantitatif baru dari tingkat keparahan temuan, seperti 0 untuk sumber daya yang sesuai.
FirstObservedAt— Ketika status kepatuhan sumber daya baru-baru ini berubah.
LastObservedAt— Ketika Security Hub CSPM baru-baru ini menjalankan pemeriksaan keamanan untuk kontrol dan sumber daya yang ditentukan.
ProcessedAt— Ketika Security Hub CSPM baru-baru ini mulai memproses temuan tersebut.
ProductFields.PreviousComplianceStatus— Status kepatuhan sebelumnya (Compliance.Status) dari sumber daya untuk kontrol yang ditentukan.
UpdatedAt— Ketika Security Hub CSPM terbaru memperbarui temuan.
Workflow.Status— Status investigasi terhadap temuan, berdasarkan status kepatuhan baru sumber daya untuk kontrol yang ditentukan.

Apakah Security Hub CSPM memperbarui bidang tergantung terutama pada hasil pemeriksaan keamanan terbaru untuk kontrol dan sumber daya yang berlaku. Misalnya, jika status kepatuhan sumber daya berubah dari PASSED ke FAILED untuk kontrol tertentu, CSPM Security Hub mengubah status alur kerja temuan menjadi. NEW Untuk melacak pembaruan temuan individu, Anda dapat merujuk ke riwayat temuan. Untuk detail tentang bidang individual dalam temuan, lihat AWS Security Finding Format (ASFF).

Dalam kasus tertentu, Security Hub CSPM menghasilkan temuan baru untuk pemeriksaan selanjutnya dengan kontrol, alih-alih memperbarui temuan yang ada. Ini dapat terjadi jika ada masalah dengan AWS Config aturan yang mendukung kontrol. Jika ini terjadi, Security Hub CSPM mengarsipkan temuan yang ada dan menghasilkan temuan baru untuk setiap pemeriksaan. Dalam temuan baru, status kepatuhan adalah NOT_AVAILABLE dan status catatan adalahARCHIVED. Setelah Anda mengatasi masalah dengan AWS Config aturan, Security Hub CSPM menghasilkan temuan baru dan mulai memperbaruinya untuk melacak perubahan berikutnya pada status kepatuhan sumber daya individu.

Selain menghasilkan dan memperbarui temuan kontrol, Security Hub CSPM secara otomatis mengarsipkan temuan kontrol yang memenuhi kriteria tertentu. Security Hub CSPM mengarsipkan temuan jika kontrol dinonaktifkan, sumber daya yang ditentukan dihapus, atau sumber daya yang ditentukan tidak ada lagi. Sumber daya mungkin tidak ada lagi karena layanan terkait tidak lagi digunakan. Lebih khusus lagi, Security Hub CSPM secara otomatis mengarsipkan temuan kontrol jika temuan tersebut memenuhi salah satu kriteria berikut:

Temuan ini belum diperbarui selama 3-5 hari. Perhatikan bahwa arsip berdasarkan kerangka waktu ini adalah upaya terbaik dan tidak dijamin.
AWS Config Evaluasi terkait dikembalikan NOT_APPLICABLE untuk status kepatuhan sumber daya yang ditentukan.

Untuk menentukan apakah suatu temuan diarsipkan, Anda dapat merujuk ke bidang record state (RecordState) dari temuan tersebut. Jika temuan diarsipkan, nilai untuk bidang ini adalahARCHIVED.

Security Hub CSPM menyimpan temuan kontrol yang diarsipkan selama 30 hari. Setelah 30 hari, temuan berakhir dan Security Hub CSPM menghapusnya secara permanen. Untuk menentukan apakah temuan kontrol yang diarsipkan telah kedaluwarsa, Security Hub CSPM mendasarkan perhitungannya pada nilai untuk UpdatedAt bidang temuan.

Untuk menyimpan temuan kontrol yang diarsipkan selama lebih dari 30 hari, Anda dapat mengekspor temuan ke ember S3. Anda dapat melakukan ini dengan menggunakan tindakan kustom dengan EventBridge aturan Amazon. Untuk informasi selengkapnya, lihat Menggunakan EventBridge untuk respon otomatis dan remediasi.

catatan

Sebelum 3 Juli 2025, Security Hub CSPM menghasilkan dan memperbarui temuan kontrol secara berbeda ketika status kepatuhan sumber daya berubah untuk kontrol. Sebelumnya, Security Hub CSPM membuat temuan kontrol baru dan mengarsipkan temuan yang ada untuk sumber daya. Oleh karena itu, Anda mungkin memiliki beberapa temuan yang diarsipkan untuk kontrol dan sumber daya tertentu sampai temuan tersebut kedaluwarsa (setelah 30 hari).

Otomatisasi dan penindasan temuan kontrol

Anda dapat menggunakan aturan otomatisasi CSPM Security Hub untuk memperbarui atau menekan temuan kontrol tertentu. Jika Anda menekan temuan, Anda dapat terus mengaksesnya. Namun, penindasan menunjukkan keyakinan Anda bahwa tidak ada tindakan yang diperlukan untuk mengatasi temuan tersebut.

Dengan menekan temuan, Anda dapat mengurangi kebisingan temuan. Misalnya, Anda mungkin menekan temuan kontrol yang dihasilkan di akun pengujian. Atau, Anda mungkin menekan temuan yang terkait dengan sumber daya tertentu. Untuk mempelajari lebih lanjut tentang memperbarui atau menekan temuan secara otomatis, lihatMemahami aturan otomatisasi di Security Hub CSPM.

Aturan otomatisasi sesuai ketika Anda ingin memperbarui atau menekan temuan kontrol tertentu. Namun, jika kontrol tidak relevan dengan organisasi atau kasus penggunaan Anda, sebaiknya nonaktifkan kontrol. Jika Anda menonaktifkan kontrol, Security Hub CSPM tidak menjalankan pemeriksaan keamanan untuk itu dan Anda tidak dikenakan biaya untuk itu.

Detail kepatuhan untuk temuan kontrol

Dalam temuan yang dihasilkan oleh pemeriksaan keamanan untuk kontrol, objek Kepatuhan dan bidang dalam AWS Security Finding Format (ASFF) memberikan rincian kepatuhan untuk sumber daya individu yang diperiksa oleh kontrol. Ini termasuk informasi berikut:

AssociatedStandards— Standar yang diaktifkan di mana kontrol diaktifkan.
RelatedRequirements— Persyaratan terkait untuk kontrol di semua standar yang diaktifkan. Persyaratan ini berasal dari kerangka keamanan pihak ketiga untuk kontrol, seperti Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) atau standar NIST SP 800-171 Revisi 2.
SecurityControlId— Pengidentifikasi untuk kontrol di seluruh standar yang didukung Security Hub CSPM.
Status— Hasil pemeriksaan terbaru bahwa Security Hub CSPM berjalan untuk kontrol. Hasil pemeriksaan sebelumnya dipertahankan dalam sejarah temuan.
StatusReasons— Array yang mencantumkan alasan untuk nilai yang ditentukan oleh Status bidang. Untuk setiap alasan, ini termasuk kode alasan dan deskripsi.

Tabel berikut mencantumkan kode alasan dan deskripsi bahwa temuan mungkin termasuk dalam StatusReasons array. Langkah-langkah remediasi bervariasi berdasarkan kontrol mana yang menghasilkan temuan dengan kode alasan tertentu. Untuk meninjau panduan remediasi untuk kontrol, lihat. Referensi kontrol untuk Security Hub CSPM

Kode alasan	Status kepatuhan	Deskripsi
`CLOUDTRAIL_METRIC_FILTER_NOT_VALID`	`FAILED`	CloudTrail Jejak Multi-wilayah tidak memiliki filter metrik yang valid.
`CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT`	`FAILED`	Filter metrik tidak ada untuk CloudTrail jejak Multi-wilayah.
`CLOUDTRAIL_MULTI_REGION_NOT_PRESENT`	`FAILED`	Akun tidak memiliki CloudTrail jejak Multi-wilayah dengan konfigurasi yang diperlukan.
`CLOUDTRAIL_REGION_INVAILD`	`WARNING`	CloudTrail Jalur Multi-Region tidak berada di Wilayah saat ini.
`CLOUDWATCH_ALARM_ACTIONS_NOT_VALID`	`FAILED`	Tidak ada tindakan alarm yang valid.
`CLOUDWATCH_ALARMS_NOT_PRESENT`	`FAILED`	CloudWatch alarm tidak ada di akun.
`CONFIG_ACCESS_DENIED`	`NOT_AVAILABLE` AWS Config Status adalah `ConfigError`	AWS Config akses ditolak. Verifikasi bahwa AWS Config diaktifkan dan telah diberikan izin yang cukup.
`CONFIG_EVALUATIONS_EMPTY`	`PASSED`	AWS Config mengevaluasi sumber daya Anda berdasarkan aturan. Aturan tidak berlaku untuk AWS sumber daya dalam ruang lingkupnya, sumber daya yang ditentukan dihapus, atau hasil evaluasi dihapus.
`CONFIG_RECORDER_CUSTOM_ROLE`	`FAILED`(untuk Config.1)	AWS Config Perekam menggunakan peran IAM khusus alih-alih peran AWS Config terkait layanan, dan parameter `includeConfigServiceLinkedRoleCheck` khusus untuk Config.1 tidak disetel ke. `false`
`CONFIG_RECORDER_DISABLED`	`FAILED`(untuk Config.1)	AWS Config tidak diaktifkan dengan perekam konfigurasi dihidupkan.
`CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES`	`FAILED`(untuk Config.1)	AWS Config tidak merekam semua jenis sumber daya yang sesuai dengan kontrol CSPM Security Hub yang diaktifkan. Aktifkan perekaman untuk sumber daya berikut:`Resources that aren't being recorded`.
`CONFIG_RETURNS_NOT_APPLICABLE`	`NOT_AVAILABLE`	Status kepatuhan adalah `NOT_AVAILABLE` karena AWS Config mengembalikan status Tidak Berlaku. AWS Config tidak memberikan alasan untuk status tersebut. Berikut adalah beberapa kemungkinan alasan untuk status Tidak Berlaku: Sumber daya telah dihapus dari ruang lingkup AWS Config aturan. AWS Config Aturan itu dihapus. Sumber daya telah dihapus. Logika AWS Config aturan dapat menghasilkan status Tidak Berlaku.
`CONFIG_RULE_EVALUATION_ERROR`	`NOT_AVAILABLE` AWS Config Status adalah `ConfigError`	Kode alasan ini digunakan untuk beberapa jenis kesalahan evaluasi. Deskripsi memberikan informasi alasan spesifik. Jenis kesalahan dapat berupa salah satu dari yang berikut: Ketidakmampuan untuk melakukan evaluasi karena kurangnya izin. Deskripsi memberikan izin khusus yang hilang. Nilai yang hilang atau tidak valid untuk parameter. Deskripsi memberikan parameter dan persyaratan untuk nilai parameter. Kesalahan membaca dari ember S3. Deskripsi mengidentifikasi ember dan memberikan kesalahan spesifik. AWS Langganan yang hilang. Batas waktu umum pada evaluasi. Akun yang ditangguhkan.
`CONFIG_RULE_NOT_FOUND`	`NOT_AVAILABLE` AWS Config Status adalah `ConfigError`	AWS Config Aturannya sedang dalam proses diciptakan.
`INTERNAL_SERVICE_ERROR`	`NOT_AVAILABLE`	Terjadi kesalahan yang tidak diketahui.
`LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE`	`FAILED`	Security Hub CSPM tidak dapat melakukan pemeriksaan terhadap runtime Lambda kustom.
`S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION`	`WARNING`	Temuan ini dalam `WARNING` keadaan karena bucket S3 yang dikaitkan dengan aturan ini berada di Wilayah atau akun yang berbeda. Aturan ini tidak mendukung pemeriksaan lintas wilayah atau lintas akun. Disarankan agar Anda menonaktifkan kontrol ini di Wilayah atau akun ini. Jalankan saja di Wilayah atau akun tempat sumber daya berada.
`SNS_SUBSCRIPTION_NOT_PRESENT`	`FAILED`	Filter metrik CloudWatch Log tidak memiliki langganan Amazon SNS yang valid.
`SNS_TOPIC_CROSS_ACCOUNT`	`WARNING`	Temuan itu dalam `WARNING` keadaan. Topik SNS yang terkait dengan aturan ini dimiliki oleh akun yang berbeda. Akun saat ini tidak dapat memperoleh informasi berlangganan. Akun yang memiliki topik SNS harus memberikan `sns:ListSubscriptionsByTopic` izin kepada akun saat ini untuk topik SNS.
`SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION`	`WARNING`	Temuan ini dalam `WARNING` keadaan karena topik SNS yang terkait dengan aturan ini berada di Wilayah atau akun yang berbeda. Aturan ini tidak mendukung pemeriksaan lintas wilayah atau lintas akun. Disarankan agar Anda menonaktifkan kontrol ini di Wilayah atau akun ini. Jalankan saja di Wilayah atau akun tempat sumber daya berada.
`SNS_TOPIC_INVALID`	`FAILED`	Topik SNS yang terkait dengan aturan ini tidak valid.
`THROTTLING_ERROR`	`NOT_AVAILABLE`	Operasi API yang relevan melebihi tarif yang diizinkan.

ProductFields rincian untuk temuan kontrol

Dalam temuan yang dihasilkan oleh pemeriksaan keamanan untuk kontrol, ProductFieldsatribut dalam AWS Security Finding Format (ASFF) dapat menyertakan bidang berikut.

ArchivalReasons:0/Description

Menjelaskan mengapa Security Hub CSPM mengarsipkan temuan.

Misalnya, CSPM Security Hub mengarsipkan temuan yang ada saat Anda menonaktifkan kontrol atau standar, atau Anda mengaktifkan atau menonaktifkan temuan kontrol konsolidasi.

ArchivalReasons:0/ReasonCode

Menentukan mengapa Security Hub CSPM mengarsipkan temuan.

Misalnya, CSPM Security Hub mengarsipkan temuan yang ada saat Anda menonaktifkan kontrol atau standar, atau Anda mengaktifkan atau menonaktifkan temuan kontrol konsolidasi.

PreviousComplianceStatus

Status kepatuhan sebelumnya (Compliance.Status) dari sumber daya untuk kontrol yang ditentukan, pada pembaruan terbaru untuk temuan. Jika status kepatuhan sumber daya tidak berubah selama pembaruan terbaru, nilai ini sama dengan nilai untuk Compliance.Status bidang temuan. Untuk daftar peluang nilai, lihat Mengevaluasi status kepatuhan dan status kontrol.

StandardsGuideArn atau StandardsArn

ARN dari standar yang terkait dengan kontrol.

Untuk standar CIS AWS Foundations Benchmark, bidangnya adalah. StandardsGuideArn Untuk standar PCI DSS dan AWS Foundational Security Best Practices, bidangnya adalah. StandardsArn

Bidang ini dihapus demi Compliance.AssociatedStandards jika Anda mengaktifkan temuan kontrol terkonsolidasi.

StandardsGuideSubscriptionArn atau StandardsSubscriptionArn

ARN berlangganan akun ke standar.

Untuk standar CIS AWS Foundations Benchmark, bidangnya adalah. StandardsGuideSubscriptionArn Untuk standar PCI DSS dan AWS Foundational Security Best Practices, bidangnya adalah. StandardsSubscriptionArn

Bidang ini akan dihapus jika Anda mengaktifkan temuan kontrol terkonsolidasi.

RuleId atau ControlId

Pengidentifikasi untuk kontrol.

Untuk standar CIS AWS Foundations Benchmark, bidangnya adalah. RuleId Untuk standar lain, bidangnyaControlId.

Bidang ini dihapus demi Compliance.SecurityControlId jika Anda mengaktifkan temuan kontrol terkonsolidasi.

RecommendationUrl

URL untuk informasi remediasi untuk kontrol. Bidang ini dihapus demi Remediation.Recommendation.Url jika Anda mengaktifkan temuan kontrol terkonsolidasi.

RelatedAWSResources:0/name

Nama sumber daya yang terkait dengan temuan.

RelatedAWSResource:0/type

Jenis sumber daya yang terkait dengan kontrol.

StandardsControlArn

ARN kontrol. Bidang ini dihapus jika Anda mengaktifkan temuan kontrol konsolidasi.

aws/securityhub/ProductName

Untuk temuan kontrol, nama produknya adalahSecurity Hub.

aws/securityhub/CompanyName

Untuk temuan kontrol, nama perusahaan adalahAWS.

aws/securityhub/annotation

Deskripsi masalah yang ditemukan oleh kontrol.

aws/securityhub/FindingId

Pengidentifikasi untuk temuan.

Bidang ini tidak mereferensikan standar jika Anda mengaktifkan temuan kontrol terkonsolidasi.

Tingkat keparahan untuk temuan kontrol

Tingkat keparahan yang ditetapkan ke kontrol CSPM Security Hub menunjukkan pentingnya kontrol. Tingkat keparahan kontrol menentukan label keparahan yang ditetapkan untuk temuan kontrol.

Kriteria keparahan

Tingkat keparahan kontrol ditentukan berdasarkan penilaian kriteria berikut:

Seberapa sulit bagi aktor ancaman untuk memanfaatkan kelemahan konfigurasi yang terkait dengan kontrol? Kesulitan ditentukan oleh jumlah kecanggihan atau kompleksitas yang diperlukan untuk menggunakan kelemahan untuk melakukan skenario ancaman.
Seberapa besar kemungkinan kelemahan itu akan menyebabkan kompromi terhadap sumber daya Anda Akun AWS atau sumber daya? Kompromi terhadap sumber daya Anda Akun AWS berarti kerahasiaan, integritas, atau ketersediaan data atau AWS infrastruktur Anda rusak dalam beberapa cara. Kemungkinan kompromi menunjukkan seberapa besar kemungkinan skenario ancaman akan mengakibatkan gangguan atau pelanggaran sumber daya Anda Layanan AWS atau sumber daya.

Sebagai contoh, pertimbangkan kelemahan konfigurasi berikut:

Kunci akses pengguna tidak diputar setiap 90 hari.
Kunci pengguna root IAM ada.

Kedua kelemahan sama-sama sulit untuk dimanfaatkan oleh musuh. Dalam kedua kasus, musuh dapat menggunakan pencurian kredenal atau metode lain untuk memperoleh kunci pengguna. Mereka kemudian dapat menggunakannya untuk mengakses sumber daya Anda dengan cara yang tidak sah.

Namun, kemungkinan kompromi jauh lebih tinggi jika aktor ancaman memperoleh kunci akses pengguna root karena ini memberi mereka akses yang lebih besar. Akibatnya, kelemahan kunci pengguna root memiliki tingkat keparahan yang lebih tinggi.

Tingkat keparahannya tidak memperhitungkan kekritisan sumber daya yang mendasarinya. Kritikalitas adalah tingkat pentingnya sumber daya yang terkait dengan temuan tersebut. Misalnya, sumber daya yang terkait dengan aplikasi kritis misi lebih penting daripada sumber daya yang terkait dengan pengujian non-produksi. Untuk menangkap informasi kekritisan sumber daya, gunakan Criticality bidang AWS Security Finding Format (ASFF).

Tabel berikut memetakan kesulitan untuk mengeksploitasi dan kemungkinan kompromi dengan label keamanan.

	Kompromi sangat mungkin	Kemungkinan kompromi	Kompromi tidak mungkin	Kompromi sangat tidak mungkin
Sangat mudah untuk dieksploitasi	Kritis	Kritis	Tinggi	Sedang
Agak mudah untuk dieksploitasi	Kritis	Tinggi	Sedang	Sedang
Agak sulit untuk dieksploitasi	Tinggi	Sedang	Sedang	Rendah
Sangat sulit untuk dieksploitasi	Sedang	Sedang	Rendah	Rendah

Definisi keparahan

Label keparahan didefinisikan sebagai berikut.

Kritis — Masalah ini harus segera diperbaiki untuk menghindari eskalasi.

Misalnya, bucket S3 terbuka dianggap sebagai temuan tingkat keparahan kritis. Karena begitu banyak pelaku ancaman memindai bucket S3 terbuka, data dalam bucket S3 yang terbuka kemungkinan akan ditemukan dan diakses oleh orang lain.

Secara umum, sumber daya yang dapat diakses publik dianggap sebagai masalah keamanan kritis. Anda harus memperlakukan temuan kritis dengan sangat mendesak. Anda juga harus mempertimbangkan kekritisan sumber daya.

Tinggi — Masalah ini harus ditangani sebagai prioritas jangka pendek.

Misalnya, jika grup keamanan VPC default terbuka untuk lalu lintas masuk dan keluar, itu dianggap tingkat keparahan tinggi. Agak mudah bagi aktor ancaman untuk mengkompromikan VPC menggunakan metode ini. Kemungkinan juga aktor ancaman akan dapat mengganggu atau mengeksfiltrasi sumber daya begitu mereka berada di VPC.

Security Hub CSPM merekomendasikan agar Anda memperlakukan temuan tingkat keparahan tinggi sebagai prioritas jangka pendek. Anda harus segera mengambil langkah-langkah remediasi. Anda juga harus mempertimbangkan kekritisan sumber daya.

Medium — Masalah ini harus ditangani sebagai prioritas jangka menengah.

Misalnya, kurangnya enkripsi untuk data dalam perjalanan dianggap sebagai temuan tingkat keparahan sedang. Dibutuhkan man-in-the-middle serangan canggih untuk memanfaatkan kelemahan ini. Dengan kata lain, ini agak sulit. Kemungkinan beberapa data akan dikompromikan jika skenario ancaman berhasil.

Security Hub CSPM merekomendasikan agar Anda menyelidiki sumber daya yang terlibat pada kenyamanan Anda paling awal. Anda juga harus mempertimbangkan kekritisan sumber daya.

Rendah — Masalah ini tidak memerlukan tindakan sendiri.

Misalnya, kegagalan untuk mengumpulkan informasi forensik dianggap tingkat keparahan rendah. Kontrol ini dapat membantu mencegah kompromi di masa depan, tetapi tidak adanya forensik tidak mengarah langsung pada kompromi.

Anda tidak perlu mengambil tindakan segera pada temuan tingkat keparahan rendah, tetapi mereka dapat memberikan konteks ketika Anda menghubungkannya dengan masalah lain.

Informasi - Tidak ada kelemahan konfigurasi yang ditemukan.

Dengan kata lain, statusnya adalahPASSED,WARNING, atauNOT AVAILABLE.

Tidak ada tindakan yang disarankan. Temuan informasi membantu pelanggan untuk menunjukkan bahwa mereka berada dalam keadaan patuh.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Jadwal untuk menjalankan pemeriksaan keamanan

Status kepatuhan dan status kontrol

Menghasilkan dan memperbarui temuan kontrol

Topik

Temuan kontrol terkonsolidasi

catatan

Untuk mengaktifkan atau menonaktifkan temuan kontrol terkonsolidasi

Menghasilkan, memperbarui, dan mengarsipkan temuan kontrol

catatan

Otomatisasi dan penindasan temuan kontrol

Detail kepatuhan untuk temuan kontrol

ProductFields rincian untuk temuan kontrol

Tingkat keparahan untuk temuan kontrol

Kriteria keparahan

Definisi keparahan