Generazione e aggiornamento dei risultati di controllo - AWS Security Hub
Risultati di controllo consolidatiGenerazione, aggiornamento e archiviazione dei risultati di controlloAutomazione e soppressione dei risultati del controlloDettagli sulla conformità per i risultati del controlloProductFields dettagli relativi ai risultati del controlloLivelli di gravità per i risultati del controllo

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Generazione e aggiornamento dei risultati di controllo

AWS Security Hub CSPM genera e aggiorna i risultati dei controlli quando esegue controlli di sicurezza. I risultati del controllo utilizzano il AWS Security Finding Format (ASFF).

Security Hub CSPM normalmente addebita un costo per ogni controllo di sicurezza. Tuttavia, se più controlli utilizzano la stessa AWS Config regola, Security Hub CSPM addebita solo una volta per ogni controllo rispetto alla regola. Ad esempio, la AWS Config iam-password-policy regola viene utilizzata da più controlli nello standard CIS AWS Foundations Benchmark e nello standard AWS Foundational Security Best Practices. Ogni volta che Security Hub CSPM esegue un controllo rispetto a tale regola, genera un risultato di controllo separato per ogni controllo correlato, ma addebita una sola volta per il controllo.

Se la dimensione di un risultato di controllo supera il massimo di 240 KB, Security Hub CSPM rimuove l'Resource.Detailsoggetto dal risultato. Per i controlli supportati da AWS Config risorse, è possibile rivedere i dettagli delle risorse utilizzando la console. AWS Config

Risultati di controllo consolidati

Se i risultati del controllo consolidato sono abilitati per il tuo account, Security Hub CSPM genera un singolo risultato o aggiornamento dei risultati per ogni controllo di sicurezza di un controllo, anche se un controllo si applica a più standard abilitati. Per un elenco dei controlli e degli standard a cui si applicano, consulta la. Riferimento di controllo per Security Hub CSPM Si consiglia di abilitare risultati di controllo consolidati per ridurre il rumore di rilevamento.

Se hai abilitato Security Hub CSPM Account AWS prima del 23 febbraio 2023, puoi abilitare i risultati del controllo consolidato seguendo le istruzioni riportate più avanti in questa sezione. Se abiliti Security Hub CSPM a partire dal 23 febbraio 2023, i risultati del controllo consolidato vengono abilitati automaticamente per il tuo account.

Se utilizzi l'integrazione CSPM di Security Hub con AWS Organizations o account membro invitati tramite una procedura di invito manuale, i risultati del controllo consolidato sono abilitati per gli account membro solo se sono abilitati per l'account amministratore. Se la funzionalità è disabilitata per l'account amministratore, è disabilitata per gli account dei membri. Questo comportamento si applica agli account membro nuovi ed esistenti. Inoltre, se l'amministratore utilizza la configurazione centrale per gestire Security Hub CSPM per più account, non può utilizzare policy di configurazione centrale per abilitare o disabilitare i risultati del controllo consolidato per gli account.

Se disabiliti i risultati del controllo consolidato per il tuo account, Security Hub CSPM genera o aggiorna un risultato di controllo separato per ogni standard abilitato che include un controllo. Ad esempio, se abiliti quattro standard che condividono un controllo, ricevi quattro risultati separati dopo un controllo di sicurezza per il controllo. Se abiliti i risultati del controllo consolidato, riceverai solo un risultato.

Quando abiliti i risultati del controllo consolidato, Security Hub CSPM crea nuovi risultati indipendenti dallo standard e archivia i risultati originali basati sullo standard. Alcuni campi e valori di controllo relativi alla ricerca cambieranno, il che potrebbe influire sui flussi di lavoro esistenti. Per informazioni su queste modifiche, consultaRisultati di controllo consolidati: modifiche ASFF. L'abilitazione dei risultati del controllo consolidato potrebbe influire anche sui risultati che i prodotti integrati di terze parti ricevono da Security Hub CSPM. Se utilizzi la soluzione Automated Security Response on AWS v2.0.0, tieni presente che supporta i risultati del controllo consolidato.

Per abilitare o disabilitare i risultati del controllo consolidato, è necessario accedere a un account amministratore o a un account autonomo.

Nota

Dopo aver abilitato i risultati del controllo consolidato, possono essere necessarie fino a 24 ore prima che Security Hub CSPM generi nuovi risultati consolidati e archivi i risultati esistenti basati sugli standard. Allo stesso modo, dopo aver disabilitato i risultati del controllo consolidato, possono essere necessarie fino a 24 ore prima che Security Hub CSPM generi nuovi risultati basati su standard e archivi i risultati consolidati esistenti. Durante questi periodi, potresti visualizzare nel tuo account un mix di risultati indipendenti dagli standard e basati sugli standard.

Security Hub CSPM console
Per abilitare o disabilitare i risultati del controllo consolidato

  1. Aprire la console CSPM AWS di Security Hub all'indirizzo. https://console.aws.amazon.com/securityhub/

  2. Nel riquadro di navigazione, in Settings (Impostazioni), scegliere General (Generali).

  3. Nella sezione Controlli, scegli Modifica.

  4. Utilizzate l'interruttore Consolidated control results (Risultati di controllo consolidati) per abilitare o disabilitare i risultati del controllo consolidato.

  5. Scegli Save (Salva).

Security Hub CSPM API

Per abilitare o disabilitare i risultati del controllo consolidato a livello di codice, utilizzate il UpdateSecurityHubConfigurationfunzionamento dell'API CSPM Security Hub. Oppure, se utilizzi il, esegui il AWS CLI comando. update-security-hub-configuration

Per il control-finding-generator parametro, specificate SECURITY_CONTROL se abilitare i risultati del controllo consolidato. Per disabilitare i risultati del controllo consolidato, specificare. STANDARD_CONTROL

Ad esempio, il AWS CLI comando seguente abilita i risultati di controllo consolidati.

$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL

Il AWS CLI comando seguente disabilita i risultati del controllo consolidato.

$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL

Generazione, aggiornamento e archiviazione dei risultati di controllo

Security Hub CSPM esegue i controlli di sicurezza in base a una pianificazione. La prima volta che Security Hub CSPM esegue un controllo di sicurezza, genera un nuovo risultato per ogni AWS risorsa controllata dal controllo. Ogni volta che Security Hub CSPM esegue successivamente un controllo di sicurezza per il controllo, aggiorna i risultati esistenti per riportare i risultati del controllo. Ciò significa che è possibile utilizzare i dati forniti dai singoli risultati per tenere traccia delle modifiche di conformità per particolari risorse rispetto a controlli particolari.

Ad esempio, se lo stato di conformità di una risorsa cambia da FAILED a PASSED per un particolare controllo, Security Hub CSPM non genera nuovi risultati. Invece, Security Hub CSPM aggiorna i risultati esistenti per il controllo e la risorsa. Nel risultato, Security Hub CSPM modifica il valore del campo compliance status (Compliance.Status) in. PASSED Security Hub CSPM aggiorna anche i valori per i campi aggiuntivi in modo da riflettere i risultati del controllo, ad esempio l'etichetta di gravità, lo stato del flusso di lavoro e i timestamp che indicano quando Security Hub CSPM ha eseguito il controllo più di recente e aggiornato il risultato.

Quando riporta le modifiche allo stato di conformità, Security Hub CSPM potrebbe aggiornare uno dei seguenti campi in un risultato di controllo:

  • Compliance.Status— Il nuovo stato di conformità della risorsa per il controllo specificato.

  • FindingProviderFields.Severity.Label— La nuova rappresentazione qualitativa della gravità del risultato, ad esempio LOWMEDIUM, oHIGH.

  • FindingProviderFields.Severity.Original— La nuova rappresentazione quantitativa della gravità del risultato, ad esempio 0 per una risorsa conforme.

  • FirstObservedAt— Data dell'ultima modifica dello stato di conformità della risorsa.

  • LastObservedAt— L'ultima volta che Security Hub CSPM ha eseguito il controllo di sicurezza per il controllo e la risorsa specificati.

  • ProcessedAt— Quando Security Hub CSPM ha recentemente iniziato a elaborare la scoperta.

  • ProductFields.PreviousComplianceStatus— Lo stato di conformità precedente (Compliance.Status) della risorsa per il controllo specificato.

  • UpdatedAt— Quando Security Hub CSPM ha aggiornato l'ultima volta la scoperta.

  • Workflow.Status— Lo stato dell'indagine sul risultato, in base al nuovo stato di conformità della risorsa per il controllo specificato.

L'aggiornamento di un campo da parte di Security Hub CSPM dipende principalmente dai risultati dell'ultimo controllo di sicurezza per il controllo e la risorsa applicabili. Ad esempio, se lo stato di conformità di una risorsa cambia da PASSED a FAILED per un particolare controllo, Security Hub CSPM modifica lo stato del flusso di lavoro del risultato in. NEW Per tenere traccia degli aggiornamenti dei singoli risultati, puoi fare riferimento alla cronologia di un risultato. Per dettagli sui singoli campi dei risultati, consulta AWS Security Finding Format (ASFF).

In alcuni casi, Security Hub CSPM genera nuovi risultati per i controlli successivi tramite un controllo, invece di aggiornare i risultati esistenti. Questo può verificarsi se c'è un problema con la AWS Config regola che supporta un controllo. In tal caso, Security Hub CSPM archivia i risultati esistenti e genera un nuovo risultato per ogni controllo. Nelle nuove scoperte, lo stato di conformità è NOT_AVAILABLE e lo stato del record è. ARCHIVED Dopo aver risolto il problema con la AWS Config regola, Security Hub CSPM genera nuovi risultati e inizia ad aggiornarli per tenere traccia delle successive modifiche allo stato di conformità delle singole risorse.

Oltre a generare e aggiornare i risultati di controllo, Security Hub CSPM archivia automaticamente i risultati di controllo che soddisfano determinati criteri. Security Hub CSPM archivia un risultato se il controllo è disabilitato, la risorsa specificata viene eliminata o la risorsa specificata non esiste più. Una risorsa potrebbe non esistere più perché il servizio associato non viene più utilizzato. Più specificamente, Security Hub CSPM archivia automaticamente un risultato di controllo se il risultato soddisfa uno dei seguenti criteri:

  • Il risultato non viene aggiornato da 3-5 giorni. Tieni presente che l'archiviazione basata su questo periodo di tempo viene effettuata con la massima diligenza possibile e non è garantita.

  • La AWS Config valutazione associata restituita NOT_APPLICABLE per lo stato di conformità della risorsa specificata.

Per determinare se un risultato è archiviato, è possibile fare riferimento al campo record state (RecordState) del risultato. Se un risultato è archiviato, il valore di questo campo è. ARCHIVED

Security Hub CSPM archivia i risultati di controllo archiviati per 30 giorni. Dopo 30 giorni, i risultati scadono e Security Hub CSPM li elimina definitivamente. Per determinare se un risultato di controllo archiviato è scaduto, Security Hub CSPM basa il calcolo sul valore del UpdatedAt campo del risultato.

Per archiviare i risultati di controllo archiviati per più di 30 giorni, puoi esportare i risultati in un bucket S3. Puoi farlo utilizzando un'azione personalizzata con una EventBridge regola Amazon. Per ulteriori informazioni, consulta Utilizzo EventBridge per la risposta e la correzione automatizzate.

Nota

Prima del 3 luglio 2025, Security Hub CSPM generava e aggiornava i risultati del controllo in modo diverso quando lo stato di conformità di una risorsa cambiava rispetto a un controllo. In precedenza, Security Hub CSPM creava un nuovo risultato di controllo e archiviava il risultato esistente per una risorsa. Pertanto, potreste avere più risultati archiviati per un particolare controllo e risorsa fino alla scadenza di tali risultati (dopo 30 giorni).

Automazione e soppressione dei risultati del controllo

È possibile utilizzare le regole di automazione CSPM di Security Hub per aggiornare o eliminare risultati di controllo specifici. Se si elimina un risultato, è possibile continuare ad accedervi. Tuttavia, la soppressione indica che ritenete che non sia necessaria alcuna azione per risolvere il problema.

Sopprimendo i risultati, è possibile ridurre il rumore di ricerca. Ad esempio, è possibile sopprimere i risultati dei controlli generati negli account di test. In alternativa, è possibile sopprimere i risultati relativi a risorse specifiche. Per ulteriori informazioni sull'aggiornamento o la soppressione automatica dei risultati, consulta. Comprensione delle regole di automazione in Security Hub CSPM

Le regole di automazione sono appropriate quando si desidera aggiornare o eliminare risultati di controllo specifici. Tuttavia, se un controllo non è pertinente alla tua organizzazione o al tuo caso d'uso, ti consigliamo di disabilitarlo. Se disabiliti un controllo, Security Hub CSPM non esegue controlli di sicurezza per esso e non ti viene addebitato alcun costo.

Dettagli sulla conformità per i risultati del controllo

Nei risultati generati dai controlli di sicurezza, l'oggetto Compliance e i campi del AWS Security Finding Format (ASFF) forniscono dettagli sulla conformità per le singole risorse controllate da un controllo. Ciò include le seguenti informazioni:

  • AssociatedStandards— Gli standard abilitati in cui è abilitato il controllo.

  • RelatedRequirements— I relativi requisiti per il controllo in tutti gli standard abilitati. Questi requisiti derivano da framework di sicurezza di terze parti per il controllo, come il Payment Card Industry Data Security Standard (PCI DSS) o lo standard NIST SP 800-171 Revision 2.

  • SecurityControlId— L'identificatore per il controllo attraverso gli standard supportati da Security Hub CSPM.

  • Status— Il risultato del controllo più recente eseguito da Security Hub CSPM per il controllo. I risultati dei controlli precedenti vengono conservati nella cronologia del risultato.

  • StatusReasons— Un array che elenca i motivi del valore specificato dal Status campo. Per ogni motivo, sono inclusi un codice motivo e una descrizione.

La tabella seguente elenca i codici dei motivi e le descrizioni che un risultato potrebbe includere nell'StatusReasonsarray. Le fasi di correzione variano in base al controllo che ha generato un risultato con un codice motivo specificato. Per rivedere le linee guida per la riparazione di un controllo, fare riferimento a. Riferimento di controllo per Security Hub CSPM

Codice di motivo Compliance status (Stato di conformità) Descrizione

CLOUDTRAIL_METRIC_FILTER_NOT_VALID

FAILED

Il CloudTrail percorso multiregionale non dispone di un filtro metrico valido.

CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT

FAILED

I filtri metrici non sono presenti per il percorso multiregionale. CloudTrail

CLOUDTRAIL_MULTI_REGION_NOT_PRESENT

FAILED

L'account non dispone di un CloudTrail percorso multiregionale con la configurazione richiesta.

CLOUDTRAIL_REGION_INVAILD

WARNING

I CloudTrail percorsi multiregione non si trovano nella regione attuale.

CLOUDWATCH_ALARM_ACTIONS_NOT_VALID

FAILED

Non sono presenti operazioni di allarme valide.

CLOUDWATCH_ALARMS_NOT_PRESENT

FAILED

CloudWatch gli allarmi non esistono nell'account.

CONFIG_ACCESS_DENIED

NOT_AVAILABLE

AWS Config lo stato è ConfigError

AWS Config accesso negato.

Verifica che AWS Config sia abilitato e che siano state concesse autorizzazioni sufficienti.

CONFIG_EVALUATIONS_EMPTY

PASSED

AWS Config ha valutato le tue risorse in base alla regola.

La regola non si applicava alle AWS risorse incluse nel suo ambito, le risorse specificate sono state eliminate o i risultati della valutazione sono stati eliminati.

CONFIG_RECORDER_CUSTOM_ROLE

FAILED(per Config.1)

Il AWS Config registratore utilizza un ruolo IAM personalizzato anziché il ruolo AWS Config collegato al servizio e il parametro includeConfigServiceLinkedRoleCheck personalizzato per Config.1 non è impostato su. false

CONFIG_RECORDER_DISABLED

FAILED(per Config.1)

AWS Config non è abilitato con il registratore di configurazione acceso.

CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES

FAILED(per Config.1)

AWS Config non registra tutti i tipi di risorse che corrispondono ai controlli CSPM di Security Hub abilitati. Attiva la registrazione per le seguenti risorse:. Resources that aren't being recorded

CONFIG_RETURNS_NOT_APPLICABLE

NOT_AVAILABLE

Lo stato di conformità è NOT_AVAILABLE dovuto al fatto che è stato AWS Config restituito lo stato Non applicabile.

AWS Config non fornisce il motivo dello stato. Ecco alcuni possibili motivi dello stato Non applicabile:

  • La risorsa è stata rimossa dall'ambito della AWS Config regola.

  • La AWS Config regola è stata eliminata.

  • La risorsa è stata eliminata.

  • La logica della AWS Config regola può generare lo stato Non applicabile.

CONFIG_RULE_EVALUATION_ERROR

NOT_AVAILABLE

AWS Config lo stato è ConfigError

Questo codice motivo viene utilizzato per diversi tipi di errori di valutazione.

La descrizione fornisce le informazioni sul motivo specifico.

Il tipo di errore può essere uno dei seguenti:

  • Impossibilità di eseguire la valutazione a causa della mancanza di autorizzazioni. La descrizione fornisce l'autorizzazione specifica mancante.

  • Valore mancante o non valido per un parametro. La descrizione fornisce il parametro e i requisiti per il valore del parametro.

  • Errore durante la lettura di un bucket S3. La descrizione identifica il bucket e fornisce l'errore specifico.

  • Un AWS abbonamento mancante.

  • Timeout generale sulla valutazione.

  • Un account sospeso.

CONFIG_RULE_NOT_FOUND

NOT_AVAILABLE

AWS Config lo stato è ConfigError

La AWS Config regola è in fase di creazione.

INTERNAL_SERVICE_ERROR

NOT_AVAILABLE

Si è verificato un errore sconosciuto.

LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE

FAILED

Security Hub CSPM non è in grado di eseguire un controllo rispetto a un runtime Lambda personalizzato.

S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION

WARNING

Il risultato è in uno WARNING stato perché il bucket S3 associato a questa regola si trova in una regione o in un account diverso.

Questa regola non supporta controlli tra regioni o account.

È consigliabile disabilitare questo controllo in questa regione o account. Esegui solo nella regione o nell'account in cui si trova la risorsa.

SNS_SUBSCRIPTION_NOT_PRESENT

FAILED

I filtri metrici CloudWatch Logs non dispongono di un abbonamento Amazon SNS valido.

SNS_TOPIC_CROSS_ACCOUNT

WARNING

Il risultato è in uno stato. WARNING

L'argomento SNS associato a questa regola è di proprietà di un account diverso. L'account corrente non è in grado di ottenere le informazioni sull'abbonamento.

L'account proprietario dell'argomento SNS deve concedere all'account corrente l'sns:ListSubscriptionsByTopicautorizzazione per l'argomento SNS.

SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION

WARNING

Il risultato è in uno WARNING stato in cui l'argomento SNS associato a questa regola si trova in una regione o in un account diverso.

Questa regola non supporta controlli tra regioni o account.

È consigliabile disabilitare questo controllo in questa regione o account. Esegui solo nella regione o nell'account in cui si trova la risorsa.

SNS_TOPIC_INVALID

FAILED

L'argomento SNS associato a questa regola non è valido.

THROTTLING_ERROR

NOT_AVAILABLE

L'operazione API pertinente ha superato il limite consentito.

ProductFields dettagli relativi ai risultati del controllo

Nei risultati generati dai controlli di sicurezza per i controlli, l'ProductFieldsattributo del AWS Security Finding Format (ASFF) può includere i seguenti campi.

ArchivalReasons:0/Description

Descrive perché Security Hub CSPM ha archiviato un risultato.

Ad esempio, Security Hub CSPM archivia i risultati esistenti quando si disabilita un controllo o uno standard oppure si abilitano o disabilitano i risultati del controllo consolidato.

ArchivalReasons:0/ReasonCode

Specifica il motivo per cui Security Hub CSPM ha archiviato un risultato.

Ad esempio, Security Hub CSPM archivia i risultati esistenti quando si disabilita un controllo o uno standard oppure si abilitano o disabilitano i risultati del controllo consolidato.

PreviousComplianceStatus

Lo stato di conformità precedente (Compliance.Status) della risorsa per il controllo specificato, a partire dall'aggiornamento più recente del risultato. Se lo stato di conformità della risorsa non è cambiato durante l'aggiornamento più recente, questo valore è uguale al valore del Compliance.Status campo del risultato. Per un elenco di possibili valori, consulta Valutazione dello stato di conformità e dello stato di controllo.

StandardsGuideArn o StandardsArn

L'ARN dello standard associato al controllo.

Per lo standard CIS AWS Foundations Benchmark, il campo è. StandardsGuideArn Per gli standard PCI DSS e AWS Foundational Security Best Practices, il campo è. StandardsArn

Questi campi vengono rimossi a favore di Compliance.AssociatedStandards se si abilitano i risultati di controllo consolidati.

StandardsGuideSubscriptionArn o StandardsSubscriptionArn

L'ARN dell'abbonamento dell'account allo standard.

Per lo standard CIS AWS Foundations Benchmark, il campo è. StandardsGuideSubscriptionArn Per gli standard PCI DSS e AWS Foundational Security Best Practices, il campo è. StandardsSubscriptionArn

Questi campi vengono rimossi se si abilitano i risultati del controllo consolidato.

RuleId o ControlId

L'identificatore del controllo.

Per lo standard CIS AWS Foundations Benchmark, il campo è. RuleId Per altri standard, il campo è. ControlId

Questi campi vengono rimossi a favore di Compliance.SecurityControlId se si abilitano i risultati di controllo consolidati.

RecommendationUrl

L'URL per le informazioni sulla correzione del controllo. Questo campo viene rimosso a favore di Remediation.Recommendation.Url se si abilitano i risultati del controllo consolidato.

RelatedAWSResources:0/name

Il nome della risorsa associata al risultato.

RelatedAWSResource:0/type

Il tipo di risorsa associata al controllo.

StandardsControlArn

L'ARN del controllo. Questo campo viene rimosso se si abilitano i risultati del controllo consolidato.

aws/securityhub/ProductName

Per i risultati del controllo, il nome del prodotto èSecurity Hub.

aws/securityhub/CompanyName

Per i risultati del controllo, il nome dell'azienda èAWS.

aws/securityhub/annotation

Una descrizione del problema rilevato dal controllo.

aws/securityhub/FindingId

L'identificatore del risultato.

Questo campo non fa riferimento a uno standard se si abilitano i risultati di controllo consolidati.

Livelli di gravità per i risultati del controllo

La gravità assegnata a un controllo CSPM di Security Hub indica l'importanza del controllo. La gravità di un controllo determina l'etichetta di gravità assegnata ai risultati del controllo.

Criteri di gravità

La gravità di un controllo è determinata sulla base di una valutazione dei seguenti criteri:

  • Quanto è difficile per un autore di minacce sfruttare la debolezza della configurazione associata al controllo? La difficoltà è determinata dal livello di sofisticazione o complessità necessario per utilizzare la vulnerabilità per realizzare uno scenario di minaccia.

  • Quanto è probabile che la debolezza porti a una compromissione delle vostre Account AWS risorse? Una compromissione delle vostre Account AWS risorse significa che la riservatezza, l'integrità o la disponibilità dei dati o dell' AWS infrastruttura vengono danneggiate in qualche modo. La probabilità di compromissione indica la probabilità che lo scenario di minaccia comporti un'interruzione o una violazione delle tue o delle tue Servizi AWS risorse.

Ad esempio, consideriamo i seguenti punti deboli della configurazione:

  • Le chiavi di accesso utente non vengono ruotate ogni 90 giorni.

  • La chiave utente root IAM esiste.

Entrambi i punti deboli sono ugualmente difficili da sfruttare per un avversario. In entrambi i casi, l'avversario può utilizzare il furto di credenziali o qualche altro metodo per acquisire una chiave utente. Possono quindi utilizzarlo per accedere alle tue risorse in modo non autorizzato.

Tuttavia, la probabilità di una compromissione è molto più elevata se l'autore della minaccia acquisisce la chiave di accesso dell'utente root, in quanto ciò gli offre un accesso maggiore. Di conseguenza, la vulnerabilità della chiave dell'utente root ha una gravità maggiore.

La gravità non tiene conto della criticità della risorsa sottostante. La criticità è il livello di importanza delle risorse associate alla scoperta. Ad esempio, una risorsa associata a un'applicazione mission critical è più importante di una associata a test non di produzione. Per acquisire informazioni sulla criticità delle risorse, utilizzate il Criticality campo del AWS Security Finding Format (ASFF).

La tabella seguente associa la difficoltà di sfruttamento e la probabilità di compromissione alle etichette di sicurezza.

Un compromesso è altamente probabile

Compromesso probabile

Compromesso improbabile

Compromesso altamente improbabile

Molto facile da sfruttare

Critico

Critico

Elevata

Media

Un po' facile da sfruttare

Critico

Elevata

Media

Media

Un po' difficile da sfruttare

Elevata

Media

Media

Bassa

Molto difficile da sfruttare

Media

Media

Bassa

Bassa

Definizioni di gravità

Le etichette di gravità sono definite come segue.

Critico: il problema deve essere risolto immediatamente per evitare che si aggravi.

Ad esempio, un bucket S3 aperto è considerato un risultato di gravità critica. Poiché così tanti autori delle minacce cercano bucket S3 aperti, è probabile che i dati contenuti nei bucket S3 esposti vengano scoperti e consultati da altri.

In generale, le risorse accessibili al pubblico sono considerate problemi di sicurezza critici. È necessario trattare i risultati critici con la massima urgenza. È inoltre necessario considerare la criticità della risorsa.

Alto: la questione deve essere affrontata come una priorità a breve termine.

Ad esempio, se un gruppo di sicurezza VPC predefinito è aperto al traffico in entrata e in uscita, viene considerato ad alta severità. È piuttosto facile per un autore di minacce compromettere un VPC utilizzando questo metodo. È anche probabile che l'autore della minaccia sia in grado di interrompere o esfiltrare le risorse una volta inserite nel VPC.

Security Hub CSPM consiglia di considerare un rilevamento di elevata gravità come una priorità a breve termine. È necessario adottare misure correttive immediate. È inoltre necessario considerare la criticità della risorsa.

Medio: la questione dovrebbe essere affrontata come priorità a medio termine.

Ad esempio, la mancanza di crittografia per i dati in transito è considerata una rilevazione di gravità media. È necessario un man-in-the-middle attacco sofisticato per sfruttare questa debolezza. In altre parole, è piuttosto difficile. È probabile che alcuni dati vengano compromessi se lo scenario di minaccia ha esito positivo.

Security Hub CSPM consiglia di esaminare la risorsa implicata il prima possibile. È inoltre necessario considerare la criticità della risorsa.

Basso: il problema non richiede di per sé un'azione.

Ad esempio, la mancata raccolta di informazioni forensi è considerata di bassa gravità. Questo controllo può aiutare a prevenire future compromessi, ma l'assenza di analisi forensi non porta direttamente a un compromesso.

Non è necessario intervenire immediatamente sui risultati di bassa gravità, ma possono fornire un contesto quando li si correla con altri problemi.

Informativo: non è stato rilevato alcun punto debole nella configurazione.

In altre parole, lo stato è PASSEDWARNING, oNOT AVAILABLE.

Non vi è alcuna azione consigliata. I risultati informativi aiutano i clienti a dimostrare di essere conformi.