コンプライアンスステータスとコントロールステータスの評価 - AWS Security Hub
Security Hub CSPM の検出結果のコンプライアンスステータスの評価コンプライアンスステータスからコントロールステータスを取得する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コンプライアンスステータスとコントロールステータスの評価

AWS Security Finding 形式の Compliance.Statusフィールドは、コントロール検出結果の結果を記述します。 AWS Security Hub Cloud Security Posture Management (CSPM) は、コントロール検出結果のコンプライアンスステータスを使用して、全体的なコントロールステータスを決定します。コントロールのステータスは、Security Hub CSPM コンソールのコントロールの詳細ページに表示されます。

Security Hub CSPM の検出結果のコンプライアンスステータスの評価

各検出結果のコンプライアンスステータスには、以下のいずれかの値が割り当てられます。

  • PASSED – コントロールが検出結果のセキュリティチェックに合格したことを示します。これにより、Security Hub CSPM が自動的に Workflow.Statusに設定されますRESOLVED

  • FAILED – コントロールが検出結果のセキュリティチェックに合格しなかったことを示します。

  • WARNING – Security Hub CSPM がリソースが PASSEDまたは FAILED状態にあるかどうかを判断できないことを示します。たとえば、対応するAWS Config リソースタイプに対してリソース記録が有効になっていません。

  • NOT_AVAILABLE – サーバーが失敗した、リソースが削除された、または AWS Config 評価の結果が であったため、チェックを完了できないことを示しますNOT_APPLICABLE。 AWS Config 評価結果が の場合NOT_APPLICABLE、Security Hub CSPM は自動的に結果をアーカイブします。

検出結果のコンプライアンスステータスが から FAILED、、WARNINGまたは PASSEDに変わりNOT_AVAILABLE、 が NOTIFIEDまたは Workflow.Statusの場合RESOLVED、Security Hub CSPM は自動的に Workflow.Statusに変わりますNEW

コントロールに対応するリソースがない場合、Security Hub CSPM はアカウントレベルでPASSED結果を生成します。コントロールに対応するリソースがあっても、そのリソースを削除すると、Security Hub CSPM はNOT_AVAILABLE検出結果を作成し、すぐにアーカイブします。18 時間後、コントロールに対応するリソースがなくなったため、PASSED検出結果を受け取ります。

コンプライアンスステータスからコントロールステータスを取得する

Security Hub CSPM は、コントロールの検出結果のコンプライアンスステータスから全体的なコントロールステータスを取得します。コントロールステータスを決定する場合、Security Hub CSPM は RecordStateが である検出結果ARCHIVEDと が Workflow.Statusである検出結果を無視しますSUPPRESSED

コントロールステータスには、次のいずれかの値が割り当てられます。

  • 合格 - すべての検出結果において PASSED がコンプライアンスステータス であることを示します。

  • 失敗 - 少なくとも 1 つの検出結果において FAILED がコンプライアンスステータスであることを示します。

  • 不明 - 少なくとも 1 つの検出結果のコンプライアンスステータスが WARNING または NOT_AVAILABLE であることを示します。コンプライアンスステータスが FAILED の検出結果はありません。

  • データなし - コントロールの結果がないことを示します。例えば、新しく有効になったコントロールは、Security Hub CSPM がその検出結果の生成を開始するまで、このステータスになります。コントロールのすべての検出結果が SUPPRESSEDであるか、現在の で使用できない場合も、このステータスになります AWS リージョン。

  • [無効] - 現在のアカウントとリージョンでコントロールが無効になっていることを示します。現在のアカウントとリージョンでは、現在このコントロールに対してセキュリティチェックは実行されていません。ただし、無効になっているコントロールの検出結果には、無効になった後、最大 24 時間コンプライアンスステータスの値が含まれる場合があります。

管理者アカウントの場合、コントロールステータスには管理者アカウントとメンバーアカウントのコントロールステータスが反映されます。具体的には、コントロールの全体的なステータスは、管理者アカウントまたはメンバーアカウントにコントロールに 1 つ以上の失敗した検出結果がある場合、[失敗]として表示されます。集約リージョンを設定している場合、集約リージョンのコントロールステータスには、集約リージョンとリンクされたリージョンのコントロールステータスが反映されます。具体的には、コントロールの全体的なステータスは、集約リージョンおよびリンクされたリージョンでコントロールに 1 つ以上の失敗した検出結果がある場合、[失敗] と表示されます。

Security Hub CSPM は通常、Security Hub CSPM コンソールの 概要ページまたはセキュリティ標準ページに初めてアクセスしてから 30 分以内に初期コントロールステータスを生成します。コントロールステータスを表示するには、AWS Config リソースレコードを設定する必要があります。コントロールステータスが初めて生成されると、Security Hub CSPM は、過去 24 時間の結果に基づいて 24 時間ごとにコントロールステータスを更新します。コントロールの詳細ページのタイムスタンプは、コントロールステータスが最後に更新された日時を示します。

注記

コントロールを初めて有効にすると、中国リージョンと でコントロールステータスが生成されるまでに最大 24 時間かかることがあります AWS GovCloud (US) Region。