Descobertas de controle consolidadas Geração, atualização e arquivamento de descobertas de controle Automação e supressão de descobertas de controle Detalhes de conformidade para as descobertas de controle Detalhes de ProductFields para descobertas de controle Níveis de gravidade para as descobertas de controles

Gerando e atualizando descobertas de controle

O CSPM do AWS Security Hub As gera e atualiza descobertas de controle quando executa verificações de segurança nos controles. As descobertas de controles usam o Formato de Descobertas de Segurança da AWS (ASFF).

O CSPM do Security Hub normalmente cobra por cada verificação de segurança de um controle. No entanto, se vários controles usarem a mesma regra AWS Config, o CSPM do Security Hub cobrará apenas uma vez por cada verificação da regra. Por exemplo, a regra iam-password-policy do AWS Config é usada por vários controles no padrão CIS AWS Foundations Benchmark e no padrão Práticas Recomendadas de Segurança Básica da AWS. Cada vez que o CSPM do Security Hub executa uma verificação em relação a essa regra , ele gera uma descoberta de controle separada para cada controle relacionado, mas cobra apenas uma vez pela verificação.

Se o tamanho de uma descoberta de controle exceder o máximo de 240 KB, o CSPM do Security Hub removerá o objeto Resource.Details da descoberta. Para controles que são apoiados por recursos AWS Config, é possível analisar os detalhes do recurso por meio do console do AWS Config.

Tópicos

Descobertas de controle consolidadas
Geração, atualização e arquivamento de descobertas de controle
Automação e supressão de descobertas de controle
Detalhes de conformidade para as descobertas de controle
Detalhes de ProductFields para descobertas de controle
Níveis de gravidade para as descobertas de controles

Descobertas de controle consolidadas

Se as descobertas de controle consolidadas estiverem habilitadas para a sua conta, o CSPM do Security Hub gerará uma única descoberta ou atualização de descoberta para cada verificação de segurança de um controle, mesmo que um controle se aplique a vários padrões habilitados. Para obter uma lista dos controles e dos padrões aos quais eles se aplicam, consulte a Referência de controle para o CSPM do Security Hub. Recomendamos habilitar as descobertas de controles consolidadas para reduzir o ruído das descobertas.

Se você habilitou o CSPM do Security Hub para uma Conta da AWS antes de 23 de fevereiro de 2023, poderá habilitar as descobertas de controles consolidadas seguindo as instruções mais adiante nesta seção. Se você habilitou o CSPM do Security Hub a partir de 23 de fevereiro de 2023, as descobertas de controles consolidadas serão habilitadas automaticamente para a sua conta.

Se você usar a Integração do CSPM do Security Hub com o AWS Organizations ou convidar contas de membro por um processo de convite manual, as descobertas de controles consolidadas serão habilitadas somente para as contas de membro se forem habilitadas para a conta do administrador. Se o atributo for desabilitado para a conta do administrador, ele será desabilitado para as contas de membro. Esse comportamento se aplica a contas de membros novas e existentes. Além disso, se o administrador usar a configuração central para gerenciar o CSPM do Security Hub para várias contas, ele não poderá usar políticas de configuração central para habilitar ou desabilitar descobertas de controle consolidadas para as contas.

Se você desabilitar as descobertas de controles consolidadas para sua conta, o CSPM do Security Hub gerará ou atualizará uma descoberta de controle separada para cada padrão habilitado que incluir um controle. Por exemplo, se você habilitar quatro padrões que compartilhem um controle, você receberá quatro descobertas separadas após uma verificação de segurança para o controle. Se você habilitar as descobertas de controles consolidadas, receberá somente uma descoberta.

Quando você habilita as descobertas de controles consolidadas, o CSPM do Security Hub cria novas descobertas independentes de padrões e arquiva as descobertas originais baseadas em padrões. Alguns campos e valores de descobertas de controle mudarão e poderão afetar seus fluxos de trabalho existentes. Consulte informações sobre essas alterações em Descobertas de controle consolidadas - Alterações no ASFF. Habilitar as descobertas de controle consolidadas também pode afetar as descobertas que as integrações de produtos de terceiros recebem do CSPM do Security Hub. Se você usa a solução Resposta de segurança automatizada na AWS v2.0.0, observe que ela oferece suporte às descobertas de controle consolidadas.

Para habilitar ou desabilitar as descobertas de controles consolidadas, é necessário fazer login em uma conta de administrador ou a uma conta autônoma.

nota

Depois de você habilitar as descobertas de controles consolidadas, pode levar até 24 horas para que o CSPM do Security Hub gere novas descobertas consolidadas e arquive as descobertas existentes baseadas em padrões. De modo semelhante, depois de desabilitar as descobertas de controles consolidadas, o CSPM do Security Hub pode levar até 24 horas para gerar descobertas novas baseadas em padrões e arquivar as descobertas consolidadas existentes. Durante esses períodos, talvez você veja uma mistura de descobertas independentes de padrões e baseadas em padrões em sua conta.

Geração, atualização e arquivamento de descobertas de controle

O CSPM do Security Hub executa verificações de segurança em uma programação. Na primeira vez que o CSPM do Security Hub executa uma verificação de segurança para um controle, ele gera uma nova descoberta para cada recurso da AWS verificado pelo controle. Cada vez que o CSPM do Security Hub executa uma verificação de segurança subsequente para o controle, ele atualiza as descobertas existentes para relatar os resultados da verificação. Isso significa que é possível usar os dados fornecidos por descobertas individuais para rastrear alterações de conformidade de recursos específicos em relação a controles específicos.

Por exemplo, se o status de conformidade de um recurso mudar de FAILED para PASSED para um controle específico, o CSPM do Security Hub não gerará uma nova descoberta. Em vez disso, o CSPM do Security Hub atualizará a descoberta existente para o controle e o recurso. Na descoberta, o CSPM do Security Hub altera o valor do campo status de conformidade (Compliance.Status) para PASSED. O CSPM do Security Hub também atualiza os valores dos campos adicionais para refletir os resultados da verificação, como, por exemplo, o rótulo de gravidade, o status do fluxo de trabalho e os timestamps que indicam quando o CSPM do Security Hub executou a verificação mais recentemente e atualizou a descoberta.

Ao relatar alterações no status de conformidade, o CSPM do Security Hub pode atualizar qualquer um dos campos a seguir em uma descoberta de controle:

Compliance.Status: o novo status de conformidade do recurso para o controle especificado.
FindingProviderFields.Severity.Label: a nova representação qualitativa da gravidade da descoberta, como LOW, MEDIUM ou HIGH.
FindingProviderFields.Severity.Original: a nova representação quantitativa da gravidade da descoberta, como 0 para um recurso em conformidade.
FirstObservedAt: quando o status de conformidade do recurso foi alterado mais recentemente.
LastObservedAt: quando o CSPM do Security Hub executou mais recentemente a verificação de segurança do controle e do recurso especificados.
ProcessedAt: quando o CSPM do Security Hub começou a processar a descoberta mais recentemente.
ProductFields.PreviousComplianceStatus: o status de conformidade (Compliance.Status) anterior do recurso para o controle especificado.
UpdatedAt: quando o CSPM do Security Hub atualizou a descoberta mais recentemente.
Workflow.Status: o status da investigação sobre a descoberta, com base no novo status de conformidade do recurso para o controle especificado.

Se o CSPM do Security Hub atualiza um campo, isso depende principalmente dos resultados da verificação de segurança mais recente para o controle e o recurso aplicáveis. Por exemplo, se o status de conformidade de um recurso mudar de PASSED para FAILED para um controle específico, o CSPM do Security Hub alterará o status do fluxo de trabalho da descoberta para NEW. Para rastrear as atualizações de descobertas individuais, é possível consultar o histórico de uma descoberta. Para obter detalhes sobre campos individuais nas descobertas, consulte o Formato de Descobertas de Segurança da AWS (ASFF).

Em certos casos, o CSPM do Security Hub gera novas descobertas para verificações subsequentes por um controle, em vez de atualizar as descobertas existentes. Isso pode ocorrer se houver um problema com a regra AWS Config que apoia um controle. Se isso acontecer, o CSPM do Security Hub arquivará a descoberta existente e gerará uma nova descoberta para cada verificação. Nas novas descobertas, o status de conformidade será NOT_AVAILABLE e o estado do registro será ARCHIVED. Depois de resolver o problema com a regra AWS Config, o CSPM do Security Hub gerará novas descobertas e começará a atualizá-las para rastrear alterações subsequentes no status de conformidade de recursos individuais.

Além de gerar e atualizar as descobertas de controle, o CSPM do Security Hub arquiva automaticamente as descobertas de controle que atendem a determinados critérios. O CSPM do Security Hub arquivará uma descoberta se o controle estiver desabilitado, se o recurso especificado for excluído ou se o recurso especificado não existir mais. Um recurso pode não existir mais porque o serviço associado não está mais sendo usado. Mais especificamente, o CSPM do Security Hub arquivará automaticamente uma descoberta de controle se a descoberta atender a um dos critérios a seguir:

A descoberta não foi atualizada dentro de 3 a 5 dias. Observe que o arquivamento com base nesse período de tempo é feito com base em melhor esforço, e não é garantido.
A avaliação associada AWS Config retornou NOT_APPLICABLE para o status de conformidade do recurso especificado.

Para determinar se uma descoberta está arquivada, é possível consultar o campo estado do registro (RecordState) da descoberta. Se uma descoberta for arquivada, o valor desse campo será ARCHIVED.

O CSPM do Security Hub armazena as descobertas de controle arquivadas por 30 dias. Depois de 30 dias, as descobertas expiram e o CSPM do Security Hub as exclui de forma permanente. Para determinar se uma descoberta de controle arquivada expirou, o CSPM do Security Hub baseia seu cálculo no valor do campo UpdatedAt da descoberta.

Para armazenar descobertas de controle arquivadas por mais de 30 dias, será possível exportá-las para um bucket do S3. É possível fazer isso usando uma ação personalizada com uma regra do Amazon EventBridge. Para obter mais informações, consulte Usar o EventBridge para resposta e correção automatizada.

nota

Antes de 3 de julho de 2025, o CSPM do Security Hub gerava e atualizava as descobertas de controle de forma diferente quando o status de conformidade de um recurso mudava para um controle. Anteriormente, o CSPM do Security Hub criava uma nova descoberta de controle e arquivava a descoberta existente para um recurso. Portanto, é possível ter várias descobertas arquivadas para um determinado controle e recurso até que essas descobertas expirem (após 30 dias).

Automação e supressão de descobertas de controle

É possível usar as regras de automação do CSPM do Security Hub para atualizar ou suprimir descobertas de controle específicas. Se você suprimir uma descoberta, poderá continuar acessando-a. No entanto, a supressão indica sua crença de que nenhuma ação é necessária para lidar com a descoberta.

Ao suprimir as descobertas, é possível reduzir o ruído de descobertas. Por exemplo, é possível suprimir as descobertas de controle geradas nas contas de teste. Ou é possível suprimir descobertas relacionadas a recursos específicos. Para saber mais sobre como atualizar ou suprimir descobertas automaticamente, consulte Noções básicas sobre as regras de automação do CSPM do Security Hub.

As regras de automação são apropriadas quando você deseja atualizar ou suprimir descobertas de controle específicas. No entanto, se um controle não for relevante para sua organização ou caso de uso, recomendamos desabilitar o controle. Se você desabilitar um controle, o CSPM do Security Hub não executará as verificações de segurança e você não será cobrado por ele.

Detalhes de conformidade para as descobertas de controle

Nas descobertas geradas por verificações de segurança dos controles, o objeto Conformidade e os campos no Formato de Descoberta de Segurança da AWS (ASFF) fornecem detalhes de conformidade para recursos individuais verificados por um controle. Isso as informações a seguir:

AssociatedStandards: os padrões habilitados nos quais um controle está habilitado.
RelatedRequirements: os requisitos relacionados para o controle em todos os padrões habilitados. Esses requisitos derivam de estruturas de segurança de terceiros para o controle, como o Padrão de segurança de dados do setor de cartão de pagamento (PCI DSS) ou o padrão NIST SP 800-171 Revisão 2.
SecurityControlId: o identificador para o controle dentre os padrões de segurança aos quais o CSPM do Security Hub oferece suporte.
Status: o resultado da verificação mais recente que o CSPM do Security Hub executou para o controle. Os resultados das verificações anteriores são mantidos no histórico da descoberta.
StatusReasons: uma matriz que lista os motivos do valor especificado pelo campo Status. Para cada motivo, isso inclui um código de motivo e uma descrição.

A tabela a seguir lista os códigos de motivos e as descrições que uma descoberta pode incluir na matriz StatusReasons. As etapas de correção variam, dependendo de qual controle gerou uma descoberta com um código de motivo específico. Para analisar a orientação de correção de um controle, consulte a Referência de controle para o CSPM do Security Hub.

Código do motivo	Compliance status (Status de conformidade)	Descrição
`CLOUDTRAIL_METRIC_FILTER_NOT_VALID`	`FAILED`	A trilha do CloudTrail de várias regiões não tem um filtro de métrica válido.
`CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT`	`FAILED`	Os filtros de métrica não estão presentes para a trilha do CloudTrail de várias regiões.
`CLOUDTRAIL_MULTI_REGION_NOT_PRESENT`	`FAILED`	A conta não tem uma trilha do CloudTrail de várias regiões com a configuração necessária.
`CLOUDTRAIL_REGION_INVAILD`	`WARNING`	As trilhas do CloudTrail de várias regiões não estão na região atual.
`CLOUDWATCH_ALARM_ACTIONS_NOT_VALID`	`FAILED`	Nenhuma ação de alarme válida está presente.
`CLOUDWATCH_ALARMS_NOT_PRESENT`	`FAILED`	Os alarmes do CloudWatch não existem na conta.
`CONFIG_ACCESS_DENIED`	`NOT_AVAILABLE` AWS Config O status do é `ConfigError`	Acesso ao AWS Config negado. Verifique se o AWS Config está habilitado e recebeu permissões suficientes.
`CONFIG_EVALUATIONS_EMPTY`	`PASSED`	O AWS Config avaliou seus recursos com base na regra. A regra não se aplicou aos recursos da AWS em seu escopo, os recursos especificados foram excluídos, ou os resultados da avaliação foram excluídos.
`CONFIG_RECORDER_CUSTOM_ROLE`	`FAILED` (para Config.1)	O gravador AWS Config usa uma perfil do IAM personalizado em vez do perfil vinculado ao serviço AWS Config, e o parâmetro personalizado `includeConfigServiceLinkedRoleCheck` para Config.1 não está definido como `false`.
`CONFIG_RECORDER_DISABLED`	`FAILED` (para Config.1)	AWS Config não está habilitado com o gravador de configuração ativado.
`CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES`	`FAILED` (para Config.1)	AWS Config não está registrando todos os tipos de recursos que correspondem aos controles habilitados do CSPM do Security Hub. Ative a gravação para os recursos a seguir: `Recursos que não estão sendo registrados`.
`CONFIG_RETURNS_NOT_APPLICABLE`	`NOT_AVAILABLE`	O status de conformidade é `NOT_AVAILABLE` porque AWS Config retornou um status de Não aplicável. AWS Config não fornece o motivo do status. Aqui estão alguns motivos possíveis para o status Não aplicável: O recurso foi removido do escopo da regra AWS Config. A regra AWS Config foi excluída. O recurso foi excluído. A lógica da regra AWS Config pode produzir um status Não aplicável.
`CONFIG_RULE_EVALUATION_ERROR`	`NOT_AVAILABLE` AWS Config O status do é `ConfigError`	Esse código de motivo é usado para vários tipos diferentes de erros de avaliação. A descrição fornece as informações específicas do motivo. O tipo de erro pode ser um dos seguintes: Uma incapacidade de realizar a avaliação devido à falta de permissões. A descrição fornece a permissão específica que está faltando. Um valor ausente ou inválido para um parâmetro. A descrição fornece o parâmetro e os requisitos para o valor do parâmetro. Erro ao ler a partir de um bucket do S3. A descrição identifica o bucket e fornece o erro específico. Uma assinatura da AWS ausente. Um tempo limite geral para a avaliação. Uma conta suspensa.
`CONFIG_RULE_NOT_FOUND`	`NOT_AVAILABLE` AWS Config O status do é `ConfigError`	A regra AWS Config está em processo de criação.
`INTERNAL_SERVICE_ERROR`	`NOT_AVAILABLE`	Ocorreu um erro desconhecido.
`LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE`	`FAILED`	O CSPM do Security Hub não consegue realizar uma verificação em um runtime do Lambda personalizado.
`S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION`	`WARNING`	A descoberta está no estado `WARNING` porque o bucket do S3 associado a essa regra está em uma região ou conta diferente. Essa regra não é compatível com verificações entre regiões ou entre contas. É recomendável que você desabilite esse controle nessa região ou conta. Execute somente na região ou na conta onde o recurso está localizado.
`SNS_SUBSCRIPTION_NOT_PRESENT`	`FAILED`	Os filtros de métrica do não têm uma assinatura do Amazon SNS válida.
`SNS_TOPIC_CROSS_ACCOUNT`	`WARNING`	A descoberta está em um estado de `WARNING`. O tópico SNS associado a esta regra pertence a uma conta diferente. A conta atual não pode obter as informações da assinatura. A conta proprietária do tópico do SNS deve conceder à conta atual a permissão `sns:ListSubscriptionsByTopic` para o tópico do SNS.
`SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION`	`WARNING`	A descoberta está em estado `WARNING` porque o tópico do SNS associado a essa regra está em uma região ou conta diferente. Essa regra não é compatível com verificações entre regiões ou entre contas. É recomendável que você desabilite esse controle nessa região ou conta. Execute somente na região ou na conta onde o recurso está localizado.
`SNS_TOPIC_INVALID`	`FAILED`	O tópico do SNS associado a essa regra é inválido.
`THROTTLING_ERROR`	`NOT_AVAILABLE`	A operação de API relevante excedeu a taxa permitida.

Detalhes de ProductFields para descobertas de controle

Nas descobertas geradas por verificações de segurança de controles, o atributo ProductFields no Formato de Descobertas de Segurança da AWS (ASFF) pode incluir os campos a seguir.

ArchivalReasons:0/Description

Descreve por que o CSPM do Security Hub arquivou uma descoberta.

Por exemplo, o CSPM do Security Hub arquiva descobertas existentes quando você desabilita um controle ou padrão, ou quando você habilita ou desabilita descobertas de controle consolidadas.

ArchivalReasons:0/ReasonCode

Especifica por que o CSPM do Security Hub arquivou uma descoberta.

Por exemplo, o CSPM do Security Hub arquiva descobertas existentes quando você desabilita um controle ou padrão, ou quando você habilita ou desabilita descobertas de controle consolidadas.

PreviousComplianceStatus

O status de conformidade (Compliance.Status) anterior do recurso para o controle especificado, a partir da atualização mais recente da descoberta. Se o status de conformidade do recurso não foi alterado durante a atualização mais recente, esse valor será igual ao valor do campo Compliance.Status da descoberta. Para obter uma lista de valores possíveis, consulte Avaliação do status de conformidade e do status de controle.

StandardsGuideArn ou StandardsArn

O ARN do padrão associado ao controle.

Para o padrão CIS AWS Foundations Benchmark, o campo é StandardsGuideArn. Para os padrões PCI DSS e AWS Foundational Security Best Practices, o campo é StandardsArn.

Esses campos serão removidos em favor dos Compliance.AssociatedStandards se você habilitar as descobertas de controles consolidadas.

StandardsGuideSubscriptionArn ou StandardsSubscriptionArn

O ARN da assinatura padrão da conta.

Para o padrão CIS AWS Foundations Benchmark, o campo é StandardsGuideSubscriptionArn. Para os padrões PCI DSS e AWS Foundational Security Best Practices, o campo é StandardsSubscriptionArn.

Esses campos serão removidos se você habilitar as descobertas de controles consolidadas.

RuleId ou ControlId

O identificador do controle.

Para a versão 1.2.0 do padrão CIS AWS Foundations Benchmark, o campo é RuleId. Para outros padrões, incluindo versões subsequentes do padrão CIS AWS Foundations Benchmark, o campo é ControlId.

Esses campos serão removidos em favor dos Compliance.SecurityControlId se você habilitar as descobertas de controles consolidadas.

RecommendationUrl

O URL para informações de correção para o controle. Esse campo será removido em favor dos Remediation.Recommendation.Url se você habilitar as descobertas de controles consolidadas.

RelatedAWSResources:0/name

O nome do recurso associado à descoberta.

RelatedAWSResource:0/type

O tipo de recurso associado ao controle.

StandardsControlArn

O ARN do controle. Esse campo será removido se você habilitar as descobertas de controles consolidadas.

aws/securityhub/ProductName

Para descobertas de controles, o nome do produto é Security Hub.

aws/securityhub/CompanyName

Para descobertas de controles, o nome da empresa é AWS.

aws/securityhub/annotation

Uma descrição do problema descoberto pelo controle.

aws/securityhub/FindingId

O identificador para a descoberta.

Esse campo não referenciará um padrão se você habilitar as descobertas de controles consolidadas.

Níveis de gravidade para as descobertas de controles

A gravidade atribuída a um controle do CSPM do Security Hub indica a importância do controle. A gravidade de um controle determina o rótulo de gravidade atribuído às descobertas do controle.

Critérios de gravidade

A gravidade de um controle é determinada com base em uma avaliação dos seguintes critérios:

É difícil para um agente de ameaças tirar proveito da fraqueza de configuração associada ao controle? A dificuldade é determinada pela quantidade de sofisticação ou complexidade necessária para usar a fraqueza para realizar um cenário de ameaça.
Qual é a probabilidade de que a fraqueza leve ao comprometimento da sua Contas da AWS ou seus recursos? O comprometimento da sua Contas da AWS ou recursos significa que a confidencialidade, a integridade ou a disponibilidade de seus dados ou infraestrutura da AWS estão danificadas de alguma forma. A probabilidade de comprometimento indica a probabilidade do cenário de ameaça resultar em uma interrupção ou violação de seus Serviços da AWS ou recursos.

Como exemplo, considere os seguintes pontos fracos da configuração:

As chaves de acesso do usuário não são trocadas a cada 90 dias.
A chave de usuário raiz do IAM existe.

Ambas as fraquezas são igualmente difíceis de serem aproveitadas por um adversário. Em ambos os casos, o adversário pode usar o roubo de credenciais ou algum outro método para adquirir uma chave de usuário. Eles podem então usá-lo para acessar seus recursos de forma não autorizada.

No entanto, a probabilidade de um comprometimento é muito maior se o agente da ameaça adquirir a chave de acesso do usuário raiz, pois isso lhe dá maior acesso. Como resultado, a fraqueza da chave do usuário raiz tem uma gravidade maior.

A gravidade não leva em conta a criticidade do recurso subjacente. A criticidade é definida como o nível de importância dos recursos associados à descoberta. Por exemplo, um recurso associado a uma aplicação de missão crítica é mais crítico que um associado a testes que não sejam de produção. Para capturar informações sobre a criticidade do recurso, use o campo Criticality do AWS Formato do Security Finding (ASFF).

A tabela a seguir mapeia a dificuldade de exploração e a probabilidade de comprometimento dos rótulos de segurança.

	Comprometimento altamente provável	Comprometimento provável	Comprometimento improvável	Comprometimento altamente improvável
Muito fácil de explorar	Crítico	Crítico	Alto	Médio
Um pouco fácil de explorar	Crítico	Alto	Médio	Médio
Um pouco difícil de explorar	Alto	Médio	Médio	Baixo
Muito difícil de explorar	Médio	Médio	Baixo	Baixo

Definições de gravidade

Os rótulos de gravidade são definidos da seguinte forma.

Crítico: o problema deve ser corrigido imediatamente para evitar que seja escalonado.

Por exemplo, um bucket do S3 aberto é considerado uma descoberta de gravidade crítica. Como muitos atores maliciosos buscam buckets do S3 abertos, é provável que os dados em um bucket do S3 exposto sejam descobertos e acessados por outros.

Em geral, os recursos acessíveis ao público são considerados problemas críticos de segurança. É necessário tratar as descobertas críticas com a máxima urgência. Você também deve considerar a importância do recurso.

Alto: o problema deve ser tratado como prioridade de curto prazo.

Por exemplo, se um grupo de segurança VPC padrão estiver aberto ao tráfego de entrada e saída, ele será considerado de alta gravidade. É um pouco fácil para um agente de ameaças comprometer uma VPC usando esse método. Também é provável que o agente da ameaça consiga interromper ou exfiltrar recursos quando eles estiverem na VPC.

O CSPM do Security Hub recomenda que você trate uma descoberta de alta gravidade como uma prioridade de curto prazo. É necessário tomar medidas imediatas de correção. Você também deve considerar a importância do recurso.

Médio: a questão deve ser tratada como uma prioridade de médio prazo.

Por exemplo, a falta de criptografia para dados em trânsito é considerada uma descoberta de gravidade média. É necessário um ataque man-in-the-middle sofisticado para tirar proveito dessa fraqueza. Em outras palavras, é um pouco difícil. É provável que alguns dados sejam comprometidos se o cenário de ameaça for bem-sucedido.

O CSPM do Security Hub recomenda que você investigue o recurso implicado o mais cedo possível. Você também deve considerar a importância do recurso.

Baixo: o problema não requer ação por conta própria.

Por exemplo, a falha na coleta de informações forenses é considerada de baixa gravidade. Esse controle pode ajudar a evitar futuros compromissos, mas a ausência de perícia não leva diretamente a um comprometimento.

Você não precisa tomar medidas imediatas em relação às descobertas de baixa gravidade, mas elas podem fornecer contexto quando você as correlaciona com outros problemas.

Informativo: nenhuma falha de configuração foi encontrada.

Em outras palavras, o status é PASSED, WARNING ou NOT AVAILABLE.

Não há ação recomendada. As descobertas informativas ajudam os clientes a demonstrar que estão em um estado de conformidade.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Programar a execução de verificações de segurança

Status de conformidade e status de controle