Gerando e atualizando descobertas de controle - AWS Security Hub
Descobertas de controle consolidadasGerando, atualizando e arquivando descobertas de controleAutomação e supressão de resultados de controleDetalhes de conformidade para resultados de controleProductFields detalhes das descobertas de controleNíveis de severidade para resultados de controle

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerando e atualizando descobertas de controle

AWS O Security Hub Cloud Security Posture Management (CSPM) gera e atualiza as descobertas de controle ao executar verificações nos controles de segurança. As descobertas de controle usam o AWS Security Finding Format (ASFF).

O Security Hub CSPM normalmente cobra por cada verificação de segurança de um controle. No entanto, se vários controles usarem a mesma AWS Config regra, o Security Hub CSPM cobrará somente uma vez por cada verificação contra a regra. Por exemplo, a AWS Config iam-password-policy regra é usada por vários controles no padrão CIS AWS Foundations Benchmark e no padrão AWS Foundational Security Best Practices. Cada vez que o Security Hub CSPM executa uma verificação em relação a essa regra, ele gera uma descoberta de controle separada para cada controle relacionado, mas cobra apenas uma vez pela verificação.

Se o tamanho de uma descoberta de controle exceder o máximo de 240 KB, o Security Hub CSPM removerá o Resource.Details objeto da descoberta. Para controles que são apoiados por AWS Config recursos, você pode revisar os detalhes dos recursos usando o AWS Config console.

Descobertas de controle consolidadas

Se as descobertas de controle consolidadas estiverem habilitadas para sua conta, o Security Hub CSPM gerará uma única descoberta ou atualização de descoberta para cada verificação de segurança de um controle, mesmo que um controle se aplique a vários padrões habilitados. Para obter uma lista dos controles e dos padrões aos quais eles se aplicam, consulte Referência de controle para o Security Hub CSPM o. Recomendamos habilitar as descobertas de controles consolidadas para reduzir o ruído das descobertas.

Se você habilitou o Security Hub CSPM Conta da AWS antes de 23 de fevereiro de 2023, você pode habilitar descobertas de controle consolidadas seguindo as instruções mais adiante nesta seção. Se você habilitar o Security Hub CSPM em ou após 23 de fevereiro de 2023, as descobertas de controle consolidadas serão habilitadas automaticamente para sua conta.

Se você usar a integração do CSPM do Security Hub com AWS Organizations ou convidar contas de membros por meio de um processo de convite manual, as descobertas de controle consolidado serão habilitadas para contas de membros somente se estiverem habilitadas para a conta de administrador. Se o recurso estiver desativado para a conta do administrador, ele será desativado para as contas dos membros. Esse comportamento se aplica a contas de membros novas e existentes. Além disso, se o administrador usar a configuração central para gerenciar o CSPM do Security Hub para várias contas, ele não poderá usar políticas de configuração central para habilitar ou desabilitar descobertas de controle consolidadas para as contas.

Se você desabilitar as descobertas de controle consolidadas para sua conta, o Security Hub CSPM gerará ou atualizará uma descoberta de controle separada para cada padrão habilitado que inclui um controle. Por exemplo, se você habilitar quatro padrões que compartilham um controle, receberá quatro descobertas separadas após uma verificação de segurança do controle. Se você habilitar as descobertas de controles consolidadas, receberá somente uma descoberta.

Quando você habilita descobertas de controle consolidadas, o Security Hub CSPM cria novas descobertas independentes de padrão e arquiva as descobertas originais baseadas em padrões. Alguns campos e valores de localização de controle mudarão, o que pode afetar seus fluxos de trabalho existentes. Para obter informações sobre essas mudanças, consulteDescobertas de controle consolidadas - Alterações no ASFF. Habilitar descobertas de controle consolidadas também pode afetar as descobertas que produtos integrados de terceiros recebem do Security Hub CSPM. Se você usa a solução Automated Security Response na AWS v2.0.0, observe que ela oferece suporte a descobertas de controle consolidadas.

Para habilitar ou desabilitar as descobertas de controles consolidadas, você deve fazer login em uma conta de administrador ou a uma conta autônoma.

nota

Depois de habilitar as descobertas de controle consolidadas, pode levar até 24 horas para que o Security Hub CSPM gere novas descobertas consolidadas e arquive as descobertas existentes baseadas em padrões. Da mesma forma, depois de desativar as descobertas de controle consolidadas, pode levar até 24 horas para que o Security Hub CSPM gere novas descobertas baseadas em padrões e arquive as descobertas consolidadas existentes. Durante esses períodos, você pode ver uma combinação de descobertas independentes de padrões e baseadas em padrões em sua conta.

Security Hub CSPM console
Para habilitar ou desabilitar descobertas de controle consolidadas

  1. Abra o console do AWS Security Hub Cloud Security Posture Management (CSPM) em. https://console.aws.amazon.com/securityhub/

  2. No painel de navegação, em Configurações, selecione Geral.

  3. Na seção Controles, escolha Editar.

  4. Use a opção Consolidated Control Discovery para habilitar ou desabilitar descobertas de controle consolidadas.

  5. Escolha Salvar.

Security Hub CSPM API

Para ativar ou desativar as descobertas de controle consolidadas de forma programática, use a UpdateSecurityHubConfigurationoperação da API CSPM do Security Hub. Ou, se você estiver usando o AWS CLI, execute o update-security-hub-configurationcomando.

Para o control-finding-generator parâmetro, especifique SECURITY_CONTROL para permitir descobertas de controle consolidadas. Para desativar as descobertas de controle consolidadas, especifiqueSTANDARD_CONTROL.

Por exemplo, o AWS CLI comando a seguir permite descobertas de controle consolidadas.

$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL

O AWS CLI comando a seguir desativa as descobertas de controle consolidadas.

$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL

Gerando, atualizando e arquivando descobertas de controle

O Security Hub CSPM executa verificações de segurança em um cronograma. Na primeira vez que o Security Hub CSPM executa uma verificação de segurança para um controle, ele gera uma nova descoberta para cada AWS recurso verificado pelo controle. Cada vez que o Security Hub CSPM executa posteriormente uma verificação de segurança para o controle, ele atualiza as descobertas existentes para relatar os resultados da verificação. Isso significa que você pode usar os dados fornecidos por descobertas individuais para rastrear alterações de conformidade de recursos específicos em relação a controles específicos.

Por exemplo, se o status de conformidade de um recurso mudar de PASSED para FAILED para um controle específico, o CSPM do Security Hub não gerará uma nova descoberta. Em vez disso, o Security Hub CSPM atualiza a descoberta existente para o controle e o recurso. Na descoberta, o Security Hub CSPM altera o valor do campo status de conformidade (Compliance.Status) para. PASSED O CSPM do Security Hub também atualiza os valores dos campos adicionais para refletir os resultados da verificação — por exemplo, o rótulo de gravidade, o status do fluxo de trabalho e os registros de data e hora que indicam quando o CSPM do Security Hub executou a verificação mais recentemente e atualizou a descoberta.

Ao relatar alterações no status de conformidade, o CSPM do Security Hub pode atualizar qualquer um dos seguintes campos em uma descoberta de controle:

  • Compliance.Status— O novo status de conformidade do recurso para o controle especificado.

  • FindingProviderFields.Severity.Label— A nova representação qualitativa da gravidade da descoberta, comoLOW,MEDIUM, ouHIGH.

  • FindingProviderFields.Severity.Original— A nova representação quantitativa da gravidade da descoberta, como 0 para um recurso compatível.

  • FirstObservedAt— Quando o status de conformidade do recurso foi alterado mais recentemente.

  • LastObservedAt— Quando o Security Hub CSPM executou mais recentemente a verificação de segurança do controle e do recurso especificados.

  • ProcessedAt— Quando o Security Hub CSPM começou a processar a descoberta mais recentemente.

  • ProductFields.PreviousComplianceStatus— O status de conformidade anterior (Compliance.Status) do recurso para o controle especificado.

  • UpdatedAt— Quando o Security Hub CSPM atualizou a descoberta mais recentemente.

  • Workflow.Status— O status da investigação sobre a descoberta, com base no novo status de conformidade do recurso para o controle especificado.

Se o CSPM do Security Hub atualiza um campo depende principalmente dos resultados da verificação de segurança mais recente para o controle e o recurso aplicáveis. Por exemplo, se o status de conformidade de um recurso mudar de FAILED para PASSED para um controle específico, o CSPM do Security Hub altera o status do fluxo de trabalho da descoberta para. NEW Para acompanhar as atualizações de descobertas individuais, você pode consultar o histórico de uma descoberta. Para obter detalhes sobre campos individuais nas descobertas, consulte Formato AWS de descoberta de segurança (ASFF).

Em certos casos, o Security Hub CSPM gera novas descobertas para verificações subsequentes por um controle, em vez de atualizar as descobertas existentes. Isso pode ocorrer se houver um problema com a AWS Config regra que apóia um controle. Se isso acontecer, o Security Hub CSPM arquiva a descoberta existente e gera uma nova descoberta para cada verificação. Nas novas descobertas, o status de conformidade é NOT_AVAILABLE e o estado do registro éARCHIVED. Depois de resolver o problema com a AWS Config regra, o Security Hub CSPM gera novas descobertas e começa a atualizá-las para rastrear alterações subsequentes no status de conformidade de recursos individuais.

Além de gerar e atualizar as descobertas de controle, o Security Hub CSPM arquiva automaticamente as descobertas de controle que atendem a determinados critérios. O Security Hub CSPM arquiva uma descoberta se o controle estiver desativado, se o recurso especificado for excluído ou se o recurso especificado não existir mais. Um recurso pode não existir mais porque o serviço associado não é mais usado. Mais especificamente, o Security Hub CSPM arquiva automaticamente uma descoberta de controle se a descoberta atender a um dos seguintes critérios:

  • A descoberta não foi atualizada por 3 a 5 dias. Observe que o arquivamento com base nesse período de tempo é feito da melhor maneira possível e não é garantido.

  • A AWS Config avaliação associada retornou NOT_APPLICABLE para o status de conformidade do recurso especificado.

Para determinar se uma descoberta está arquivada, você pode consultar o campo record state (RecordState) da descoberta. Se uma descoberta for arquivada, o valor desse campo seráARCHIVED.

O Security Hub CSPM armazena descobertas de controle arquivadas por 30 dias. Após 30 dias, as descobertas expiram e o Security Hub CSPM as exclui permanentemente. Para determinar se uma descoberta de controle arquivada expirou, o Security Hub CSPM baseia seu cálculo no valor do UpdatedAt campo da descoberta.

Para armazenar descobertas de controle arquivadas por mais de 30 dias, você pode exportar as descobertas para um bucket do S3. Você pode fazer isso usando uma ação personalizada com uma EventBridge regra da Amazon. Para obter mais informações, consulte Usando EventBridge para resposta e remediação automatizadas.

nota

Antes de 3 de julho de 2025, o Security Hub CSPM gerava e atualizava as descobertas de controle de forma diferente quando o status de conformidade de um recurso mudava para um controle. Anteriormente, o Security Hub CSPM criava uma nova descoberta de controle e arquivava a descoberta existente para um recurso. Portanto, você pode ter várias descobertas arquivadas para um determinado controle e recurso até que essas descobertas expirem (após 30 dias).

Automação e supressão de resultados de controle

Você pode usar as regras de automação CSPM do Security Hub para atualizar ou suprimir descobertas de controle específicas. Se você suprimir uma descoberta, poderá continuar a acessá-la. No entanto, a supressão indica sua crença de que nenhuma ação é necessária para resolver a descoberta.

Ao suprimir as descobertas, você pode reduzir o ruído das descobertas. Por exemplo, você pode suprimir as descobertas de controle geradas nas contas de teste. Ou você pode suprimir descobertas relacionadas a recursos específicos. Para saber mais sobre como atualizar ou suprimir descobertas automaticamente, consulteEntendendo as regras de automação no Security Hub CSPM.

As regras de automação são apropriadas quando você deseja atualizar ou suprimir descobertas de controle específicas. No entanto, se um controle não for relevante para sua organização ou caso de uso, recomendamos desativar o controle. Se você desabilitar um controle, o Security Hub CSPM não executará verificações de segurança e você não será cobrado por ele.

Detalhes de conformidade para resultados de controle

Nas descobertas geradas pelas verificações de segurança dos controles, o objeto de conformidade e os campos no Formato de descoberta de AWS segurança (ASFF) fornecem detalhes de conformidade para recursos individuais verificados por um controle. Isso inclui as seguintes informações:

  • AssociatedStandards— Os padrões habilitados nos quais o controle está habilitado.

  • RelatedRequirements— Os requisitos relacionados para o controle em todos os padrões habilitados. Esses requisitos derivam de estruturas de segurança de terceiros para o controle, como o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) ou o padrão NIST SP 800-171 Revisão 2.

  • SecurityControlId— O identificador para o controle dos padrões que o Security Hub CSPM suporta.

  • Status— O resultado da verificação mais recente de que o Security Hub CSPM executou para o controle. Os resultados das verificações anteriores são mantidos no histórico da descoberta.

  • StatusReasons— Uma matriz que lista os motivos do valor especificado pelo Status campo. Para cada motivo, isso inclui um código de motivo e uma descrição.

A tabela a seguir lista os códigos de motivos e as descrições que uma descoberta pode incluir na StatusReasons matriz. As etapas de remediação variam de acordo com o controle que gerou uma descoberta com um código de motivo especificado. Para revisar a orientação de remediação de um controle, consulte o. Referência de controle para o Security Hub CSPM

Código do motivo Compliance status (Status de conformidade) Descrição

CLOUDTRAIL_METRIC_FILTER_NOT_VALID

FAILED

A CloudTrail trilha multirregional não tem um filtro métrico válido.

CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT

FAILED

Os filtros métricos não estão presentes na CloudTrail trilha multirregional.

CLOUDTRAIL_MULTI_REGION_NOT_PRESENT

FAILED

A conta não tem uma CloudTrail trilha multirregional com a configuração necessária.

CLOUDTRAIL_REGION_INVAILD

WARNING

As CloudTrail trilhas multirregionais não estão na região atual.

CLOUDWATCH_ALARM_ACTIONS_NOT_VALID

FAILED

Nenhuma ação de alarme válida está presente.

CLOUDWATCH_ALARMS_NOT_PRESENT

FAILED

CloudWatch os alarmes não existem na conta.

CONFIG_ACCESS_DENIED

NOT_AVAILABLE

AWS Config status é ConfigError

AWS Config acesso negado.

Verifique se AWS Config está ativado e se recebeu permissões suficientes.

CONFIG_EVALUATIONS_EMPTY

PASSED

AWS Config avaliou seus recursos com base na regra.

A regra não se aplicava aos AWS recursos em seu escopo, os recursos especificados foram excluídos ou os resultados da avaliação foram excluídos.

CONFIG_RECORDER_CUSTOM_ROLE

FAILED(para Config.1)

O AWS Config gravador usa uma função personalizada do IAM em vez da função AWS Config vinculada ao serviço, e o parâmetro includeConfigServiceLinkedRoleCheck personalizado para Config.1 não está definido como. false

CONFIG_RECORDER_DISABLED

FAILED(para Config.1)

AWS Config não está habilitado com o gravador de configuração ligado.

CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES

FAILED(para Config.1)

AWS Config não está registrando todos os tipos de recursos que correspondem aos controles CSPM habilitados do Security Hub. Ative a gravação para os seguintes recursos:Resources that aren't being recorded.

CONFIG_RETURNS_NOT_APPLICABLE

NOT_AVAILABLE

O status de conformidade é NOT_AVAILABLE porque AWS Config retornou um status de Não aplicável.

AWS Config não fornece o motivo do status. Aqui estão alguns motivos possíveis para o status Não aplicável:

  • O recurso foi removido do escopo da AWS Config regra.

  • A AWS Config regra foi excluída.

  • O recurso foi excluído.

  • A lógica da AWS Config regra pode produzir um status Não aplicável.

CONFIG_RULE_EVALUATION_ERROR

NOT_AVAILABLE

AWS Config status é ConfigError

Esse código de motivo é usado para vários tipos diferentes de erros de avaliação.

A descrição fornece as informações específicas do motivo.

O tipo de erro pode ser um dos seguintes:

  • Uma incapacidade de realizar a avaliação devido à falta de permissões. A descrição fornece a permissão específica que está faltando.

  • Um valor ausente ou inválido para um parâmetro. A descrição fornece o parâmetro e os requisitos para o valor do parâmetro.

  • Erro ao ler a partir de um bucket do S3. A descrição identifica o bucket e fornece o erro específico.

  • Uma AWS assinatura ausente.

  • Um tempo limite geral para a avaliação.

  • Uma conta suspensa.

CONFIG_RULE_NOT_FOUND

NOT_AVAILABLE

AWS Config status é ConfigError

A AWS Config regra está em processo de criação.

INTERNAL_SERVICE_ERROR

NOT_AVAILABLE

Ocorreu um erro desconhecido.

LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE

FAILED

O CSPM do Security Hub não consegue realizar uma verificação em relação a um tempo de execução Lambda personalizado.

S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION

WARNING

A descoberta está em um WARNING estado porque o bucket do S3 associado a essa regra está em uma região ou conta diferente.

Essa regra não é compatível com verificações entre regiões ou entre contas.

É recomendável que você desabilite esse controle nessa região ou conta. Execute somente na região ou na conta onde o recurso está localizado.

SNS_SUBSCRIPTION_NOT_PRESENT

FAILED

Os filtros métricos do CloudWatch Logs não têm uma assinatura válida do Amazon SNS.

SNS_TOPIC_CROSS_ACCOUNT

WARNING

A descoberta está em um estado de WARNING.

O tópico SNS associado a esta regra pertence a uma conta diferente. A conta atual não pode obter as informações da assinatura.

A conta proprietária do tópico do SNS deve conceder à conta atual a permissão sns:ListSubscriptionsByTopic para o tópico do SNS.

SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION

WARNING

A descoberta está em estado WARNING porque o tópico do SNS associado a essa regra está em uma região ou conta diferente.

Essa regra não é compatível com verificações entre regiões ou entre contas.

É recomendável que você desabilite esse controle nessa região ou conta. Execute somente na região ou na conta onde o recurso está localizado.

SNS_TOPIC_INVALID

FAILED

O tópico do SNS associado a essa regra é inválido.

THROTTLING_ERROR

NOT_AVAILABLE

A operação de API relevante excedeu a taxa permitida.

ProductFields detalhes das descobertas de controle

Nas descobertas geradas pelas verificações de segurança dos controles, o ProductFieldsatributo no Formato de descoberta de AWS segurança (ASFF) pode incluir os seguintes campos.

ArchivalReasons:0/Description

Descreve por que o Security Hub CSPM arquivou uma descoberta.

Por exemplo, o Security Hub CSPM arquiva descobertas existentes quando você desabilita um controle ou padrão, ou ativa ou desabilita descobertas de controle consolidadas.

ArchivalReasons:0/ReasonCode

Especifica por que o Security Hub CSPM arquivou uma descoberta.

Por exemplo, o Security Hub CSPM arquiva descobertas existentes quando você desabilita um controle ou padrão, ou ativa ou desabilita descobertas de controle consolidadas.

PreviousComplianceStatus

O status de conformidade anterior (Compliance.Status) do recurso para o controle especificado, a partir da atualização mais recente da descoberta. Se o status de conformidade do recurso não mudou durante a atualização mais recente, esse valor é igual ao valor do Compliance.Status campo da descoberta. Para obter uma lista de valores possíveis, consulte Avaliando o status de conformidade e o status de controle.

StandardsGuideArn ou StandardsArn

O ARN do padrão associado ao controle.

Para o padrão CIS AWS Foundations Benchmark, o campo é. StandardsGuideArn Para os padrões PCI DSS e AWS Foundational Security Best Practices, o campo é. StandardsArn

Esses campos serão removidos em favor dos Compliance.AssociatedStandards se você habilitar as descobertas de controles consolidadas.

StandardsGuideSubscriptionArn ou StandardsSubscriptionArn

O ARN da assinatura padrão da conta.

Para o padrão CIS AWS Foundations Benchmark, o campo é. StandardsGuideSubscriptionArn Para os padrões PCI DSS e AWS Foundational Security Best Practices, o campo é. StandardsSubscriptionArn

Esses campos serão removidos se você habilitar as descobertas de controles consolidadas.

RuleId ou ControlId

O identificador do controle.

Para o padrão CIS AWS Foundations Benchmark, o campo é. RuleId Para outros padrões, o campo é ControlId.

Esses campos serão removidos em favor dos Compliance.SecurityControlId se você habilitar as descobertas de controles consolidadas.

RecommendationUrl

O URL para informações de remediação para o controle. Esse campo será removido em favor dos Remediation.Recommendation.Url se você habilitar as descobertas de controles consolidadas.

RelatedAWSResources:0/name

O nome do recurso associado à descoberta.

RelatedAWSResource:0/type

O tipo de recurso associado ao controle.

StandardsControlArn

O ARN do controle. Esse campo será removido se você habilitar as descobertas de controles consolidadas.

aws/securityhub/ProductName

Para descobertas de controle, o nome do produto éSecurity Hub.

aws/securityhub/CompanyName

Para descobertas de controle, o nome da empresa éAWS.

aws/securityhub/annotation

Uma descrição do problema descoberto pelo controle.

aws/securityhub/FindingId

O identificador da descoberta.

Esse campo não referenciará um padrão se você habilitar as descobertas de controles consolidadas.

Níveis de severidade para resultados de controle

A severidade atribuída a um controle CSPM do Security Hub indica a importância do controle. A severidade de um controle determina o rótulo de severidade atribuído às descobertas do controle.

Critérios de severidade

A severidade de um controle é determinada com base em uma avaliação dos seguintes critérios:

  • É difícil para um agente de ameaças tirar proveito da fraqueza de configuração associada ao controle? A dificuldade é determinada pela quantidade de sofisticação ou complexidade necessária para usar a fraqueza para realizar um cenário de ameaça.

  • Qual é a probabilidade de que a fraqueza leve ao comprometimento de seus recursos Contas da AWS ou de seus recursos? O comprometimento de seus Contas da AWS recursos significa que a confidencialidade, a integridade ou a disponibilidade de seus dados ou AWS infraestrutura estão danificadas de alguma forma. A probabilidade de comprometimento indica a probabilidade de o cenário de ameaça resultar em uma interrupção ou violação de seus recursos ou de seus recursos Serviços da AWS .

Como exemplo, considere os seguintes pontos fracos da configuração:

  • As chaves de acesso do usuário não são trocadas a cada 90 dias.

  • A chave de usuário raiz do IAM existe.

Ambas as fraquezas são igualmente difíceis de serem aproveitadas por um adversário. Em ambos os casos, o adversário pode usar o roubo de credenciais ou algum outro método para adquirir uma chave de usuário. Eles podem então usá-lo para acessar seus recursos de forma não autorizada.

No entanto, a probabilidade de um comprometimento é muito maior se o agente da ameaça adquirir a chave de acesso do usuário raiz, pois isso lhe dá maior acesso. Como resultado, a fraqueza da chave do usuário raiz tem uma severidade maior.

A severidade não leva em conta a criticidade do recurso subjacente. A criticidade é definida como o nível de importância dos recursos associados à descoberta. Por exemplo, um recurso associado a um aplicativo de missão crítica é mais crítico do que aquele associado a testes de não produção. Para capturar informações sobre a criticidade do recurso, use o Criticality campo AWS Security Finding Format (ASFF).

A tabela a seguir mapeia a dificuldade de exploração e a probabilidade de comprometimento dos rótulos de segurança.

Comprometimento altamente provável

Comprometimento provável

Comprometimento improvável

Comprometimento altamente improvável

Muito fácil de explorar

Crítico

Crítico

Alto

Médio

Um pouco fácil de explorar

Crítico

Alto

Médio

Médio

Um pouco difícil de explorar

Alto

Médio

Médio

Baixo

Muito difícil de explorar

Médio

Médio

Baixo

Baixo

Definições de severidade

Os rótulos de severidade são definidos da seguinte forma.

Crítico: o problema deve ser corrigido imediatamente para evitar que seja escalonado.

Por exemplo, um bucket do S3 aberto é considerado uma descoberta de gravidade crítica. Como muitos atores maliciosos buscam buckets do S3 abertos, é provável que os dados em um bucket do S3 exposto sejam descobertos e acessados por outros.

Em geral, os recursos acessíveis ao público são considerados problemas críticos de segurança. Você deve tratar as descobertas críticas com a máxima urgência. Você também deve considerar a importância do recurso.

Alto: o problema deve ser tratado como prioridade de curto prazo.

Por exemplo, se um grupo de segurança VPC padrão estiver aberto ao tráfego de entrada e saída, ele será considerado de alta severidade. É um pouco fácil para um agente de ameaças comprometer uma VPC usando esse método. Também é provável que o agente da ameaça consiga interromper ou exfiltrar recursos quando eles estiverem na VPC.

O Security Hub CSPM recomenda que você trate uma constatação de alta gravidade como uma prioridade de curto prazo. Você deve tomar medidas imediatas de correção. Você também deve considerar a importância do recurso.

Médio: a questão deve ser tratada como uma prioridade de médio prazo.

Por exemplo, a falta de criptografia para dados em trânsito é considerada uma descoberta de severidade média. É necessário um man-in-the-middle ataque sofisticado para tirar proveito dessa fraqueza. Em outras palavras, é um pouco difícil. É provável que alguns dados sejam comprometidos se o cenário de ameaça for bem-sucedido.

O Security Hub CSPM recomenda que você investigue o recurso implicado o mais rápido possível. Você também deve considerar a importância do recurso.

Baixo: o problema não requer ação por conta própria.

Por exemplo, a falha na coleta de informações forenses é considerada de baixa severidade. Esse controle pode ajudar a evitar futuros compromissos, mas a ausência de perícia não leva diretamente a um comprometimento.

Você não precisa tomar medidas imediatas em relação às descobertas de baixa severidade, mas elas podem fornecer contexto quando você as correlaciona com outros problemas.

Informativo: nenhuma falha de configuração foi encontrada.

Em outras palavras, o status é PASSED, WARNING ou NOT AVAILABLE.

Não há ação recomendada. As descobertas informativas ajudam os clientes a demonstrar que estão em um estado de conformidade.