Noções básicas sobre verificações e as pontuações de segurança no CSPM do Security Hub

Para cada controle que você habilita, o CSPM do AWS Security Hub executa verificações de segurança. Uma verificação de segurança produz uma descoberta que diz se um determinado recurso do AWS está em conformidade com as regras que o controle inclui.

Algumas verificações são executadas em uma programação periódica. Outras verificações são executadas somente quando há uma alteração no estado do recurso. Para obter mais informações, consulte Programar a execução de verificações de segurança.

Muitas verificações de segurança usam regras AWS Config gerenciadas ou personalizadas para estabelecer os requisitos de conformidade. Para executar essas verificações, é necessário configurar o AWS Config e ativar o registro de recursos para os recursos necessários. Para obter mais informações sobre a configuração do AWS Config, consulte Habilitação e configuração do CSPM do AWS Config Security Hub. Para obter uma lista de recursos do AWS Config que devem ser registrados para cada padrão, consulte Recursos AWS Config necessários para descobertas de controle. Outros controles usam funções do Lambda personalizadas, que são gerenciadas pelo CSPM do Security Hub e não exigem nenhum pré-requisito.

À medida que o CSPM do Security Hub executa verificações de segurança, ele gera descobertas e atribui a elas um status de conformidade. Para obter mais informações sobre o status de conformidade, consulte Avaliação do status de conformidade das descobertas do CSPM do Security Hub.

O CSPM do Security Hub usa o status de conformidade das descobertas de controle para determinar um status geral de controle. Com base no status de controle, o CSPM do Security Hub também calcula uma pontuação de segurança para todos os controles habilitados e para os padrões específicos. Para obter mais informações, consulte Avaliação do status de conformidade e do status de controle e Calcular pontuações de segurança.

Se você ativou as descobertas de controle consolidadas, o CSPM do Security Hub gerará uma única descoberta mesmo quando um controle estiver associado a mais de um padrão. Para obter mais informações, consulte Descobertas de controle consolidadas.