As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Calcular pontuações de segurança
No console CSPM do AWS Security Hub, a página Resumo e a página Controles exibem uma pontuação de segurança resumida em todos os padrões habilitados. Na página Padrões de segurança, o CSPM do Security Hub também exibe uma pontuação de segurança de 0 a 100% para cada padrão habilitado.
Quando você habilita o CSPM do Security Hub pela primeira vez, ele calcula a pontuação de segurança resumida e as pontuações de segurança padrão dentro de 30 minutos após sua primeira visita à página Resumo ou à página Padrões de segurança no console. As pontuações são geradas somente para padrões que estejam habilitados quando você visita essas páginas no console. Além disso, a gravação de recursos do AWS Config deve ser configurada para que as pontuações sejam exibidas. A pontuação de segurança resumida é a média das pontuações de segurança padrão. Para revisar uma lista de padrões atualmente habilitados, você pode usar a GetEnabledStandardsoperação da API CSPM do Security Hub.
Após a primeira geração de pontuação, o CSPM do Security Hub atualizará as pontuações de segurança a cada 24 horas. O CSPM do Security Hub exibe um timestamp para indicar quando uma pontuação de segurança foi atualizada pela última vez. Observe que pode levar até 24 horas para que as pontuações de segurança sejam geradas pela primeira vez nas regiões da China e AWS GovCloud (US) Regions.
Se você ativar as descobertas de controle consolidadas, poderá levar até 24 horas para que suas pontuações de segurança sejam atualizadas. Além disso, habilitar uma nova região de agregação ou atualizar regiões vinculadas redefine as pontuações de segurança existentes. Pode levar até 24 horas para que o CSPM do Security Hub gere novas pontuações de segurança que incluam dados das regiões atualizadas.
Método de cálculo das pontuações de segurança
A pontuação de segurança representa a proporção de controles no estado Aprovado para controles habilitados. A pontuação é exibida como uma porcentagem arredondada para cima ou para baixo para o número inteiro mais próximo.
O CSPM do Security Hub calcula uma pontuação de segurança resumida em todos os seus padrões habilitados. O CSPM do Security Hub também calcula uma pontuação de segurança para cada padrão habilitado. Para fins de cálculo de pontuação, os controles habilitados incluem controles com status de Aprovado, Falha e Desconhecido. Os controles com o status Sem dados são excluídos do cálculo da pontuação.
O CSPM do Security Hub ignora descobertas arquivadas e suprimidas ao calcular o status do controle. Isso pode afetar as pontuações de segurança. Por exemplo, se você suprimir todas as descobertas com falhas de um controle, seu status se tornará Aprovado, o que, por sua vez, pode melhorar suas pontuações de segurança. Para obter mais informações sobre status de controle, consulte Avaliação do status de conformidade e do status de controle.
Exemplo de pontuação:
| Standard | Controles aprovados | Falha nos controles | Controles desconhecidos | Pontuação padrão |
|---|---|---|---|---|
|
AWSMelhores práticas básicas de segurança v1.0.0 |
168 |
22 |
0 |
88% |
|
Referência do CIS AWS Foundations v1.4.0 |
8 |
29 |
0 |
22% |
|
Referência do CIS AWS Foundations v1.2.0 |
6 |
35 |
0 |
15% |
|
Publicação especial 800-53 do NIST Revisão 5 |
159 |
56 |
0 |
74% |
|
PCI DSS v3.2.1 |
28 |
17 |
0 |
62% |
Ao calcular a pontuação resumida de segurança, o CSPM do Security Hub conta cada controle apenas uma vez em todos os padrões. Por exemplo, se você ativou um controle que se aplica a três padrões ativados, ele conta apenas como um controle ativado para fins de pontuação.
Neste exemplo, embora o número total de controles habilitados em todos os padrões habilitados seja 528, o CSPM do Security Hub conta cada controle exclusivo apenas uma vez para fins de pontuação. O número de controles ativados exclusivos provavelmente é menor que 528. Se assumirmos que o número de controles exclusivos ativados é 515 e o número de controles exclusivos aprovados é 357, a pontuação resumida é 69%. Essa pontuação é calculada dividindo o número de controles exclusivos aprovados pelo número de controles exclusivos habilitados.
É possível ter uma pontuação resumida diferente da pontuação de segurança padrão, mesmo que tenha habilitado apenas um padrão em sua conta na região atual. Isso pode ocorrer se você estiver conectado a uma conta de administrador e as contas de membros tiverem padrões adicionais ou padrões diferentes habilitados. Isso também pode ocorrer se você estiver visualizando a pontuação da região de agregação e padrões adicionais ou padrões diferentes estiverem habilitados nas regiões vinculadas.
Pontuações de segurança para contas de administrador
Se você estiver conectado a uma conta de administrador, a pontuação de segurança resumida e a pontuação padrão contam com os status de controle na conta do administrador e em todas as contas dos membros.
Se o status de um controle for Falha em até mesmo uma conta de membro, seu status será Falha na conta do administrador e afetará as pontuações da conta do administrador.
Se você estiver conectado a uma conta de administrador e estiver visualizando pontuações em uma região de agregação, as pontuações de segurança representam os status de controle em todas as contas de membros e em todas as regiões vinculadas.
Pontuações de segurança se você tiver definido uma região de agregação
Se você definiu uma agregaçãoRegião da AWS, a pontuação de segurança resumida e a pontuação padrão são responsáveis pelos status de controle em todos Regiões vinculadas.
Se o status de um controle for Falha em até mesmo uma região vinculada, seu status será Falha na região de agregação e afetará as pontuações da região de agregação.
Se você estiver conectado a uma conta de administrador e estiver visualizando pontuações em uma região de agregação, as pontuações de segurança representam os status de controle em todas as contas de membros e em todas as regiões vinculadas.
