本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 產生和更新控制問題清單
<a name="controls-findings-create-update"></a>

AWS 當 Security Hub CSPM 針對安全控制執行檢查時，會產生和更新控制問題清單。控制問題清單使用[AWS 安全問題清單格式 (ASFF)](securityhub-findings-format.md)。

Security Hub CSPM 通常會針對控制項的每個安全檢查收取費用。不過，如果多個控制項使用相同的 AWS Config 規則，Security Hub CSPM 只會針對每個針對規則的檢查收取一次費用。例如，CIS AWS Foundations Benchmark 標準和 AWS 基礎安全最佳實務標準中的多個控制項會使用 AWS Config `iam-password-policy`規則。每次 Security Hub CSPM 針對該規則執行檢查時，都會為每個相關控制項產生個別的控制調查結果，但檢查只會收取一次費用。

如果控制項調查結果的大小超過 240 KB 的上限，Security Hub CSPM 會從調查結果中移除`Resource.Details`物件。對於資源 AWS Config 支援的控制項，您可以使用 AWS Config 主控台來檢閱資源詳細資訊。

**Topics**
+ [合併的控制問題清單](#consolidated-control-findings)
+ [產生、更新和封存控制問題清單](#securityhub-standards-results-updating)
+ [自動化和抑制控制問題清單](#automation-control-findings)
+ [控制問題清單的合規詳細資訊](#control-findings-asff-compliance)
+ [控制問題清單的 ProductFields 詳細資訊](#control-findings-asff-productfields)
+ [控制問題清單的嚴重性等級](#control-findings-severity)

## 合併的控制問題清單
<a name="consolidated-control-findings"></a>

如果您的帳戶已啟用合併控制調查結果，即使控制項適用於多個已啟用的標準，Security Hub CSPM 仍會為每個控制項的安全檢查產生單一調查結果或調查結果更新。如需控制項及其適用的標準清單，請參閱 [Security Hub CSPM 的控制項參考](securityhub-controls-reference.md)。我們建議您啟用合併控制調查結果，以減少調查結果的雜訊。

如果您在 2023 年 2 月 23 AWS 帳戶 日之前為 啟用 Security Hub CSPM，您可以按照本節稍後的說明啟用合併控制問題清單。如果您在 2023 年 2 月 23 日或之後啟用 Security Hub CSPM，則會自動為您的帳戶啟用合併控制問題清單。

如果您透過[手動邀請程序](account-management-manual.md)使用 [Security Hub CSPM 與 或受邀成員帳戶整合 AWS Organizations](securityhub-accounts-orgs.md)，則只有在成員帳戶啟用管理員帳戶時，才會為成員帳戶啟用合併控制問題清單。如果停用管理員帳戶的功能，則會停用成員帳戶的功能。此行為適用於新的和現有的成員帳戶。此外，如果管理員使用[中央組態](central-configuration-intro.md)來管理多個帳戶的 Security Hub CSPM，則無法使用中央組態政策來啟用或停用帳戶的合併控制問題清單。

如果您停用帳戶的合併控制問題清單，Security Hub CSPM 會為每個已啟用且包含控制項的標準產生或更新個別的控制問題清單。例如，如果您啟用四個共用控制項的標準，您會在控制項安全檢查後收到四個單獨的問題清單。如果您啟用合併控制調查結果，則只會收到一個調查結果。

當您啟用合併控制調查結果時，Security Hub CSPM 會建立新的標準獨立調查結果，並封存原始標準型調查結果。有些控制項問題清單欄位和值將會變更，這可能會影響您現有的工作流程。如需這些變更的詳細資訊，請參閱 [合併控制調查結果 – ASFF 變更](asff-changes-consolidation.md#securityhub-findings-format-consolidated-control-findings)。啟用合併控制調查結果也可能影響整合的第三方產品從 Security Hub CSPM 收到的調查結果。如果您使用 v[2 AWS .0.0 上的自動安全回應](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/)解決方案，請注意它支援合併的控制問題清單。

若要啟用或停用合併控制調查結果，您必須登入管理員帳戶或獨立帳戶。

**注意**  
啟用合併控制調查結果後，Security Hub CSPM 最多可能需要 24 小時才能產生新的合併調查結果，並封存現有的標準型調查結果。同樣地，停用合併控制問題清單後，Security Hub CSPM 最多可能需要 24 小時才能產生新的標準問題清單，並封存現有的合併問題清單。在這些期間，您可能會在帳戶中看到標準無關和標準型問題清單的混合。

------
#### [ Security Hub CSPM console ]

**啟用或停用合併控制問題清單**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

1. 在導覽窗格中，於 **Settings (設定)** 下選擇 **General (一般)**。

1. 在**控制項**區段中，選擇**編輯**。

1. 使用**合併控制問題清單**切換來啟用或停用合併控制問題清單。

1. 選擇**儲存**。

------
#### [ Security Hub CSPM API ]

若要以程式設計方式啟用或停用合併控制問題清單，請使用 Security Hub CSPM API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html)的操作。或者，如果您使用的是 AWS CLI，請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html)命令。

針對 `control-finding-generator` 參數，指定 `SECURITY_CONTROL`以啟用合併的控制項問題清單。若要停用合併控制調查結果，請指定 `STANDARD_CONTROL`。

例如，下列 AWS CLI 命令會啟用合併的控制問題清單。

```
$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL
```

下列 AWS CLI 命令會停用合併的控制問題清單。

```
$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL
```

------

## 產生、更新和封存控制問題清單
<a name="securityhub-standards-results-updating"></a>

Security Hub CSPM 會依[排程](securityhub-standards-schedule.md)執行安全檢查。第一次 Security Hub CSPM 執行控制項的安全檢查時，它會為控制項檢查的每個 AWS 資源產生新的問題清單。每次 Security Hub CSPM 隨後執行控制項的安全檢查時，都會更新現有的調查結果以報告檢查結果。這表示您可以使用個別調查結果提供的資料，根據特定控制項追蹤特定資源的合規變更。

例如，如果特定控制項的資源合規狀態從 變更為 `FAILED` `PASSED` ，Security Hub CSPM 不會產生新的調查結果。相反地，Security Hub CSPM 會更新控制項和資源的現有問題清單。在調查結果中，Security Hub CSPM 會將合規狀態 (`Compliance.Status`) 欄位的值變更為 `PASSED`。Security Hub CSPM 也會更新其他欄位的值，以反映檢查的結果，例如嚴重性標籤、工作流程狀態和時間戳記，指出 Security Hub CSPM 最近何時執行檢查並更新調查結果。

報告合規狀態變更時，Security Hub CSPM 可能會更新控制調查結果中的下列任何欄位：
+ `Compliance.Status` – 指定控制項之資源的新合規狀態。
+ `FindingProviderFields.Severity.Label` – 問題清單嚴重性的新定性表示法，例如 `LOW`、 `MEDIUM`或 `HIGH`。
+ `FindingProviderFields.Severity.Original` – 調查結果嚴重性的新量化表示，例如`0`合規資源。
+ `FirstObservedAt` – 資源的合規狀態最近變更時。
+ `LastObservedAt` – 當 Security Hub CSPM 最近針對指定的控制項和資源執行安全檢查時。
+ `ProcessedAt` – Security Hub CSPM 最近開始處理問題清單時。
+ `ProductFields.PreviousComplianceStatus` – 指定控制項之資源的先前合規狀態 (`Compliance.Status`)。
+ `UpdatedAt` – Security Hub CSPM 最近更新問題清單時。
+ `Workflow.Status` – 根據指定控制項之資源的新合規狀態，調查調查結果的狀態。

Security Hub CSPM 是否會更新欄位，主要取決於適用控制項和資源的最新安全性檢查結果。例如，如果特定控制項的資源合規狀態從 `PASSED` 變更為 `FAILED` ，Security Hub CSPM 會將調查結果的工作流程狀態變更為 `NEW`。若要追蹤個別問題清單的更新，您可以參考問題清單的歷史記錄。如需調查結果中個別欄位的詳細資訊，請參閱[AWS 安全調查結果格式 (ASFF)](securityhub-findings-format.md)。

在某些情況下，Security Hub CSPM 會為控制項的後續檢查產生新的問題清單，而不是更新現有的問題清單。如果支援控制項的 AWS Config 規則發生問題，就可能發生這種情況。如果發生這種情況，Security Hub CSPM 會封存現有的問題清單，並為每個檢查產生新的問題清單。在新調查結果中，合規狀態為 `NOT_AVAILABLE`，記錄狀態為 `ARCHIVED`。解決 AWS Config 規則的問題後，Security Hub CSPM 會產生新的問題清單，並開始更新這些問題清單，以追蹤個別資源的合規狀態後續變更。

除了產生和更新控制調查結果之外，Security Hub CSPM 也會自動封存符合特定條件的控制調查結果。如果停用控制項、刪除指定的資源，或指定的資源不再存在，Security Hub CSPM 會封存問題清單。資源可能不再存在，因為已不再使用相關聯的服務。更具體地說，如果問題清單符合下列其中一項條件，Security Hub CSPM 會自動封存控制問題清單：
+ 問題清單已有 3-5 天未更新。請注意，基於此時間範圍的封存是以最佳努力為基礎，不保證。
+ 針對指定資源的`NOT_APPLICABLE`合規狀態傳回的相關聯 AWS Config 評估。

若要判斷問題清單是否已封存，您可以參考問題清單的記錄狀態 (`RecordState`) 欄位。如果問題清單已封存，此欄位的值為 `ARCHIVED`。

Security Hub CSPM 會將封存的控制調查結果存放 30 天。30 天後，問題清單會過期，而 Security Hub CSPM 會永久刪除問題清單。為了判斷封存的控制項調查結果是否已過期，Security Hub CSPM 會根據調查結果`UpdatedAt`欄位的值來計算。

若要存放封存的控制調查結果超過 30 天，您可以將調查結果匯出至 S3 儲存貯體。您可以搭配 Amazon EventBridge 規則使用自訂動作來執行此操作。如需詳細資訊，請參閱[使用 EventBridge 進行自動回應和修復](securityhub-cloudwatch-events.md)。

**注意**  
在 2025 年 7 月 3 日之前，當控制項的資源合規狀態變更時，Security Hub CSPM 會以不同的方式產生和更新控制項調查結果。先前，Security Hub CSPM 建立了新的控制調查結果，並封存了資源的現有調查結果。因此，您可能會針對特定控制項和資源有多個封存的問題清單，直到這些問題清單過期為止 (30 天後）。

## 自動化和抑制控制問題清單
<a name="automation-control-findings"></a>

您可以使用 Security Hub CSPM 自動化規則來更新或隱藏特定控制問題清單。如果您隱藏問題清單，您可以繼續存取問題清單。不過，隱藏表示您相信不需要採取任何動作來解決問題清單。

透過抑制問題清單，您可以減少問題清單的雜訊。例如，您可能會隱藏測試帳戶中產生的控制問題清單。或者，您可以隱藏與特定資源相關的問題清單。若要進一步了解自動更新或隱藏問題清單，請參閱 [了解 Security Hub CSPM 中的自動化規則](automation-rules.md)。

當您想要更新或隱藏特定控制問題清單時，自動化規則是適當的。不過，如果控制項與您的組織或使用案例無關，建議您[停用控制項](disable-controls-overview.md)。如果您停用控制項，Security Hub CSPM 不會對其執行安全檢查，也不會向您收取費用。

## 控制問題清單的合規詳細資訊
<a name="control-findings-asff-compliance"></a>

在控制項安全檢查所產生的調查結果中， AWS 安全調查結果格式 (ASFF) 中的[合規](asff-top-level-attributes.md#asff-compliance)物件和欄位會提供控制項檢查之個別資源的合規詳細資訊。這包括以下資訊：
+ `AssociatedStandards` – 啟用控制項的已啟用標準。
+ `RelatedRequirements` – 所有啟用標準中控制項的相關需求。這些要求衍生自 控制項的第三方安全架構，例如支付卡產業資料安全標準 (PCI DSS) 或 NIST SP 800-171 修訂版 2 標準。
+ `SecurityControlId` – Security Hub CSPM 支援跨標準控制的識別符。
+ `Status` – Security Hub CSPM 為控制項執行的最新檢查結果。先前檢查的結果會保留在調查結果的歷史記錄中。
+ `StatusReasons` – 列出 `Status` 欄位指定值原因的陣列。對於每個原因，這包括原因代碼和描述。

下表列出問題清單可能包含在`StatusReasons`陣列中的原因代碼和描述。修復步驟會根據哪個控制項產生具有指定原因碼的問題清單而有所不同。若要檢閱控制項的修補指引，請參閱 [Security Hub CSPM 的控制項參考](securityhub-controls-reference.md)。


| 原因代碼 | 合規狀態 | Description | 
| --- | --- | --- | 
|  `CLOUDTRAIL_METRIC_FILTER_NOT_VALID`  |  `FAILED`  |  多區域 CloudTrail 追蹤沒有有效的指標篩選條件。  | 
|  `CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT`  |  `FAILED`  |  多區域 CloudTrail 追蹤沒有指標篩選條件。  | 
|  `CLOUDTRAIL_MULTI_REGION_NOT_PRESENT`  |  `FAILED`  |  帳戶沒有具有所需組態的多區域 CloudTrail 追蹤。  | 
|  `CLOUDTRAIL_REGION_INVAILD`  |  `WARNING`  |  多區域 CloudTrail 追蹤不在目前的區域中。  | 
|  `CLOUDWATCH_ALARM_ACTIONS_NOT_VALID`  |  `FAILED`  |  沒有有效的警示動作。  | 
|  `CLOUDWATCH_ALARMS_NOT_PRESENT`  |  `FAILED`  |  CloudWatch 警示不存在於帳戶中。  | 
|  `CONFIG_ACCESS_DENIED`  |  `NOT_AVAILABLE` AWS Config 狀態為 `ConfigError`  |  AWS Config 存取遭拒。 確認 AWS Config 已啟用，且已獲得足夠的許可。  | 
|  `CONFIG_EVALUATIONS_EMPTY`  |  `PASSED`  |  AWS Config 根據 規則評估您的 資源。 此規則不適用於其範圍內 AWS 的資源、已刪除指定的資源，或已刪除評估結果。  | 
|  `CONFIG_RECORDER_CUSTOM_ROLE`  |  `FAILED` （適用於 Config.1)  |   AWS Config 記錄器使用自訂 IAM 角色而非 AWS Config 服務連結角色，而且 Config.1 的`includeConfigServiceLinkedRoleCheck`自訂參數未設定為 。 `false`  | 
|  `CONFIG_RECORDER_DISABLED`  |  `FAILED` （適用於 Config.1)  |  AWS Config 未在組態記錄器開啟的情況下啟用。  | 
|  `CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES`  |  `FAILED` （適用於 Config.1)  |  AWS Config 不會記錄對應至已啟用 Security Hub CSPM 控制項的所有資源類型。開啟下列資源的錄製：*未錄製的資源*。  | 
|  `CONFIG_RETURNS_NOT_APPLICABLE`  |  `NOT_AVAILABLE`  |  合規狀態為 ，`NOT_AVAILABLE`因為 AWS Config 傳回**的狀態為不適用**。 AWS Config 不提供狀態的原因。以下是**不適用**狀態的一些可能原因： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/controls-findings-create-update.html)  | 
|  `CONFIG_RULE_EVALUATION_ERROR`  |  `NOT_AVAILABLE` AWS Config 狀態為 `ConfigError`  |  這個原因代碼用於數種不同類型的評估錯誤。 此描述會提供特定的原因資訊。 錯誤類型可以是下列其中一項： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/controls-findings-create-update.html)  | 
|  `CONFIG_RULE_NOT_FOUND`  |  `NOT_AVAILABLE` AWS Config 狀態為 `ConfigError`  |   AWS Config 規則正在建立中。  | 
|  `INTERNAL_SERVICE_ERROR`  |  `NOT_AVAILABLE`  |  發生未知的錯誤。  | 
|  `LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE`  |  `FAILED`  |  Security Hub CSPM 無法針對自訂 Lambda 執行時間執行檢查。  | 
|  `S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION`  |  `WARNING`  |  調查結果處於 `WARNING` 狀態，因為與此規則相關聯的 S3 儲存貯體位於不同的區域或帳戶中。 此規則不支援跨區域或跨帳戶檢查。 建議您在此區域或帳戶中停用此控制項。只能在資源所在的區域或帳戶中執行。  | 
|  `SNS_SUBSCRIPTION_NOT_PRESENT`  |  `FAILED`  |  CloudWatch Logs 指標篩選條件沒有有效的 Amazon SNS 訂閱。  | 
|  `SNS_TOPIC_CROSS_ACCOUNT`  |  `WARNING`  |  問題清單處於 `WARNING` 狀態。 與此規則相關聯的 SNS 主題由不同的 帳戶擁有。目前帳戶無法取得訂閱資訊。 擁有 SNS 主題的帳戶必須將 SNS 主題的`sns:ListSubscriptionsByTopic`許可授予目前帳戶。  | 
|  `SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION`  |  `WARNING`  |  調查結果處於 `WARNING` 狀態，因為與此規則相關聯的 SNS 主題位於不同的區域或帳戶中。 此規則不支援跨區域或跨帳戶檢查。 建議您在此區域或帳戶中停用此控制項。只能在資源所在的區域或帳戶中執行。  | 
|  `SNS_TOPIC_INVALID`  |  `FAILED`  |  與此規則相關聯的 SNS 主題無效。  | 
|  `THROTTLING_ERROR`  |  `NOT_AVAILABLE`  |  相關 API 操作超過允許的速率。  | 

## 控制問題清單的 ProductFields 詳細資訊
<a name="control-findings-asff-productfields"></a>

在 控制項安全檢查產生的調查結果中， AWS 安全調查結果格式 (ASFF) 中的 [ProductFields](asff-top-level-attributes.md#asff-productfields) 屬性可包含下列欄位。

`ArchivalReasons:0/Description`  
說明 Security Hub CSPM 封存問題清單的原因。  
例如，Security Hub CSPM 會在您停用控制項或標準時封存現有的問題清單，或者啟用或停用[合併的控制項問題清單](#consolidated-control-findings)。

`ArchivalReasons:0/ReasonCode`  
指定 Security Hub CSPM 封存問題清單的原因。  
例如，Security Hub CSPM 會在您停用控制項或標準時封存現有的問題清單，或者啟用或停用[合併的控制項問題清單](#consolidated-control-findings)。

`PreviousComplianceStatus`  
指定控制項之資源的先前合規狀態 (`Compliance.Status`)，截至調查結果的最近更新為止。如果資源的合規狀態未在最近的更新期間變更，則此值與調查結果`Compliance.Status`欄位的值相同。如需可能值的清單，請參閱 [評估合規狀態和控制狀態](controls-overall-status.md)。

`StandardsGuideArn` 或 `StandardsArn`  
與控制項相關聯的標準 ARN。  
針對 CIS AWS Foundations Benchmark 標準， 欄位為 `StandardsGuideArn`。對於 PCI DSS 和 AWS 基礎安全最佳實務標準， 欄位為 `StandardsArn`。  
`Compliance.AssociatedStandards` 如果您啟用[合併控制問題清單](#consolidated-control-findings)，這些欄位會移除。

`StandardsGuideSubscriptionArn` 或 `StandardsSubscriptionArn`  
帳戶對 標準的訂閱 ARN。  
針對 CIS AWS Foundations Benchmark 標準， 欄位為 `StandardsGuideSubscriptionArn`。對於 PCI DSS 和 AWS 基礎安全最佳實務標準， 欄位為 `StandardsSubscriptionArn`。  
如果您啟用[合併控制調查結果](#consolidated-control-findings)，則會移除這些欄位。

`RuleId` 或 `ControlId`  
控制項的識別符。  
對於 CIS AWS Foundations Benchmark 標準的 1.2.0 版， 欄位為 `RuleId`。對於其他標準，包括後續版本的 CIS AWS Foundations Benchmark 標準， 欄位為 `ControlId`。  
`Compliance.SecurityControlId` 如果您啟用[合併的控制問題清單](#consolidated-control-findings)，這些欄位會移除。

`RecommendationUrl`  
控制項的修補資訊 URL。`Remediation.Recommendation.Url` 如果您啟用[合併的控制問題清單](#consolidated-control-findings)，則此欄位會移除。

`RelatedAWSResources:0/name`  
與調查結果相關聯的資源名稱。

`RelatedAWSResource:0/type`  
與控制項相關聯的資源類型。

`StandardsControlArn`  
組態的 ARN。如果您啟用[合併控制調查結果](#consolidated-control-findings)，則會移除此欄位。

`aws/securityhub/ProductName`  
對於控制項調查結果，產品名稱為 `Security Hub`。

`aws/securityhub/CompanyName`  
對於控制項調查結果，公司名稱為 `AWS`。

`aws/securityhub/annotation`  
控制項所發現問題的描述。

`aws/securityhub/FindingId`  
調查結果的識別符。  
如果您啟用[合併控制調查結果](#consolidated-control-findings)，則此欄位不會參考標準。

## 控制問題清單的嚴重性等級
<a name="control-findings-severity"></a>

指派給 Security Hub CSPM 控制項的嚴重性表示控制項的重要性。控制項的嚴重性決定指派給控制項調查結果的嚴重性標籤。

### 嚴重性條件
<a name="securityhub-standards-results-severity-criteria"></a>

控制項的嚴重性取決於下列條件的評估：
+ **威脅行為者利用與控制項相關聯的組態弱點有多困難？** 難度取決於使用弱點來執行威脅案例所需的複雜程度或複雜性。
+ **弱點對您的 AWS 帳戶 或 資源造成損害的可能性有多高？** 入侵您的 AWS 帳戶 或 資源意味著資料或 AWS 基礎設施的機密性、完整性或可用性在某種程度上受損。入侵的可能性表示威脅案例造成 AWS 服務 或 資源中斷或違規的可能性。

例如，請考慮下列組態弱點：
+ 使用者存取金鑰不會每 90 天輪換一次。
+ IAM 根使用者金鑰存在。

對手也同樣難以利用這兩個弱點。在這兩種情況下，對手都可以使用憑證盜竊或其他方法來取得使用者金鑰。然後，他們可以使用它，以未經授權的方式存取您的資源。

不過，如果威脅行為者取得根使用者存取金鑰，則入侵的可能性會更高，因為這樣可以讓他們存取更多。因此，根使用者金鑰弱點的嚴重性較高。

嚴重性不會考慮基礎資源的重要性。關鍵性是與調查結果相關聯之資源的重要性層級。例如，與關鍵任務應用程式相關聯的資源比與非生產測試相關聯的資源更重要。若要擷取資源關鍵性資訊，請使用 AWS 安全調查結果格式 (ASFF) `Criticality`的欄位。

下表映射了難以利用以及入侵安全標籤的可能性。


|  |  |  |  |  | 
| --- |--- |--- |--- |--- |
|    |  **極有可能遭到入侵**  |  **可能遭到入侵**  |  **不太可能遭到入侵**  |  **極不可能入侵**  | 
|  **非常容易利用**  |  嚴重  |  嚴重  |  高  |  中  | 
|  **有點容易利用**  |  嚴重  |  高  |  中  |  中  | 
|  **有些難以利用**  |  高  |  中  |  中  |  低  | 
|  **非常難以利用**  |  中  |  中  |  低  |  低  | 

### 嚴重性定義
<a name="securityhub-standards-results-severity-definitions"></a>

嚴重性標籤的定義如下。

**嚴重 – 問題應該立即修復，以避免升級。**  
舉例來說，開啟的 S3 儲存貯體將視作重大嚴重性問題。由於有許多威脅執行者會掃描開啟的 S3 儲存貯體，因此公開的 S3 儲存貯體中的資料可能會被其他人探索和存取。  
一般而言，可公開存取的資源會被視為重大安全問題。您應該最緊迫地處理關鍵問題清單。您也應該考慮資源的重要性。

**高 – 問題必須以短期優先順序處理。**  
例如，如果預設 VPC 安全群組開放給傳入和傳出流量，則會被視為高嚴重性。威脅行為者使用此方法入侵 VPC 有點容易。一旦資源位於 VPC 中，威脅行為者也可能能夠中斷或滲透資源。  
Security Hub CSPM 建議您將高嚴重性的問題清單視為短期優先順序。您應該立即採取修復步驟。您也應該考慮資源的重要性。

**中 – 問題應該以中期優先順序處理。**  
例如，缺少傳輸中資料的加密會被視為中等嚴重性的問題清單。它需要複雜的man-in-the-middle攻擊，才能利用此弱點。換句話說，這有點困難。如果威脅案例成功，某些資料可能會遭到入侵。  
Security Hub CSPM 建議您儘早調查隱含資源。您也應該考慮資源的重要性。

**低 – 問題不需要自行執行動作。**  
例如，未能收集鑑識資訊視為低嚴重性。此控制有助於防止未來的入侵，但缺少鑑識不會直接導致入侵。  
您不需要對低嚴重性的問題清單立即採取動作，但這些問題可在您與其他問題相互關聯時提供內容。

**資訊 – 找不到組態弱點。**  
換句話說，狀態為 `PASSED`、 `WARNING`或 `NOT AVAILABLE`。  
沒有任何建議的動作。參考性問題清單能協助客戶證明自己處於合規狀態。