評估合規狀態和控制狀態 - AWS Security Hub
評估 Security Hub CSPM 調查結果的合規狀態從合規狀態衍生控制狀態

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

評估合規狀態和控制狀態

安全性 AWS 調查結果格式Compliance.Status的欄位說明控制調查結果的結果。 AWS Security Hub Cloud Security Posture Management (CSPM) 會使用控制調查結果的合規狀態來判斷整體控制狀態。控制項狀態會顯示在 Security Hub CSPM 主控台上控制項的詳細資訊頁面上。

評估 Security Hub CSPM 調查結果的合規狀態

每個調查結果的合規狀態會指派下列其中一個值:

  • PASSED – 表示控制項已通過調查結果的安全檢查。這會自動將 Security Hub CSPM Workflow.Status設定為 RESOLVED

  • FAILED – 表示控制項未通過調查結果的安全檢查。

  • WARNING – 表示 Security Hub CSPM 無法判斷資源是否處於 PASSEDFAILED 狀態。例如,對應的AWS Config 資源類型不會開啟資源記錄

  • NOT_AVAILABLE – 表示無法完成檢查,因為伺服器失敗、資源已刪除,或 AWS Config 評估結果為 NOT_APPLICABLE。如果 AWS Config 評估結果為 NOT_APPLICABLE,Security Hub CSPM 會自動封存問題清單。

如果調查結果的合規狀態從 變更為 PASSED FAILEDWARNINGNOT_AVAILABLE,且Workflow.StatusNOTIFIEDRESOLVED,則 Security Hub CSPM 會自動Workflow.Status變更為 NEW

如果您沒有與控制項對應的資源,Security Hub CSPM 會在帳戶層級產生PASSED問題清單。如果您有對應至控制項的資源,但接著刪除資源,Security Hub CSPM 會建立NOT_AVAILABLE問題清單並立即將其封存。18 小時後,您會收到PASSED調查結果,因為您不再有與控制項對應的資源。

從合規狀態衍生控制狀態

Security Hub CSPM 會從控制調查結果的合規狀態衍生整體控制狀態。判斷控制狀態時,Security Hub CSPM 會忽略具有 RecordState的調查結果,ARCHIVED以及具有 Workflow.Status的調查結果SUPPRESSED

控制狀態會獲指派下列其中一個值:

  • 已傳遞 – 表示所有調查結果的合規狀態為 PASSED

  • 失敗 – 表示至少一個調查結果的合規狀態為 FAILED

  • 未知 – 表示至少一個調查結果的合規狀態為 WARNINGNOT_AVAILABLE。沒有任何調查結果的合規狀態為 FAILED

  • 無資料 – 表示沒有控制項的問題清單。例如,新啟用的控制項具有此狀態,直到 Security Hub CSPM 開始為其產生問題清單為止。如果控制項的所有調查結果都為 SUPPRESSED 或無法在目前的 中使用,則控制項也會有此狀態 AWS 區域。

  • 已停用 – 表示控制項在目前帳戶和區域中已停用。目前未針對目前帳戶和區域中的此控制項執行任何安全檢查。不過,停用控制項的調查結果在停用後最多 24 小時內可能會有合規狀態的值。

對於管理員帳戶,控制狀態反映管理員帳戶和成員帳戶的控制狀態。具體而言,如果控制項在管理員帳戶或任何成員帳戶中有一或多個失敗的問題清單,則控制項的整體狀態會顯示為失敗。如果您已設定彙總區域,則彙總區域中的控制項狀態會反映彙總區域和連結區域中的控制項狀態。具體而言,如果控制項在彙總區域或任何連結區域中有一或多個失敗的問題清單,則控制項的整體狀態會顯示為失敗

Security Hub CSPM 通常會在您第一次造訪 Security Hub CSPM 主控台的摘要頁面或安全標準頁面後 30 分鐘內產生初始控制狀態。您必須設定AWS Config 資源記錄,才能顯示控制項狀態。第一次產生控制狀態之後,Security Hub CSPM 會根據過去 24 小時的調查結果,每 24 小時更新一次控制狀態。控制項詳細資訊頁面上的時間戳記指出上次更新控制項狀態的時間。

注意

第一次啟用控制項之後,在中國區域和 中產生控制項狀態最多可能需要 24 小時 AWS GovCloud (US) Region。