本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
計算安全分數
在 AWS Security Hub CSPM 主控台上,摘要頁面和控制頁面會顯示所有已啟用標準的摘要安全分數。在安全標準頁面上,Security Hub CSPM 也會為每個啟用的標準顯示 0-100% 的安全分數。
當您第一次啟用 Security Hub CSPM 時,Security Hub CSPM 會在您第一次造訪主控台的摘要或安全標準頁面後 30 分鐘內計算摘要安全分數和標準安全分數。只會針對您在主控台上造訪這些頁面時啟用的標準產生分數。此外, AWS Config 必須設定資源記錄,才能顯示分數。摘要安全分數是標準安全分數的平均值。若要檢閱目前啟用的標準清單,您可以使用 Security Hub CSPM API 的 GetEnabledStandards 操作。
第一次產生分數後,Security Hub CSPM 會每 24 小時更新一次安全性分數。Security Hub CSPM 會顯示時間戳記,指出上次更新安全分數的時間。請注意,在中國區域和 中,首次產生安全分數最多可能需要 24 小時 AWS GovCloud (US) Regions。
如果您開啟合併控制問題清單,可能需要長達 24 小時才能更新您的安全性分數。此外,啟用新的彙總區域或更新連結的區域會重設現有的安全分數。Security Hub CSPM 最多可能需要 24 小時才能產生新的安全分數,其中包含來自更新區域的資料。
計算安全分數的方法
安全性分數代表通過控制與已啟用控制的比例。分數會以百分比顯示,四捨五入或向下到最接近的整數。
Security Hub CSPM 會計算所有已啟用標準的摘要安全分數。Security Hub CSPM 也會計算每個啟用標準的安全分數。為了計算分數,啟用的控制項包括狀態為通過、失敗和未知的控制項。狀態為 的控制項 分數計算不會排除任何資料。
Security Hub CSPM 會在計算控制狀態時忽略封存和隱藏的問題清單。這可能會影響安全分數。例如,如果您隱藏控制項的所有失敗問題清單,則其狀態會變成通過,進而改善您的安全分數。如需控制狀態的詳細資訊,請參閱 評估合規狀態和控制狀態。
評分範例:
| 標準 | 傳遞控制項 | 失敗的控制項 | 不明控制項 | 標準分數 |
|---|---|---|---|---|
|
AWS 基礎安全最佳實務 1.0.0 版 |
168 |
22 |
0 |
88% |
|
CIS AWS Foundations Benchmark 1.4.0 版 |
8 |
29 |
0 |
22% |
|
CIS AWS Foundations Benchmark 1.2.0 版 |
6 |
35 |
0 |
15% |
|
NIST 特別出版物 800-53 修訂版 5 |
159 |
56 |
0 |
74% |
|
PCI DSS v3.2.1 |
28 |
17 |
0 |
62% |
計算摘要安全分數時,Security Hub CSPM 只會跨標準計算每個控制項一次。例如,如果您已啟用適用於三個已啟用標準的控制項,則它僅計為一個已啟用的控制項,用於評分目的。
在此範例中,雖然跨已啟用標準啟用的控制項總數為 528,但 Security Hub CSPM 只會針對評分目的計算每個唯一控制項一次。唯一啟用的控制項數量可能低於 528。如果我們假設唯一啟用的控制項數目為 515,而唯一傳遞的控制項數目為 357,則摘要分數為 69%。此分數的計算方式是將唯一傳遞的控制項數量除以唯一啟用的控制項數量。
您可能有一個與標準安全分數不同的摘要分數,即使您在目前區域中只啟用了帳戶中的一個標準。如果您登入管理員帳戶,且成員帳戶已啟用其他標準或不同標準,則可能會發生這種情況。如果您從彙總區域檢視分數,並在連結區域中啟用其他標準或不同標準,也會發生這種情況。
管理員帳戶的安全分數
如果您已登入管理員帳戶,則管理員帳戶和所有成員帳戶中的控制狀態的摘要安全分數和標準分數帳戶。
如果甚至一個成員帳戶中的控制項狀態為失敗,則其在管理員帳戶中的狀態為失敗,並影響管理員帳戶分數。
如果您已登入管理員帳戶,且正在檢視彙總區域中的分數,則安全分數會考慮所有成員帳戶和所有連結區域中的控制狀態。
如果您已設定彙總區域,安全性分數
如果您已設定彙總 AWS 區域,則摘要安全分數和標準分數會考慮所有 中的控制狀態 連結的區域。
如果甚至一個連結區域中的控制項狀態為失敗,則其狀態在彙總區域中為失敗,並影響彙總區域分數。
如果您已登入管理員帳戶,且正在檢視彙總區域中的分數,則安全分數會考慮所有成員帳戶和所有連結區域中的控制狀態。
