Determinación del estado general de un control a partir de sus hallazgos - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Determinación del estado general de un control a partir de sus hallazgos

Security Hub utiliza elCompliance.Statusvalor de los hallazgos de cada control para determinar el estado general del control. El estado general se muestra en la lista de control de un estándar y en la página de detalles del control.

Para las cuentas de administrador, el estado de control refleja el estado agregado de la cuenta de administrador y de todas las cuentas de miembros. Si ha establecido una región de agregación, los estados de control en la región de agregación reflejan los estados de control de todas las regiones vinculadas. En concreto, el estado general de un control aparece comoFailed (Error)si el control tiene una o más constataciones fallidas en al menos una cuenta y una región vinculada.

Por lo general, Security Hub genera el estado de control inicial dentro de los 30 minutos posteriores a la primera visita alResumenpage (o)Estándares de seguridaden la consola de Security Hub. Los estados solo están disponibles para los controles que están habilitados cuando visitas esas páginas. UsarUpdateStandardsControlOperación de la API para habilitar o deshabilitar un control. Además,AWS Configel registro de recursos debe estar configurado para que aparezca el estado de control. Después de generar los estados de control por primera vez, Security Hub actualiza el estado del control cada 24 horas en función de los resultados de las 24 horas anteriores. En la página de detalles del control, Security Hub muestra una marca de tiempo para indicar cuándo se actualizó por última vez el estado de un control.

nota

Puede tardar hasta 24 horas después de activar la generación de un control para los estados de control por primera vez en las regiones de China yAWS GovCloud (US) Region.

Valores paraCompliance.Status

LaCompliance.Statuspara cada hallazgo se le ha asignado uno de los siguientes valores.

  • PASSED— Configura automáticamente Security HubWorkflow.StatusaRESOLVED.

    SiCompliance.Statuspara un hallazgo cambia dePASSEDaFAILED,WARNING, o bienNOT_AVAILABLE; yWorkflow.Statusfue con cualquiera deNOTIFIEDoRESOLVEDy, a continuación, Security Hub establece automáticamenteWorkflow.StatusaNEW.

  • FAILED: indica que el control no pasó la comprobación de seguridad para este hallazgo.

  • WARNING: indica que la comprobación se ha completado, pero Security Hub no puede determinar si el recurso se encuentra en unPASSEDoFAILEDestado.

  • NOT_AVAILABLE: indica que la comprobación no se ha podido completar por un error del servidor, porque se eliminó el recurso, o porque se eliminó elAWS ConfigLa evaluación de fueNOT_APPLICABLE.

    Si el archivo deAWS Configresultado de la evaluación fueNOT_APPLICABLEy, a continuación, Security Hub archiva automáticamente el hallazgo.

Valores para el estado del control

Security Hub utiliza el estado de cumplimiento de los resultados del control para calcular un estado de control general. Cuando calcula el estado de control general, Security Hub ignora los hallazgos que tienen unWorkflow.StatusdeSUPPRESSED.

Los valores disponibles para el estado de control general son los siguientes:

  • Passed: indica que todos los hallazgos tienen unCompliance.StatusdePASSED.

  • Failed (Error): indica que al menos un hallazgo tiene unCompliance.StatusdeFAILED.

  • Desconocido: indica que al menos un hallazgo tiene unCompliance.StatusdeWARNINGoNOT_AVAILABLE. No hay hallazgos FAILED.

  • Sin datos: indica que no hay resultados para el control. Por ejemplo, un control nuevo tiene este estado hasta que comienza a generar resultados. Un control también tiene este estado si todos los hallazgos sonSUPPRESSED.

  • Discapacitado: indica que el control está desactivado en la cuenta y región de actuales. Esto significa que actualmente no se están realizando comprobaciones de seguridad para este control en esta cuenta y región.