Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Determinación del estado general de un control a partir de sus hallazgos
Security Hub utiliza el Compliance.Status
valor de los hallazgos de cada control para determinar el estado general del control. El estado general se muestra en la lista de controles de una norma y en la página de detalles del control.
En el caso de las cuentas de administrador, el estado del control refleja el estado agregado de la cuenta de administrador y de todas las cuentas de los miembros. Si ha establecido una región de agregación, los estados de control de la región de agregación reflejan los estados de control de todas las regiones vinculadas. Concretamente, el estado general de un control aparece como Fallo si el control tiene uno o más hallazgos fallidos en al menos una cuenta y una región vinculada.
Por lo general, Security Hub genera el estado de control inicial 30 minutos después de la primera visita a la página de resumen o a la página de normas de seguridad de la consola de Security Hub. Los estados solo están disponibles para los controles que se activan al visitar esas páginas. Utilice la operación UpdateStandardsControl
de API para habilitar o deshabilitar un control. Además, se debe configurar el registro de AWS Config recursos para que aparezca el estado del control. Una vez generados los estados de control por primera vez, Security Hub actualiza el estado del control cada 24 horas en función de los hallazgos de las 24 horas anteriores. Una marca de tiempo en la página de detalles del control indica cuándo se actualizó el estado de un control por última vez.
nota
Pueden pasar hasta 24 horas después de habilitar un control para que se generen los estados de control por primera vez en las regiones de China y. AWS GovCloud (US) Region
Valores para Compliance.Status
Compliance.Status
Para cada hallazgo se le asigna uno de los siguientes valores.
-
PASSED
— Establece automáticamente el Security HubWorkflow.Status
enRESOLVED
.Si
Compliance.Status
para una búsqueda cambia dePASSED
aFAILED
WARNING
, oNOT_AVAILABLE
; yWorkflow.Status
fueNOTIFIED
oRESOLVED
; entonces Security Hub se estableceWorkflow.Status
automáticamente en 0.NEW
-
FAILED
— Indica que el control no ha superado la comprobación de seguridad correspondiente a este hallazgo. -
WARNING
— Indica que se completó la comprobación, pero Security Hub no puede determinar si el recurso se encuentra enFAILED
estadoPASSED
O. -
NOT_AVAILABLE
— Indica que no se puede completar la comprobación porque se ha producido un error en el servidor, se ha eliminado el recurso o se ha producido el resultado de la AWS Config evaluaciónNOT_APPLICABLE
.Si el resultado AWS Config de la evaluación fue
NOT_APPLICABLE
, Security Hub archiva automáticamente el hallazgo.
Valores del estado de control
Security Hub utiliza el estado de cumplimiento de los hallazgos de control para determinar un estado de control general. Al determinar el estado del control, Security Hub ignora los hallazgos que tienen un RecordState
de ARCHIVED
y los hallazgos que tienen un Workflow.Status
deSUPPRESSED
.
Los valores disponibles para el estado de control general son los siguientes:
-
Aprobado: indica que todos los hallazgos tienen un
Compliance.Status
dePASSED
. -
Fallo: indica que al menos un hallazgo tiene un
Compliance.Status
deFAILED
. -
Desconocido: indica que al menos un hallazgo tiene un valor
Compliance.Status
deWARNING
oNOT_AVAILABLE
. No hay hallazgosFAILED
. -
Sin datos: indica que no hay resultados para el control. Por ejemplo, un control nuevo tiene este estado hasta que comience a generar hallazgos. Un control también tiene este estado si todos los hallazgos lo son
SUPPRESSED
. -
Desactivado: indica que el control está desactivado en la cuenta y la región actuales. Esto significa que actualmente no se están realizando comprobaciones de seguridad para este control en esta cuenta ni en la región. Sin embargo, un control desactivado puede tener un valor
Compliance.Status
de hasta 24 horas después de la desactivación.