Determinación del estado general de un control a partir de sus hallazgos

Security Hub utiliza el Compliance.Status valor de los hallazgos de cada control para determinar el estado general del control. El estado general se muestra en la lista de controles de una norma y en la página de detalles del control.

En el caso de las cuentas de administrador, el estado del control refleja el estado agregado de la cuenta de administrador y de todas las cuentas de los miembros. Si ha establecido una región de agregación, los estados de control de la región de agregación reflejan los estados de control de todas las regiones vinculadas. Concretamente, el estado general de un control aparece como Fallo si el control tiene uno o más hallazgos fallidos en al menos una cuenta y una región vinculada.

Por lo general, Security Hub genera el estado de control inicial 30 minutos después de la primera visita a la página de resumen o a la página de normas de seguridad de la consola de Security Hub. Los estados solo están disponibles para los controles que se activan al visitar esas páginas. Utilice la operación UpdateStandardsControlde API para habilitar o deshabilitar un control. Además, se debe configurar el registro de AWS Config recursos para que aparezca el estado del control. Una vez generados los estados de control por primera vez, Security Hub actualiza el estado del control cada 24 horas en función de los hallazgos de las 24 horas anteriores. Una marca de tiempo en la página de detalles del control indica cuándo se actualizó el estado de un control por última vez.

nota

Pueden pasar hasta 24 horas después de habilitar un control para que se generen los estados de control por primera vez en las regiones de China y. AWS GovCloud (US) Region

Valores para Compliance.Status

Compliance.StatusPara cada hallazgo se le asigna uno de los siguientes valores.

• PASSED— Establece automáticamente el Security Hub Workflow.Status enRESOLVED.

  Si Compliance.Status para una búsqueda cambia de PASSED a FAILEDWARNING, oNOT_AVAILABLE; y Workflow.Status fue NOTIFIED oRESOLVED; entonces Security Hub se establece Workflow.Status automáticamente en 0.NEW

• FAILED— Indica que el control no ha superado la comprobación de seguridad correspondiente a este hallazgo.

• WARNING— Indica que se completó la comprobación, pero Security Hub no puede determinar si el recurso se encuentra en FAILED estado PASSED O.

• NOT_AVAILABLE— Indica que no se puede completar la comprobación porque se ha producido un error en el servidor, se ha eliminado el recurso o se ha producido el resultado de la AWS Config evaluaciónNOT_APPLICABLE.

  Si el resultado AWS Config de la evaluación fueNOT_APPLICABLE, Security Hub archiva automáticamente el hallazgo.

Valores del estado de control

Security Hub utiliza el estado de cumplimiento de los hallazgos de control para determinar un estado de control general. Al determinar el estado del control, Security Hub ignora los hallazgos que tienen un RecordState de ARCHIVED y los hallazgos que tienen un Workflow.Status deSUPPRESSED.

Los valores disponibles para el estado de control general son los siguientes:

• Aprobado: indica que todos los hallazgos tienen un Compliance.Status dePASSED.

• Fallo: indica que al menos un hallazgo tiene un Compliance.Status deFAILED.

• Desconocido: indica que al menos un hallazgo tiene un valor Compliance.Status de WARNING oNOT_AVAILABLE. No hay hallazgos FAILED.

• Sin datos: indica que no hay resultados para el control. Por ejemplo, un control nuevo tiene este estado hasta que comience a generar hallazgos. Un control también tiene este estado si todos los hallazgos lo sonSUPPRESSED.

• Desactivado: indica que el control está desactivado en la cuenta y la región actuales. Esto significa que actualmente no se están realizando comprobaciones de seguridad para este control en esta cuenta ni en la región. Sin embargo, un control desactivado puede tener un valor Compliance.Status de hasta 24 horas después de la desactivación.