Estado de cumplimiento y estado de control - AWS Security Hub
Valores del estado de conformidad de una constataciónValores del estado de control

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Estado de cumplimiento y estado de control

El Compliance.Status campo del formato de comprobación de AWS seguridad describe el resultado de una comprobación de control. Security Hub utiliza el estado de conformidad de los resultados de control para determinar un estado de control general. El estado del control se muestra en la página de detalles de un control de la consola de Security Hub.

En el caso de una cuenta de administrador, el estado de control refleja el estado de control de la cuenta de administrador y de las cuentas de los miembros. En concreto, el estado general de un control aparece como Fallido si el control detecta uno o más errores en la cuenta del administrador o en alguna de las cuentas de los miembros. Si ha establecido una región de agregación, el estado del control en la región de agregación refleja el estado de control en la región de agregación y en las regiones vinculadas. En concreto, el estado general de un control aparece como Fallido si el control tiene uno o más resultados erróneos en la región de agregación o en alguna de las regiones vinculadas.

Por lo general, Security Hub genera el estado de control inicial 30 minutos después de la primera visita a la página de resumen o a la página de normas de seguridad de la consola de Security Hub. Debe tener el registro AWS Config de recursos configurado para que aparezca el estado de control. Una vez que se generan los estados de control por primera vez, Security Hub actualiza los estados de control cada 24 horas en función de los resultados de las 24 horas anteriores. Una marca de tiempo en la página de detalles del control indica cuándo se actualizó por última vez el estado del control.

nota

Una vez activado un control, pueden pasar hasta 24 horas hasta que se generen los estados de control por primera vez en las regiones de China y de AWS GovCloud (US) Region.

Valores del estado de conformidad de una constatación

Al estado de conformidad de cada constatación se le asigna uno de los siguientes valores:

  • PASSED — Establece automáticamente el Workflow.Status de Security Hub como RESOLVED.

    Si el Compliance.Status para un resultado cambia de PASSED a FAILED, WARNING, o NOT_AVAILABLE; y Workflow.Status era NOTIFIED o RESOLVED; entonces Security Hub establece Workflow.Status automáticamente como NEW.

    Si no dispone de los recursos correspondientes a un control, Security Hub produce un PASSED hallazgo a nivel de cuenta. Si tiene un recurso correspondiente a un control, pero luego lo elimina, Security Hub crea un NOT_AVAILABLE hallazgo y lo archiva inmediatamente. Al cabo de 18 horas, recibirá PASSED un resultado porque ya no dispone de los recursos correspondientes al control.

  • FAILED— Indica que el control no pasó el control de seguridad correspondiente a este hallazgo.

  • WARNING— Indica que la comprobación se ha completado, pero Security Hub no puede determinar si el recurso está en FAILED estado PASSED o.

  • NOT_AVAILABLE— Indica que la comprobación no se puede completar porque se ha producido un error en el servidor, se ha eliminado el recurso o se ha producido el resultado de la AWS Config evaluaciónNOT_APPLICABLE.

    Si el resultado AWS Config de la evaluación fueNOT_APPLICABLE, Security Hub archiva automáticamente el hallazgo.

Valores del estado de control

Security Hub obtiene un estado de control general a partir del estado de cumplimiento de las conclusiones del control. Al determinar el estado de control, Security Hub ignora los hallazgos que tienen un RecordState de ARCHIVED y los hallazgos que tienen un Workflow.Status deSUPPRESSED.

Al estado de control se le asigna uno de los siguientes valores:

  • Aprobado: indica que todos los hallazgos tienen un estado de conformidad dePASSED.

  • Fallado: indica que al menos un hallazgo tiene un estado de conformidad deFAILED.

  • Desconocido: indica que al menos un hallazgo tiene un estado de conformidad de WARNING oNOT_AVAILABLE. Ningún hallazgo tiene un estado de conformidad deFAILED.

  • Sin datos: indica que no hay ningún resultado para el control. Por ejemplo, un control recién habilitado tiene este estado hasta que Security Hub comience a generar resultados para él. Un control también tiene este estado si todos los resultados están disponibles SUPPRESSED o si no están disponibles en la región actual.

  • Desactivado: indica que el control está deshabilitado en la cuenta corriente y en la región. Actualmente no se están realizando comprobaciones de seguridad para este control en la cuenta corriente ni en la región. Sin embargo, los resultados de un control desactivado pueden tener un valor de conformidad hasta 24 horas después de la desactivación.