Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Déterminer les scores de sécurité
La page Résumé et la page Contrôles de la console Security Hub affichent un score de sécurité récapitulatif pour toutes les normes que vous avez activées. Sur la page Normes de sécurité, Security Hub affiche également un score de sécurité compris entre 0 et 100 % pour chaque norme activée.
Lorsque vous activez Security Hub pour la première fois, Security Hub calcule le score de sécurité récapitulatif et les scores de sécurité standard dans les 30 minutes suivant votre première visite sur la page Résumé ou sur la page des normes de sécurité de la console Security Hub. Les scores ne sont générés que pour les normes activées lorsque vous visitez ces pages. Pour afficher la liste des normes actuellement activées, appelez l'GetEnabledStandardsAPIopération. En outre, l'enregistrement AWS Config des ressources doit être configuré pour que les scores apparaissent. Le score de sécurité récapitulatif est la moyenne des scores de sécurité standard.
Après la première génération de scores, Security Hub met à jour les scores de sécurité toutes les 24 heures. Security Hub affiche un horodatage pour indiquer la date de dernière mise à jour d'un score de sécurité.
Note
La génération des premiers scores de sécurité dans les régions de Chine et AWS GovCloud (US) Region.
Si vous activez les résultats de contrôle consolidés, la mise à jour de vos scores de sécurité peut prendre jusqu'à 24 heures. En outre, l'activation d'une nouvelle région d'agrégation ou la mise à jour de régions liées réinitialise les scores de sécurité existants. Security Hub peut mettre jusqu'à 24 heures à générer de nouveaux scores de sécurité incluant les données des régions mises à jour.
Comment les scores de sécurité sont calculés
Les scores de sécurité représentent la proportion de contrôles réussis par rapport aux contrôles activés. Le score est affiché sous forme de pourcentage arrondi au nombre entier le plus proche.
Security Hub calcule un score de sécurité récapitulatif pour toutes les normes que vous avez activées. Security Hub calcule également un score de sécurité pour chaque norme activée. Aux fins du calcul du score, les contrôles activés incluent les contrôles dont le statut est Réussi, Échoué et Inconnu. Les contrôles dont le statut est Aucune donnée sont exclus du calcul du score.
Security Hub ignore les résultats archivés et supprimés lors du calcul de l'état du contrôle. Cela peut avoir un impact sur les scores de sécurité. Par exemple, si vous supprimez tous les résultats infructueux d'un contrôle, son statut devient Réussi, ce qui peut à son tour améliorer vos scores de sécurité. Pour plus d'informations sur l'état du contrôle, consultezÉtat de conformité et statut de contrôle.
Exemple de notation :
| Standard | Contrôles passés | Contrôles défaillants | Contrôles inconnus | Score standard |
|---|---|---|---|---|
|
AWS Bonnes pratiques de sécurité de base v1.0.0 |
168 |
22 |
0 |
88 % |
|
CIS AWS Foundations Benchmark v1.4.0 |
8 |
29 |
0 |
22 % |
|
CIS AWS Foundations Benchmark v1.2.0 |
6 |
35 |
0 |
15 % |
|
NISTPublication spéciale 800-53 Révision 5 |
159 |
56 |
0 |
74 % |
|
PCIDSSv3.2.1 |
28 |
17 |
0 |
62 % |
Lors du calcul du score de sécurité récapitulatif, Security Hub ne compte chaque contrôle qu'une seule fois selon les normes. Par exemple, si vous avez activé un contrôle qui s'applique à trois normes activées, il ne compte que comme un seul contrôle activé à des fins de notation.
Dans cet exemple, bien que le nombre total de contrôles activés dans les normes activées soit de 528, Security Hub ne compte chaque contrôle unique qu'une seule fois à des fins de notation. Le nombre de contrôles uniques activés est probablement inférieur à 528. Si nous supposons que le nombre de contrôles uniques activés est de 515 et que le nombre de contrôles uniques passés est de 357, le score récapitulatif est de 69 %. Ce score est calculé en divisant le nombre de contrôles uniques réussis par le nombre de contrôles uniques activés.
Vous pouvez avoir un score récapitulatif différent du score de sécurité standard même si vous n'avez activé qu'un seul standard sur votre compte dans la région actuelle. Cela peut se produire si vous êtes connecté à un compte administrateur et si des normes supplémentaires ou différentes sont activées sur les comptes des membres. Cela peut également se produire si vous consultez le score de la région d'agrégation et si des normes supplémentaires ou différentes normes sont activées dans les régions associées.
Scores de sécurité pour les comptes d'administrateur
Si vous êtes connecté à un compte administrateur, le score de sécurité récapitulatif et les scores standard tiennent compte des statuts de contrôle du compte administrateur et de tous les comptes membres.
Si le statut d'un contrôle est Échoué ne serait-ce que pour un seul compte membre, son statut est Échoué dans le compte administrateur et a un impact sur les scores du compte administrateur.
Si vous êtes connecté à un compte administrateur et que vous consultez les scores d'une région d'agrégation, les scores de sécurité tiennent compte des statuts de contrôle de tous les comptes membres et de toutes les régions associées.
Scores de sécurité si vous avez défini une région d'agrégation
Si vous avez défini une agrégation Région AWS, le score de sécurité récapitulatif et les scores standard tiennent compte des statuts de contrôle dans tous les cas Régions liées.
Si le statut d'un contrôle est Échoué ne serait-ce que dans une région liée, son statut est Échoué dans la région d'agrégation et a un impact sur les scores de la région d'agrégation.
Si vous êtes connecté à un compte administrateur et que vous consultez les scores d'une région d'agrégation, les scores de sécurité tiennent compte des statuts de contrôle de tous les comptes membres et de toutes les régions associées.
