Entendendo os controles de segurança no Security Hub - AWS Security Hub
Visualizar controles consolidadosPontuação resumida de segurança para controles

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Entendendo os controles de segurança no Security Hub

Um controle de segurança é uma proteção dentro de um padrão de segurança que ajuda uma organização a proteger a confidencialidade, integridade e disponibilidade de suas informações. No Security Hub, um controle está relacionado a um determinado AWS recurso.

Quando você ativa um controle em um ou mais padrões, o Security Hub começa a executar verificações de segurança nele. As verificações de segurança resultam nas descobertas do Security Hub. Quando você desativa um controle, o Security Hub para de executar verificações de segurança nele e as descobertas não são mais geradas.

Você pode ativar ou desativar os controles individualmente para uma única conta e Região da AWS. Para economizar tempo e reduzir o desvio de configuração em ambientes com várias contas, recomendamos usar a configuração central para ativar ou desativar os controles. Com a configuração central, o administrador delegado do Security Hub pode criar políticas que especificam como um controle deve ser configurado em várias contas e regiões. Para obter mais informações sobre como ativar e desativar controles, consulteConfigurando controles em todos os padrões.

Visualizar controles consolidados

A página Controles do console do Security Hub exibe todos os controles disponíveis no atual Região da AWS (você pode visualizar os controles no contexto de um padrão visitando a página Padrões de segurança e escolhendo um padrão ativado). O Security Hub atribui aos controles um ID, título e descrição de controle de segurança consistentes em todos os padrões. Os controles IDs incluem o relevante AWS service (Serviço da AWS) e um número exclusivo (por exemplo, CodeBuild .3).

As informações a seguir estão disponíveis na página Controles do Console do Security Hub:

  • Uma pontuação geral de segurança com base na proporção de controles aprovados em comparação com o número total de controles habilitados com dados

  • Detalhamento dos status de controle em todos os controles suportados do Security Hub

  • O número total de verificações de segurança aprovadas e reprovadas.

  • O número de verificações de segurança malsucedidas para controles de severidade variável e links para ver mais detalhes sobre essas verificações malsucedidas.

  • Uma lista de controles do Security Hub, com filtros para visualizar subconjuntos específicos de controles.

Na página Controles, você pode escolher um controle para visualizar seus detalhes e agir de acordo com as descobertas geradas pelo controle. Nessa página, você também pode ativar ou desativar um controle de segurança no seu Conta da AWS e Região da AWS. As ações de ativação e desativação da página Controles se aplicam a todos os padrões. Para obter mais informações, consulte Configurando controles em todos os padrões.

Para contas de administrador, a página Controles reflete o status dos controles nas contas dos membros. Se uma verificação de controle falhar em pelo menos uma conta de membro, o status do controle será Falha. Se você definiu uma Região de agregação, a página Controles refletirá o status dos controles em todas as regiões vinculadas. Se uma verificação de controle falhar em pelo menos uma região vinculada, o status do controle será Falha.

A visualização de controles consolidados causa alterações nos campos de localização de controle no AWS Formato de descoberta de segurança (ASFF) que pode afetar os fluxos de trabalho. Para obter mais informações, consulte Visualização de controles consolidados — mudanças ASFF.

Pontuação resumida de segurança para controles

A página Controles exibe um resumo da pontuação de segurança de 0 a 100 por cento. A pontuação resumida de segurança é calculada com base na proporção de controles aprovados em comparação com o número total de controles habilitados com dados em todos os padrões.

nota

Para ver a pontuação geral de segurança dos controles, você deve adicionar permissão para chamar BatchGetControlEvaluationsa IAM função que você usa para acessar o Security Hub. Essa permissão não é necessária para visualizar as pontuações de segurança de padrões específicos.

Quando você habilita o Security Hub, ele calcula a pontuação de segurança inicial dentro de 30 minutos após sua primeira visita à página Resumo ou à página Padrões de Segurança no console do Security Hub. Pode levar até 24 horas para que as pontuações de segurança pela primeira vez sejam geradas nas regiões da China e AWS GovCloud (US) Region.

Além da pontuação geral de segurança, o Security Hub calcula uma pontuação de segurança padrão para cada padrão ativado dentro de 30 minutos após sua primeira visita à página Resumo ou à página Padrões de segurança. Para ver uma lista dos padrões atualmente habilitados, use a GetEnabledStandardsAPIoperação.

AWS Config deve ser habilitado com a gravação de recursos para que as pontuações apareçam. Para obter mais informações sobre como o Security Hub calcula as pontuações de segurança, consulteCalculando pontuações de segurança.

Após a primeira geração de pontuação, o Security Hub atualiza as pontuações de segurança a cada 24 horas. O Security Hub exibe um timestamp para indicar quando uma pontuação de segurança foi atualizada pela última vez.

Se você definiu uma região de agregação, as pontuações de segurança geral incluem as descobertas de controles em todas as regiões vinculadas.