Visualizando detalhes de um padrão - AWS Security Hub
Visualizar os controles de um padrão habilitadoPontuação de segurança padrão e resumo das verificações de segurançaVisualizando os controles em padrões habilitadosBaixando a lista de controles

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Visualizando detalhes de um padrão

No AWS Security Hub console, a página de detalhes de um padrão inclui as seguintes informações:

  • A pontuação de segurança padrão e um resumo visual das verificações de segurança dos controles habilitados no padrão. Se você fizer a integração com AWS Organizations, os controles habilitados em pelo menos uma conta da organização serão considerados ativados.

  • As configurações para habilitar ou desabilitar um controle que se aplica ao padrão.

  • Controles que se aplicam ao padrão FSBP Os controles são divididos em guias diferentes com base no status de ativação. O número de controles na coluna Todos habilitados é a soma dos controles nas colunas Falha, Desconhecido, Sem dados e Aprovado.

Você também pode usar a API do Security Hub e AWS CLI recuperar detalhes de um padrão. As seções a seguir explicam como obter detalhes de um padrão.

Visualizar os controles de um padrão habilitado

Na página Padrões de segurança, é possível exibir a página de detalhes de um padrão ativado.

Se você estiver conectado à conta de administrador, poderá ver os detalhes de qualquer padrão habilitado em pelo menos uma conta-membro.

  1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

  2. No painel de navegação do Security Hub, selecione Padrões de segurança.

  3. Para o padrão para o qual deseja desabilitar os controles, escolha View results (Visualizar resultados).

Pontuação de segurança padrão e resumo das verificações de segurança

Na parte superior da página de detalhes padrão está a pontuação de segurança do padrão. A pontuação é a porcentagem de controles aprovados em relação ao número de controles habilitados (que têm dados) para o padrão.

Normalmente, o Security Hub gera o status inicial do controle dentro de 30 minutos após sua primeira visita à página Resumo ou à página Padrões de segurança no console do Security Hub. As pontuações são geradas somente para padrões que são ativados quando você visita essas páginas. Para ver uma lista dos padrões atualmente habilitados, invoque a operação da API GetEnabledStandards. Além disso, a gravação de recursos AWS Config deve ser configurada para que o status do controle apareça. Após a primeira geração de pontuação, o Security Hub atualiza as pontuações de segurança a cada 24 horas. O Security Hub exibe um timestamp para indicar quando uma pontuação de segurança foi atualizada pela última vez. Para ter mais informações, consulte Determinando as pontuações de segurança.

nota

Pode levar até 24 horas para que as pontuações de segurança pela primeira vez sejam geradas nas regiões da China e AWS GovCloud (US) Region.

Ao lado da pontuação, há um gráfico que resume as verificações de segurança dos controles habilitados para o padrão. O gráfico mostra a porcentagem de verificações de segurança reprovadas e aprovadas. Quando você faz uma pausa no gráfico, o pop-up exibe o seguinte:

  • O número de verificações de segurança que falharam nos controles de cada severidade

  • O número de verificações de segurança para controles com status Desconhecido

  • O número de verificações de segurança aprovadas

Para contas de administrador, o status de controle reflete o status agregado da conta do administrador e de todas as contas dos membros.

Todos os dados nas páginas de detalhes dos Padrões de segurança são específicos da região atual, a menos que você tenha definido uma região de agregação. Se você definiu uma região de agregação, as pontuações de segurança se aplicam a todas as regiões e incluem descobertas em todas as regiões vinculadas. O status de conformidade dos controles nas páginas de detalhes dos padrões também reflete as descobertas das regiões vinculadas, e o número de verificações de segurança inclui as descobertas das regiões vinculadas.

Visualizando os controles em padrões habilitados

Ao visitar a página de detalhes de um padrão, é possível ver uma lista dos controles de segurança que se aplicam ao padrão. Essa lista é classificada com base no status de conformidade do controle e na severidade atribuída a cada controle. O Security Hub atualiza os status de controle e a contagem de verificações de segurança a cada 24 horas. Um timestamp em cada guia indica quando os status de controle e a contagem de verificações de segurança foram atualizados mais recentemente. Para ter mais informações, consulte Status de conformidade e status de controle.

Para contas de administrador, o status de controle reflete o status agregado da conta do administrador e de todas as contas dos membros.

A guia Todos habilitados lista todos os controles atualmente habilitados no padrão. Para contas de administrador, a guia Todos habilitados inclui controles que estão habilitados no padrão em suas contas ou em pelo menos uma conta-membro.

Nas guias Falha, Desconhecido, Sem dados e Aprovado, os controles da guia Todos ativados são filtrados para incluir somente controles habilitados com um status específico.

A guia Desativado contém a lista de controles que estão desativados no padrão. Para contas de administrador, a guia Todos habilitados inclui controles que estão habilitados no padrão em suas contas ou em pelo menos uma conta-membro.

Para cada controle, as guias exibem as seguintes informações:

  • O status geral do controle

  • A severidade associada ao controle

  • Título e ID do controle

  • O número de descobertas ativas que falharam em relação ao número total de descobertas ativas. Se aplicável, a coluna Verificações falhadas também lista o número de descobertas com o status Desconhecido.

Além do filtro de pesquisa em cada guia, é possível classificar as listas com base nos seguintes campos:

  • Compliance status (Status de conformidade)

  • Gravidade

  • ID

  • Título

  • Verificações com falha

É possível classificar cada lista usando qualquer uma das colunas. Por padrão, a guia Todos ativados é classificada de forma que os controles com falha estejam no topo da lista. Isso ajuda você a se concentrar imediatamente nos problemas que precisam ser corrigidos.

Nas guias restantes, os controles são classificados por padrão em ordem decrescente por severidade. Em outras palavras, os controles críticos são primeiro, seguidos pelos controles de severidade alta, depois média e depois baixa.

Escolha seu método de acesso preferido e siga as etapas para exibir os controles disponíveis para um padrão ativado. Em vez dessas instruções, você também pode usar a operação da DescribeStandardsControlAPI.

Security Hub console

  1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

  2. No painel de navegação do , selecione Security standards (Padrões de segurança).

  3. Escolha Exibir resultados para um padrão. A parte inferior da página lista os controles (divididos por guias) que se aplicam ao padrão.

Security Hub API

  1. Execute ListSecurityControlDefinitions e forneça um nome do recurso da Amazon (ARN) padrão para obter uma lista de IDs de controle para esse padrão. Para obter o ARN padrão, execute DescribeStandards. Se você não fornecer um ARN padrão, essa API retornará todas as IDs de controle do Security Hub. Essa API retorna IDs de controle de segurança independentes do padrão, não IDs de controle específicos do padrão.

    Exemplo de solicitação

    {
    "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}

  2. Execute ListStandardsControlAssociations para descobrir se um controle está ativado em cada padrão que você ativou em sua conta.

  3. Identifique o controle fornecendo SecurityControlId ou SecurityControlArn. Os parâmetros de paginação são opcionais.

    Exemplo de solicitação

    {
    SecurityControlId: Config.1
    NextToken: lkeyusdlk-sdlflsnd-ladfterb
    MaxResults: 5
}
AWS CLI

  1. Execute o comando list-security-control-definitions e forneça um ou mais ARNs padrão para obter uma lista de IDs de controle. Para obter o ARN padrão, execute describe-standards. Se você não fornecer um ARN padrão, essa API retornará todas as IDs de controle do Security Hub. Essa API retorna IDs de controle de segurança independentes do padrão, não IDs de controle específicos do padrão.

    aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"

  2. Execute list-standards-control-associations para descobrir se um controle está ativado em cada padrão que você ativou em sua conta.

  3. Identifique o controle fornecendo security-control-id ou security-control-arn.

    Exemplo de comando:

    aws securityhub --region us-east-1 list-standards-control-associations --security-control-id Config.1

Baixando a lista de controles

É possível baixar a página atual da lista de controles em um arquivo .csv.

Se você filtrou a lista de controles, o arquivo baixado incluirá somente os controles que correspondem às configurações do filtro.

Se você escolher um controle específico na lista, o arquivo baixado incluirá somente esse controle.

Para baixar a página atual da lista de controles ou o controle atualmente selecionado, escolha Baixar.