As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Determinando as pontuações de segurança
A página Resumo e a página Controles do console do Security Hub exibem uma pontuação de segurança resumida em todos os padrões habilitados. Na página Padrões de segurança, o Security Hub também exibe uma pontuação de segurança de 0 a 100% para cada padrão habilitado.
Quando você habilita o Security Hub pela primeira vez, o Security Hub calcula a pontuação de segurança resumida e as pontuações de segurança padrão dentro de 30 minutos após sua primeira visita à página Resumo ou à página Padrões de Segurança no console do Security Hub. As pontuações são geradas somente para padrões que são ativados quando você visita essas páginas. Para ver uma lista dos padrões atualmente habilitados, invoque a GetEnabledStandardsAPIoperação. Além disso, o registro AWS Config de recursos deve ser configurado para que as pontuações apareçam. A pontuação de segurança resumida é a média das pontuações de segurança padrão.
Após a primeira geração de pontuação, o Security Hub atualiza as pontuações de segurança a cada 24 horas. O Security Hub exibe um timestamp para indicar quando uma pontuação de segurança foi atualizada pela última vez.
nota
Pode levar até 24 horas para que as pontuações de segurança pela primeira vez sejam geradas nas regiões da China e AWS GovCloud (US) Region.
Se você ativar as descobertas de controle consolidadas, poderá levar até 24 horas para que suas pontuações de segurança sejam atualizadas. Além disso, habilitar uma nova região de agregação ou atualizar regiões vinculadas redefine as pontuações de segurança existentes. Pode levar até 24 horas para que o Security Hub gere novas pontuações de segurança que incluam dados das regiões atualizadas.
Como as pontuações de segurança são calculadas
A pontuação de segurança representa a proporção de controles no estado Aprovado para controles habilitados. A pontuação é exibida como uma porcentagem arredondada para cima ou para baixo para o número inteiro mais próximo.
O Security Hub calcula uma pontuação de segurança resumida em todos os seus padrões habilitados. O Security Hub também calcula uma pontuação de segurança para cada padrão habilitado. Para fins de cálculo de pontuação, os controles habilitados incluem controles com status de Aprovado, Falha e Desconhecido. Os controles com o status Sem dados são excluídos do cálculo da pontuação.
O Security Hub ignora descobertas arquivadas e suprimidas ao calcular o status do controle. Isso pode afetar as pontuações de segurança. Por exemplo, se você suprimir todas as descobertas malsucedidas de um controle, seu status se tornará Aprovado, o que, por sua vez, pode melhorar suas pontuações de segurança. Para obter mais informações sobre status de controle, consulte Status de conformidade e status de controle.
Exemplo de pontuação:
| Padrão | Controles aprovados | Falha nos controles | Controles desconhecidos | Pontuação padrão |
|---|---|---|---|---|
|
AWS Melhores práticas básicas de segurança v1.0.0 |
168 |
22 |
0 |
88% |
|
CIS AWS Benchmark de fundações v1.4.0 |
8 |
29 |
0 |
22% |
|
CIS AWS Benchmark de fundações v1.2.0 |
6 |
35 |
0 |
15% |
|
NISTPublicação Especial 800-53 Revisão 5 |
159 |
56 |
0 |
74% |
|
PCIDSSv3.2.1 |
28 |
17 |
0 |
62% |
Ao calcular a pontuação resumida de segurança, o Security Hub conta cada controle apenas uma vez em todos os padrões. Por exemplo, se você ativou um controle que se aplica a três padrões ativados, ele conta apenas como um controle ativado para fins de pontuação.
Neste exemplo, embora o número total de controles habilitados em todos os padrões habilitados seja 528, o Security Hub conta cada controle exclusivo apenas uma vez para fins de pontuação. O número de controles ativados exclusivos provavelmente é menor que 528. Se assumirmos que o número de controles exclusivos ativados é 515 e o número de controles exclusivos aprovados é 357, a pontuação resumida é 69%. Essa pontuação é calculada dividindo o número de controles exclusivos aprovados pelo número de controles exclusivos habilitados.
Você pode ter uma pontuação resumida diferente da pontuação de segurança padrão, mesmo que tenha ativado apenas um padrão em sua conta na região atual. Isso pode ocorrer se você estiver conectado a uma conta de administrador e as contas de membros tiverem padrões adicionais ou padrões diferentes ativados. Isso também pode ocorrer se você estiver visualizando a pontuação da região de agregação e padrões adicionais ou padrões diferentes estiverem ativados nas regiões vinculadas.
Pontuações de segurança para contas de administrador
Se você estiver conectado a uma conta de administrador, a pontuação de segurança resumida e a pontuação padrão contam com os status de controle na conta do administrador e em todas as contas dos membros.
Se o status de um controle for Falha em até mesmo uma conta de membro, seu status será Falha na conta do administrador e afetará as pontuações da conta do administrador.
Se você estiver conectado a uma conta de administrador e estiver visualizando pontuações em uma região de agregação, as pontuações de segurança representam os status de controle em todas as contas de membros e em todas as regiões vinculadas.
Pontuações de segurança se você tiver definido uma região de agregação
Se você definiu uma agregação Região da AWS, a pontuação de segurança resumida e a pontuação padrão são responsáveis pelos status de controle em todos Regiões vinculadas.
Se o status de um controle for Falha em até mesmo uma região vinculada, seu status será Falha na região de agregação e afetará as pontuações da região de agregação.
Se você estiver conectado a uma conta de administrador e estiver visualizando pontuações em uma região de agregação, as pontuações de segurança representam os status de controle em todas as contas de membros e em todas as regiões vinculadas.
