Comment puis-je résoudre un score de sécurité vide ou « 0 % » ou un statut de conformité « Aucune donnée » dans Security Hub ?

Brève description

Il est possible que vous ne puissiez pas voir le score de sécurité d'une norme ou le score global dans Security Hub pour plusieurs raisons. Dans ces cas, vous pouvez voir l'une des mesures suivantes ou les deux :

• Au moins un score de sécurité indique un tiret (-) ou 0 %.
• L'état de conformité est Aucune donnée pour l'un ou l'ensemble des contrôles activés relevant de cette norme. Dans ce cas, il est possible que le score de sécurité ne soit pas généré.

Security Hub peut ne pas générer les données d'un contrôle et d'un score correspondant à une norme pour l'une des raisons suivantes :

• Security Hub effectue une évaluation des contrôles pour la première fois.
• Vous vérifiez la norme pour la première fois.
• Un compte AWS vient d'être transféré ou une région d'agrégation a été récemment configurée.
• La norme est dans un état INCOMPLET.
• Security Hub ne dispose d'aucun résultat actif pour le contrôle.
• L'enregistreur de configuration AWS Config n'est pas correctement configuré.
• Le rôle du service AWS Config ne dispose pas des autorisations nécessaires.
• Le contrôle vient d'être publié.
• Il existe des différences de comportement entre les différentes régions d'AWS.

Résolution

Remarque : Si vous recevez des erreurs lors de l’exécution des commandes de l’interface de la ligne de commande AWS (AWS CLI), assurez-vous que vous utilisez la version la plus récente d’AWS CLI.

Security Hub effectue une évaluation des contrôles pour la première fois

Une fois que vous avez activé Security Hub ou une norme de sécurité spécifique, Security Hub exécute toutes les vérifications initiales dans les 2 heures. La plupart des contrôles commencent à fonctionner dans les 25 minutes. Jusqu'à ce qu'un contrôle termine sa première série de vérifications, son état de conformité est Aucune donnée.

Vous vérifiez la norme pour la première fois

Lorsque vous consultez pour la première fois la page Résumé ou Normes de sécurité dans la console Security Hub, Security Hub calcule le score de sécurité initial d'une norme. Cela prend généralement 30 minutes. Pendant cette période, aucune note n'est attribuée aux normes et l'état de conformité de leurs contrôles est Aucune donnée.

Un compte vient d'être transféré ou une région d'agrégation a été récemment configurée

Si vous avez déjà vu les scores de sécurité et l'état de conformité, mais qu'aucune donnée n'est désormais affichée, cela est probablement dû à une nouvelle configuration. Security Hub génère des scores pour les comptes d'administrateur de votre organisation dans toutes les régions AWS liées au sein de la région d'agrégation.

Par conséquent, la console Security Hub traite une région d'agrégation récemment configurée ou un compte récemment transféré de la même manière qu'un compte récemment créé. Cela inclut les comptes qui font la transition entre un compte autonome et un compte administrateur. Dans ce cas, le même délai d'attente s'applique et un nouveau score complet et un nouveau statut de conformité sont disponibles dans les 30 minutes.

La norme est dans l'état INCOMPLET

Si tous les contrôles d'une norme particulière génèrent Aucune donnée, exécutez la commande get-enabled-standards de l'interface de ligne de commande AWS pour vérifier si le statut de la norme est INCOMPLET:

aws securityhub get-enabled-standards –standards-subscription-arn STANDARDS_SUBSCRIPTION_ARN

**Remarque :**Remplacez STANDARDS_SUBSCRIPTION_ARN par l'ARN de votre abonnement standard.

Cet état se produit lorsque Security Hub ne parvient pas à créer tous les contrôles activés dans la norme. Security Hub réessaie les normes dont l'état est INCOMPLET environ toutes les 12 heures jusqu'à ce que le statut passe PRÊT. Security Hub continue d'essayer pour l'une des raisons suivantes :

• L'enregistreur de configuration n'est pas activé dans votre compte.
• Lorsque vous créez des contrôles, des problèmes transitoires tels que la limitation ou les défaillances d'API peuvent entraîner le passage d'une norme à l'état INCOMPLET.

Pour résoudre ce problème, vérifiez d'abord l'enregistreur de configuration pour vous assurer que vous l'avez activé et correctement configuré. Ensuite, désactivez et réactivez les abonnements aux normes de sécurité.

Security Hub n'a trouvé aucun résultat pour le contrôle

Si Security Hub fonctionne pendant plus de 2 heures et que l'état de conformité d'un contrôle est Aucune donnée, cela signifie que le contrôle n'a aucun résultat. Les scénarios suivants sont souvent à l'origine de l'absence de résultats :

• Un nouveau contrôle a le statut Aucune donnée jusqu'à ce qu'il commence à générer des résultats.
  **Remarque :**Les commandes récemment activées mettent généralement 2 heures pour générer des résultats, mais cela peut prendre jusqu'à 18 heures. Une fois que le contrôle a généré des résultats, la mise à jour du score peut prendre jusqu'à 24 heures.
• Tous les résultats des contrôles sont SUPPRIMÉS.
• Le contrôle ne génère aucun résultat.
  **Remarque :**Cela se produit lorsque vous ne disposez d'aucune ressource pour le contrôle.

L'enregistreur de configuration n'est pas correctement configuré

Security Hub utilise des règles AWS Config liées à des services pour effectuer la plupart de ses contrôles de sécurité. Pour prendre en charge ces contrôles, vous devez activer AWS Config sur tous les comptes. Cela inclut à la fois le compte administrateur et les comptes membres dans chaque région où Security Hub est activé.

Si les commandes activées ne génèrent aucun résultat, vérifiez si l'enregistreur de configuration situé dans la même région est correctement configuré. Pour générer les résultats nécessaires, configurez l'enregistreur de configuration afin d'obtenir la conformité des ressources requise pour Security Hub :

1. Activez AWS Config et l'enregistreur de configuration. Configurez l'enregistreur de configuration pour enregistrer les types de ressources requis avec un canal de distribution correctement configuré pour chaque région dans laquelle vous avez activé Security Hub.
   **Remarque :**Avant de passer à l'étape 2, laissez le temps à l'enregistreur de configuration de faire l'inventaire complet. Pour vérifier l'état, accédez à la page Paramètres de la console AWS Config. Si l'enregistreur de configuration est toujours à l'état Inventaire, le canal de livraison n'est pas correctement configuré. Dans ce cas, recréez le canal de distribution.
2. Ouvrez la console Security Hub, puis désactivez la norme qui n'a aucun score (représenté par 0 % ou -). Attendez 20 à 30 minutes pour éviter tout problème passager, puis réactivez la norme de sécurité. Cela invite Security Hub à créer toutes les règles AWS Config requises.
   **Remarque :**Security Hub crée des règles AWS Config uniquement dans les 31 jours suivant l'activation de la norme.

Le rôle du service AWS Config ne dispose pas des autorisations nécessaires

La plupart des contrôles du Security Hub sont associés à une règle AWS Config. Si un contrôle ne renvoie aucune donnée, AWS Config peut utiliser un rôle de service (au lieu d'un rôle lié à un service) qui ne dispose pas des autorisations nécessaires. Pour vérifier si AWS Config évalue correctement la règle associée, exécutez la commande de l'interface de ligne de commande AWS describe-config-rule-evaluation-status. Si le rôle de service ne dispose pas des autorisations nécessaires pour évaluer la règle, un message d'erreur contenant des informations supplémentaires s'affiche en sortie. Par exemple, vous voyez s'afficher un message du type Autorisations supplémentaires nécessaires.

Le contrôle vient d'être publié

Si AWS a récemment lancé un ensemble de contrôles, ses scores ne sont pas disponibles pendant un certain temps. Si une évaluation de score commence lorsqu'un contrôle est relâché, la prochaine évaluation de score réussie peut prendre jusqu'à 24 heures.

Pour les dernières mises à jour de Security Hub, consultez l'historique des documents pour le guide de l'utilisateur d'AWS Security Hub.

Il existe des différences de comportement régionales

Dans certains cas, une norme n'affiche aucune donnée en raison de différences régionales :

• Certaines normes, telles que CIS 2.3 et CIS 2.6, n'affichent parfois aucune donnée. Cela se produit lorsqu'AWS CloudTrail agrège et stocke les journaux dans un compartiment Amazon Simple Storage Service (Amazon S3) unique et centralisé. Dans ce cas, Security Hub effectue la vérification uniquement par rapport au compte et à la région dans lesquels se trouve le compartiment Amazon S3 centralisé. Par conséquent, les données ne sont disponibles que là où se trouve le compartiment S3 centralisé, et le contrôle indique Aucune donnée dans les autres régions.
• Pour la quasi-totalité des contrôles CIS 3.1-3.14 et CIS 1.1, les contrôles de Security Hub se traduisent par un statut de contrôle Aucune donnée dans les cas suivants :
  Le sentier multirégional est basé dans une région différente. Security Hub peut générer des résultats uniquement dans la région où se trouve le suivi.
  Le parcours multirégional appartient à un compte différent. Security Hub ne peut générer des résultats que pour le compte propriétaire du journal.
• Security Hub ne prend pas en charge le contrôle dans une région particulière. Ces contrôles sont répertoriés dans les régions non prises en charge uniquement si vous activez la région d'agrégation (entre régions ou comptes). Pour vérifier si un contrôle est pris en charge dans une région particulière, voir Disponibilité des contrôles par région.