Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Planification de l'exécution des vérifications de sécurité
Une fois que vous avez activé une norme de sécurité, AWS Security Hub commence à exécuter toutes les vérifications dans les deux heures. La plupart des contrôles commencent à être exécutés dans les 25 minutes. Security Hub exécute des vérifications en évaluant la règle sous-jacente à un contrôle. Jusqu'à ce qu'un contrôle termine sa première série de vérifications, son statut est Aucune donnée.
Lorsque vous activez une nouvelle norme, Security Hub peut mettre jusqu'à 24 heures pour générer des résultats pour les contrôles qui utilisent la même règle sous-jacente AWS Config liée au service que les contrôles activés issus d'autres normes activées. Par exemple, si vous activez Lambda.1 dans la norme AWS Foundational Security Best Practices (FSBP), Security Hub créera la règle liée au service et générera généralement des résultats en quelques minutes. Ensuite, si vous activez Lambda.1 dans la norme de sécurité des données du secteur des cartes de paiement (PCIDSS), Security Hub peut mettre jusqu'à 24 heures pour générer les résultats de ce contrôle, car il utilise la même règle liée aux services que Lambda.1.
Après la vérification initiale, le calendrier de chaque contrôle peut être périodique ou déclenché par des modifications. Pour un contrôle basé sur une AWS Config règle gérée, la description du contrôle inclut un lien vers la description de la règle dans le guide du AWS Config développeur. Cette description indique si la règle est déclenchée par des modifications ou périodique.
Contrôles de sécurité périodiques
Les contrôles de sécurité périodiques sont exécutés automatiquement dans les 12 ou 24 heures suivant la dernière exécution. Security Hub détermine la périodicité, et vous ne pouvez pas la modifier. Les contrôles périodiques reflètent une évaluation au moment où le contrôle est exécuté.
Si vous mettez à jour l'état du flux de travail d'un résultat de contrôle périodique, puis que, lors de la prochaine vérification, le statut de conformité du résultat reste le même, le statut du flux de travail reste dans son état modifié. Par exemple, si vous n'arrivez pas à trouver la valeur KMS.4, la AWS KMS key rotation doit être activée, puis corriger le résultat, Security Hub change le statut du flux de travail de NEW àRESOLVED. Si vous désactivez la rotation des KMS clés avant la prochaine vérification périodique, l'état du résultat dans le flux de travail est conservéRESOLVED.
Les contrôles qui utilisent les fonctions Lambda personnalisées de Security Hub sont périodiques.
Contrôles de sécurité déclenchés par des modifications
Les contrôles de sécurité déclenchés par des modifications sont exécutés lorsque la ressource associée change d'état. AWS Config vous permet de choisir entre un enregistrement continu des modifications de l'état des ressources et un enregistrement quotidien. Si vous optez pour l'enregistrement quotidien, AWS Config fournit les données de configuration des ressources à la fin de chaque période de 24 heures en cas de modification de l'état des ressources. S'il n'y a aucune modification, aucune donnée n'est transmise. Cela peut retarder la génération des résultats du Security Hub jusqu'à ce qu'une période de 24 heures soit terminée. Quelle que soit la période d'enregistrement que vous avez choisie, Security Hub vérifie toutes les 18 heures qu'aucune mise à jour des ressources n'a AWS Config été manquée.
En général, utilise des règles déclenchées par des modifications chaque fois que c’est possible. Pour qu'une ressource utilise une règle déclenchée par des modifications, elle doit prendre en charge les éléments AWS Config de configuration.
