As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Programar a execução de verificações de segurança
Depois de habilitar um padrão de segurança, o AWS Security Hub começa a executar as verificações em até duas horas. A maioria das verificações começa a ser executada em 25 minutos. O Security Hub executa verificações avaliando a regra subjacente a um controle. Até que um controle conclua sua primeira execução de verificações, seu status é Sem dados.
Quando você habilita um novo padrão, o Security Hub pode levar até 24 horas para gerar descobertas para controles que usam a mesma regra subjacente AWS Config vinculada ao serviço dos controles habilitados de outros padrões habilitados. Por exemplo, se você habilitar o Lambda.1 no padrão AWS Foundational Security Best Practices (FSBP), o Security Hub criará a regra vinculada ao serviço e normalmente gerará descobertas em minutos. Depois disso, se você habilitar o Lambda.1 no Payment Card Industry Data Security Standard (PCI DSS), o Security Hub poderá levar até 24 horas para gerar descobertas para esse controle, pois ele usa a mesma regra vinculada ao serviço do Lambda.1.
Após a verificação inicial, a programação para cada controle pode ser periódica ou acionada por alterações. Para um controle baseado em uma regra gerenciada do AWS Config, a descrição do controle inclui um link para a descrição da regra no Guia do desenvolvedor do AWS Config. Essa descrição inclui se a regra é periódica ou acionada por alterações.
Verificações de segurança periódicas
As verificações periódicas são executadas automaticamente dentro de 12 ou 24 horas após a última execução. O Security Hub determina a periodicidade, e você não pode alterá-la. Os controles periódicos refletem uma avaliação no momento em que a verificação é executada.
Se você atualizar o status do fluxo de trabalho de uma descoberta de controle periódica e, na próxima verificação, o status de conformidade da descoberta permanecer o mesmo, o status do fluxo de trabalho permanecerá em seu estado modificado. Por exemplo, se você tiver uma falha na descoberta de KMS.4 - alternância AWS KMS key deve ser habilitada e, em seguida, corrigir a descoberta, o Security Hub alterará o status do fluxo de trabalho de NEW para RESOLVED. Se você desativar a alternância da chave KMS antes da próxima verificação periódica, o status do fluxo de trabalho da descoberta permanecerá RESOLVED.
As verificações que usam as funções do Lambda personalizadas para o Security Hub são periódicas.
Verificações de segurança disparadas por alterações
Verificações disparadas por alterações: essas verificações são executadas quando o recurso associado muda de estado. O AWS Config permite que você escolha entre gravar continuamente e gravar diariamente no estado do recurso. Se você escolher a gravação diária, a AWS Config fornecerá dados de configuração do recurso no final de cada período de 24 horas se houver alterações no estado do recurso. Se não houver alterações, nenhum dado será entregue. Isso pode atrasar a geração das descobertas do Security Hub até que um período de 24 horas seja concluído. Independentemente do período de gravação escolhido, o Security Hub verifica a cada 18 horas para garantir que nenhuma atualização de recursos da AWS Config tenha sido perdida.
Em geral, o Security Hub usa regras acionadas por alterações sempre que possível. Para que um recurso use uma regra acionada por alterações, deve haver suporte aos itens de configuração do AWS Config.
