As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Programar a execução de verificações de segurança
Depois de habilitar um padrão de segurança, AWS Security Hub começa a executar todas as verificações em duas horas. A maioria das verificações começa a ser executada em 25 minutos. O Security Hub executa verificações avaliando a regra subjacente a um controle. Até que um controle conclua sua primeira execução de verificações, seu status é Sem dados.
Quando você habilita um novo padrão, o Security Hub pode levar até 24 horas para gerar descobertas para controles que usam a mesma regra subjacente AWS Config vinculada ao serviço dos controles habilitados de outros padrões habilitados. Por exemplo, se você habilitar o Lambda.1 no padrão AWS Foundational Security Best Practices (FSBP), o Security Hub criará a regra vinculada ao serviço e normalmente gerará descobertas em minutos. Depois disso, se você habilitar o Lambda.1 no Payment Card Industry Data Security Standard (PCIDSS), o Security Hub poderá levar até 24 horas para gerar descobertas para esse controle, pois ele usa a mesma regra vinculada ao serviço do Lambda.1.
Após a verificação inicial, a programação para cada controle pode ser periódica ou acionada por alterações. Para um controle baseado em uma AWS Config regra gerenciada, a descrição do controle inclui um link para a descrição da regra no Guia do AWS Config desenvolvedor. Essa descrição inclui se a regra é periódica ou acionada por alterações.
Verificações de segurança periódicas
As verificações de segurança periódicas são executadas automaticamente dentro de 12 ou 24 horas após a execução mais recente. O Security Hub determina a periodicidade, e você não pode alterá-la. Os controles periódicos refletem uma avaliação no momento em que a verificação é executada.
Se você atualizar o status do fluxo de trabalho de uma descoberta de controle periódica e, na próxima verificação, o status de conformidade da descoberta permanecer o mesmo, o status do fluxo de trabalho permanecerá em seu estado modificado. Por exemplo, se você tiver uma descoberta com falha para KMS.4 - a AWS KMS key rotação deve ser ativada e, em seguida, corrigir a descoberta, o Security Hub alterará o status do fluxo de trabalho de NEW para. RESOLVED Se você desativar a rotação de KMS chaves antes da próxima verificação periódica, o status do fluxo de trabalho da descoberta permaneceráRESOLVED.
As verificações que usam as funções do Lambda personalizadas para o Security Hub são periódicas.
Verificações de segurança acionadas por alterações
As verificações de segurança acionadas por alterações são executadas quando o recurso associado muda de estado. AWS Config permite escolher entre gravação contínua de alterações no estado do recurso e gravação diária. Se você escolher a gravação diária, AWS Config fornecerá dados de configuração do recurso no final de cada período de 24 horas se houver alterações no estado do recurso. Se não houver alterações, nenhum dado será entregue. Isso pode atrasar a geração das descobertas do Security Hub até que um período de 24 horas seja concluído. Independentemente do período de gravação escolhido, o Security Hub verifica a cada 18 horas para garantir que nenhuma atualização de recursos tenha AWS Config sido perdida.
Em geral, o Security Hub usa regras acionadas por alterações sempre que possível. Para que um recurso use uma regra acionada por alterações, ele deve oferecer suporte a itens de AWS Config configuração.
