有关运行安全检查的计划

启用安全标准后，AWS Security Hub 在两小时内开始运行所有检查。大多数检查会在 25 分钟内开始运行。Security Hub 通过评估控件底层的规则来运行检查。在控件完成其第一次检查之前，其状态为无数据。

启用新标准后，Security Hub 最多可能需要 24 小时才能为使用与其他启用标准中已启用控件相同底层 AWS Config 服务的关联规则的控件生成调查发现。例如，如果您在 AWS 基础安全最佳实践 (FSBP) 标准中启用 Lambda.1，Security Hub 将创建与服务相关的规则，并且通常会在几分钟内生成调查发现。此后，如果您在支付卡行业数据安全标准 (PCI DSS) 中启用 Lambda.1，Security Hub 最多可能需要 24 小时才能生成此控件的调查发现，因为它使用的服务关联规则与 Lambda.1 相同。

初始检查后，每个控件的计划可以是定期的，也可以是更改触发的。对于基于托管 AWS Config 规则的控件，控件描述包含指向 AWS Config 开发人员指南中的规则描述的链接。该描述包括规则是更改触发的还是定期性的。

定期安全检查

定期安全检查会在最近一次运行后的 12 或 24 小时内自动运行。Security Hub 决定周期性，您无法对其进行更改。定期控制反映了检查运行时的评估。

如果您更新了定期控件调查发现的工作流状态，然后在下次检查中该调查发现的合规性状态保持不变，则工作流状态将保持其已修改状态。例如，如果 KMS.4 收到一个失败的调查发现，则应启用 AWS KMS key 轮换，然后修复调查发现，Security Hub 会将工作流程状态从 NEW 更改为 RESOLVED。如果您在下次定期检查之前禁用 KMS 密钥轮换，则调查发现的工作流程状态将保持 RESOLVED 不变。

使用 Security Hub 自定义 Lambda 函数的检查始终是定期的。

更改触发的安全检查

更改触发的安全检查会在关联的资源状态发生变化时运行。AWS Config 可让您选择连续记录资源状态变化还是每天记录。如果您选择每日记录，则在资源状态发生变化时，AWS Config 会在每 24 小时的周期结束时提供资源配置数据。如果没有任何更改，则不会传送任何数据。这可能会导致 Security Hub 调查发现生成延迟，直到 24 小时周期结束。无论您选择哪个记录时间，Security Hub 都会每 18 小时检查一次，以确保 AWS Config 没有错过任何资源更新。

通常，Security Hub 尽可能使用更改触发的规则。对于要使用更改触发规则的资源，它必须支持 AWS Config 配置项。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

控制结果所需的 AWS Config 资源

生成和更新控件调查发现