本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 有关运行安全检查的计划
<a name="securityhub-standards-schedule"></a>

启用安全标准后，Securit AWS y Hub CSPM 将在两小时内开始运行所有检查。大多数检查会在 25 分钟内开始运行。 Security Hub CSPM 通过评估控件底层的规则来运行检查。在控件完成其第一次检查之前，其状态为**无数据**。

启用新标准后，Security Hub CSPM 最多可能需要 24 小时才能为使用与其他启用标准中的已启用控件相同的底层 AWS Config 服务关联规则的控件生成调查结果。例如，如果您在 AWS 基础安全最佳实践 (FSBP) 标准中启用 [Lambda.1](lambda-controls.md#lambda-1) 控件，Security Hub CSPM 会创建与服务相关的规则，并且通常会在几分钟内生成调查结果。此后，如果您在支付卡行业数据安全标准（PCI DSS）中启用 Lambda.1 控件，Security Hub CSPM 最多可能需要 24 小时才能生成该控件的调查发现，因为它使用相同的服务相关规则。

初始检查后，每个控件的计划可以是定期的，也可以是更改触发的。对于基于托管 AWS Config 规则的控件，控件描述中包含指向《*AWS Config 开发人员指南》*中规则描述的链接。该描述指定规则是更改触发的还是定期性的。

## 定期安全检查
<a name="periodic-checks"></a>

定期安全检查会在最近一次运行后的 12 或 24 小时内自动运行。Security Hub CSPM 确定周期性，您无法对其进行更改。定期控制反映了检查运行时的评估。

如果您更新了定期控件调查发现的工作流状态，然后在下次检查中该调查发现的合规性状态保持不变，则工作流状态将保持其已修改状态。例如，如果您找到 [KMS.4](kms-controls.md#kms-4) 控件的查找失败（*应启用AWS KMS key 轮换*），然后修复了发现结果，Security Hub CSPM 会将工作流程状态从更改为。`NEW` `RESOLVED`如果您在下次定期检查之前禁用 KMS 密钥轮换，则调查发现的工作流状态将保持 `RESOLVED` 不变。

使用 Security Hub CSPM 自定义 Lambda 函数的检查是定期进行的。

## 更改触发的安全检查
<a name="change-triggered-checks"></a>

当关联的资源状态发生变化时，会运行变更触发的安全检查。 AWS Config 允许您在*连续记录*资源状态变化和*每日记录*之间进行选择。如果您选择每日记录，则在资源状态发生变化时，会在每 24 小时结束时 AWS Config 提供资源配置数据。如果没有任何更改，则不会传送任何数据。这可能会导致 Security Hub CSPM 调查发现生成延迟，直到 24 小时周期结束。无论您选择哪个录制时间，Security Hub CSPM 都会每 18 小时检查一次，以确保没有错 AWS Config 过任何资源更新。

通常，Security Hub CSPM 尽可能使用更改触发的规则。要使资源使用变更触发的规则，它必须支持 AWS Config 配置项目。