本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
執行安全檢查的排程
啟用安全性標準之後, AWS Security Hub 開始在兩小時內執行所有檢查。大多數檢查會在 25 分鐘內開始執行。Security Hub 透過評估控制項基礎的規則來執行檢查。在控制項完成第一次執行檢查之前,其狀態為 [無資料]。
當您啟用新標準時,Security Hub 最多可能需要 24 小時才能針對使用相同基礎的控制項產生發現項目 AWS Config 服務連結規則做為其他已啟用標準的啟用控制項。例如,如果您在 AWS Security Hub 的基礎安全性最佳做法 (FSBP) 標準會建立服務連結規則,通常在幾分鐘內產生發現項目。此後,如果您在支付卡產業資料安全標準 (PCIDSS) 中啟用 Lambda.1,Security Hub 最多可能需要 24 小時才能產生此控制項的發現項目,因為它使用與 Lambda.1 相同的服務連結規則。
初始檢查之後,每個控制項的排程可以是週期性的,也可以是觸發變更。對於基於託管的控件 AWS Config 規則,控制項描述中包含規則描述的連結 AWS Config 開發人員指南。該描述包括規則是觸發變更還是定期變更。
定期安全檢查
定期安全檢查會在最近一次執行後的 12 或 24 小時內自動執行。Security Hub 確定週期性,您無法更改它。定期控制會在執行檢查時反映評估。
如果您更新定期控制搜尋結果的工作流程狀態,然後在接下來檢查搜尋結果的符合性狀態不變,則工作流程狀態會保持在其已修改狀態。例如,如果您有 KMS .4 的尋找失敗- AWS KMS key 應啟用輪替,然後修復發現項目,Security Hub 會將工作流程狀態從變更NEW
為RESOLVED
。如果您在下次定期檢查之前停用KMS按鍵輪換,則搜尋結果的工作流程狀態仍會保留RESOLVED
。
使用 Security Hub 自訂 Lambda 函數的檢查是定期的。
變更觸發的安全性檢查
當關聯的資源變更狀態時,會執行變更觸發的安全性檢查。 AWS Config 可讓您在連續記錄資源狀態變更和每日記錄之間進行選擇。如果您選擇每日錄製, AWS Config 如果資源狀態發生變更,則會在每 24 小時期間結束時提供資源組態資料。如果沒有變更,則不會傳送任何資料。這可能會延遲 Security Hub 發現項目的產生,直到 24 小時的期間完成為止。無論您選擇的錄製期間如何,Security Hub 每 18 小時都會檢查一次,以確保不會更新任何資源 AWS Config 被錯過了。
一般而言,Security Hub 會盡可能地使用變更觸發規則。若要讓資源使用變更觸發的規則,它必須支援 AWS Config 組態項目。