本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 執行安全檢查的排程
<a name="securityhub-standards-schedule"></a>

啟用安全標準後， AWS Security Hub CSPM 會在兩小時內開始執行所有檢查。大多數檢查會在 25 分鐘內開始執行。Security Hub CSPM 透過評估控制項基礎的規則來執行檢查。在控制項完成第一次執行檢查之前，其狀態為**無資料**。

當您啟用新標準時，Security Hub CSPM 最多可能需要 24 小時才能產生控制項的調查結果，這些控制項使用與其他啟用標準相同的基礎 AWS Config 服務連結規則。例如，如果您在 AWS 基礎安全最佳實務 (FSBP) 標準中啟用 [Lambda.1](lambda-controls.md#lambda-1) 控制項，Security Hub CSPM 會建立服務連結規則，通常在幾分鐘內產生問題清單。之後，如果您在支付卡產業資料安全標準 (PCI DSS) 中啟用 Lambda.1 控制項，Security Hub CSPM 最多可能需要 24 小時才能產生控制項的問題清單，因為它使用相同的服務連結規則。

初次檢查後，每個控制項的排程可以定期或觸發變更。對於以受管 AWS Config 規則為基礎的控制項，控制項描述包含《 *AWS Config 開發人員指南*》中規則描述的連結。該描述指定規則是觸發變更還是定期變更。

## 定期安全檢查
<a name="periodic-checks"></a>

定期安全檢查會在最近一次執行後的 12 或 24 小時內自動執行。Security Hub CSPM 會決定週期性，您無法變更。定期控制反映檢查執行時的評估。

如果您更新定期控制調查結果的工作流程狀態，然後在下次檢查調查結果的合規狀態保持不變，工作流程狀態會保持修改狀態。例如，如果您的 [KMS.4](kms-controls.md#kms-4) 控制項問題清單失敗 (*AWS KMS key 應該啟用輪換*)，然後修復問題清單，Security Hub CSPM 會將工作流程狀態從 變更為 `NEW` `RESOLVED`。如果您在下一次定期檢查之前停用 KMS 金鑰輪換，則調查結果的工作流程狀態會保持 `RESOLVED`。

使用 Security Hub CSPM 自訂 Lambda 函數的檢查是定期的。

## 變更觸發的安全檢查
<a name="change-triggered-checks"></a>

當相關聯的資源變更狀態時，會執行變更觸發的安全性檢查。 AWS Config 您可以在資源狀態和*每日記錄*的*持續記錄*之間進行選擇。如果您選擇每日錄製，如果資源狀態發生變更， 會在每 24 小時期間結束時 AWS Config 傳送資源組態資料。如果沒有變更，則不會交付任何資料。這可能會延遲 Security Hub CSPM 調查結果的產生，直到 24 小時期間完成為止。無論您選擇的記錄期間為何，Security Hub CSPM 每 18 小時會檢查一次，以確保沒有 AWS Config 遺漏來自 的資源更新。

一般而言，Security Hub CSPM 會盡可能使用變更觸發的規則。若要讓資源使用變更觸發規則，它必須支援 AWS Config 組態項目。