本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
有关运行安全检查的计划
启用安全标准后,将在两小时内 Amazon Security Hub 开始运行所有检查。大多数检查会在 25 分钟内开始运行。Security Hub 通过评估控件底层的规则来运行检查。在控件完成其第一次检查之前,其状态为无数据。
启用新标准后,Security Hub 最多可能需要 24 小时才能为使用与其他启用标准中的已启用控件相同的底层 Amazon Config 服务关联规则的控件生成调查结果。例如,如果您在 Amazon 基础安全最佳实践 (FSBP) 标准中启用 Lambda.1,Security Hub 将创建与服务相关的规则,并且通常会在几分钟内生成结果。此后,如果您在支付卡行业数据安全标准 (PCI DSS) 中启用 Lambda.1,Security Hub 最多可能需要 24 小时才能生成此控件的调查发现,因为它使用的服务关联规则与 Lambda.1 相同。
初始检查后,每个控件的计划可以是定期的,也可以是更改触发的。对于基于托管 Amazon Config 规则的控件,控件描述中包含指向《Amazon Config 开发人员指南》中规则描述的链接。该描述包括规则是更改触发的还是定期性的。
定期安全检查
定期安全检查会在最近一次运行后的 12 或 24 小时内自动运行。Security Hub 决定周期性,您无法对其进行更改。定期控制反映了检查运行时的评估。
如果您更新了定期控件调查发现的工作流状态,然后在下次检查中该调查发现的合规性状态保持不变,则工作流状态将保持其已修改状态。例如,如果您的 KMS.4 发现失败,则应启用 Amazon KMS key 轮换,然后修复发现结果,Security Hub 会将工作流程状态从更改为。NEW RESOLVED如果您在下次定期检查之前禁用 KMS 密钥轮换,则调查发现的工作流程状态将保持 RESOLVED 不变。
使用 Security Hub 自定义 Lambda 函数的检查始终是定期的。
更改触发的安全检查
当关联的资源状态发生变化时,会运行变更触发的安全检查。 Amazon Config 允许您在连续记录资源状态变化和每日记录之间进行选择。如果您选择每日记录,则在资源状态发生变化时,会在每 24 小时结束时 Amazon Config 提供资源配置数据。如果没有任何更改,则不会传送任何数据。这可能会导致 Security Hub 调查发现生成延迟,直到 24 小时周期结束。无论您选择哪个录制时段,Security Hub 都会每 18 小时检查一次,以确保 Amazon Config 没有错过任何资源更新。
通常,Security Hub 尽可能使用更改触发的规则。要使资源使用变更触发的规则,它必须支持 Amazon Config 配置项目。