有关运行安全检查的计划 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

有关运行安全检查的计划

启用安全标准后,Securit Amazon y Hub 云安全态势管理 (CSPM) 将在两小时内开始运行所有检查。大多数检查会在 25 分钟内开始运行。Security Hub CSPM 通过评估控件底层的规则来运行检查。在控件完成其第一次检查之前,其状态为无数据

启用新标准后,Security Hub CSPM 最多可能需要 24 小时才能为使用与其他启用标准中的已启用控件相同的底层 Amazon Config 服务关联规则的控件生成调查结果。例如,如果您在 Amazon 基础安全最佳实践 (FSBP) 标准中启用 Lambda.1 控件,Security Hub CSPM 会创建与服务相关的规则,并且通常会在几分钟内生成调查结果。之后,如果您在支付卡行业数据安全标准 (PCI DSS) 中启用 Lambda.1 控件,Security Hub CSPM 最多可能需要 24 小时才能生成该控件的调查结果,因为它使用相同的服务相关规则。

初始检查后,每个控件的计划可以是定期的,也可以是更改触发的。对于基于托管 Amazon Config 规则的控件,控件描述中包含指向《Amazon Config 开发人员指南》中规则描述的链接。该描述指定了规则是触发变更还是周期性的。

定期安全检查

定期安全检查会在最近一次运行后的 12 或 24 小时内自动运行。Security Hub CSPM 决定了周期性,但你无法对其进行更改。定期控制反映了检查运行时的评估。

如果您更新了定期控件调查发现的工作流状态,然后在下次检查中该调查发现的合规性状态保持不变,则工作流状态将保持其已修改状态。例如,如果您找到 KMS.4 控件的查找失败(应启用Amazon KMS key 轮换),然后修复了发现结果,Security Hub CSPM 会将工作流程状态从更改为。NEW RESOLVED如果您在下次定期检查之前禁用 KMS 密钥轮换,则调查发现的工作流程状态将保持 RESOLVED 不变。

使用 Security Hub CSPM 自定义 Lambda 函数的检查是定期进行的。

更改触发的安全检查

当关联的资源状态发生变化时,会运行变更触发的安全检查。 Amazon Config 允许您在连续记录资源状态变化和每日记录之间进行选择。如果您选择每日记录,则在资源状态发生变化时,会在每 24 小时结束时 Amazon Config 提供资源配置数据。如果没有任何更改,则不会传送任何数据。这可能会延迟 Security Hub CSPM 调查结果的生成,直到 24 小时后才生成。无论您选择哪个录制时间,Security Hub CSPM 都会每 18 小时检查一次,以确保没有错 Amazon Config 过任何资源更新。

通常,Security Hub CSPM 会尽可能使用变更触发的规则。要使资源使用变更触发的规则,它必须支持 Amazon Config 配置项目。