Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Programación para ejecutar comprobaciones de seguridad
Tras activar un estándar de seguridad, AWS Security Hub comienza a ejecutar todas las comprobaciones en dos horas. La mayoría de las comprobaciones comienzan a ejecutarse en 25 minutos. Security Hub ejecuta las comprobaciones evaluando la regla subyacente a un control. Hasta que un control complete su primera ejecución de comprobaciones, su estado es Sin datos.
Al habilitar un nuevo estándar, Security Hub puede tardar hasta 24 horas en generar resultados para los controles que utilizan el mismo subyacente. AWS Config regla vinculada al servicio, ya que los controles habilitados provienen de otros estándares habilitados. Por ejemplo, si habilita Lambda.1 en el AWS Security Hub, estándar fundamental de mejores prácticas de seguridad (FSBP), creará la regla vinculada al servicio y, por lo general, generará conclusiones en cuestión de minutos. Después de esto, si habilita Lambda.1 en el Estándar de seguridad de datos del sector de tarjetas de pago (PCIDSS), Security Hub puede tardar hasta 24 horas en generar resultados para este control, ya que utiliza la misma regla vinculada a servicios que Lambda.1.
Después de la comprobación inicial, la programación de cada control puede ser periódica o activada por cambios. Para un control que se basa en un control gestionado AWS Config regla, la descripción del control incluye un enlace a la descripción de la regla en el AWS Config Guía para desarrolladores. Esa descripción incluye si la regla está activada por cambios o es periódica.
Controles de seguridad periódicos
Los controles de seguridad periódicos se ejecutan automáticamente dentro de las 12 o 24 horas posteriores a la ejecución más reciente. Security Hub determina la periodicidad y no se puede cambiar. Los controles periódicos reflejan una evaluación en el momento en que se ejecuta la comprobación.
Si actualiza el estado de flujo de trabajo de un resultado de control periódico y, a continuación, en la siguiente comprobación, el estado de cumplimiento del resultado sigue siendo el mismo, el estado de flujo de trabajo permanece en su estado modificado. Por ejemplo, si ha encontrado un error para KMS .4 - AWS KMS key la rotación debe estar habilitada y, a continuación, corregir el hallazgo: Security Hub cambia el estado del flujo de trabajo de NEW aRESOLVED. Si desactiva la rotación de KMS claves antes de la siguiente comprobación periódica, el estado del flujo de trabajo de la búsqueda se mantieneRESOLVED.
Las comprobaciones que utilizan funciones de Lambda personalizadas de Security Hub son periódicas.
Comprobaciones de seguridad activadas por cambios
Las comprobaciones de seguridad activadas por cambios se ejecutan cuando el recurso asociado cambia de estado. AWS Config le permite elegir entre el registro continuo de los cambios en el estado del recurso y el registro diario. Si elige la grabación diaria, AWS Config entrega los datos de configuración de los recursos al final de cada período de 24 horas si se producen cambios en el estado de los recursos. Si no hay cambios, no se entrega ningún dato. Esto puede retrasar la generación de los resultados de Security Hub hasta que se complete un periodo de 24 horas. Independientemente del período de grabación que elija, Security Hub comprueba cada 18 horas para garantizar que no haya actualizaciones de recursos de AWS Config se perdieron.
En general, Security Hub utiliza reglas activadas por cambios siempre que sea posible. Para que un recurso utilice una regla activada por cambios, debe ser compatible con AWS Config elementos de configuración.
