Planification de l'exécution des vérifications de sécurité

Une fois que vous avez activé une norme de sécurité, AWS Security Hub commence à exécuter toutes les vérifications dans les deux heures. La plupart des contrôles commencent à être exécutés dans les 25 minutes. Security Hub exécute des vérifications en évaluant la règle sous-jacente à un contrôle. Jusqu'à ce qu'un contrôle termine sa première série de vérifications, son statut est Aucune donnée.

Lorsque vous activez une nouvelle norme, Security Hub peut mettre jusqu'à 24 heures pour générer des résultats pour les contrôles qui utilisent la même règle sous-jacente AWS Config liée au service que les contrôles activés issus d'autres normes activées. Par exemple, si vous activez Lambda.1 dans la norme AWS Foundational Security Best Practices (FSBP), Security Hub créera la règle liée au service et générera généralement des résultats en quelques minutes. Ensuite, si vous activez Lambda.1 dans la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), Security Hub peut mettre jusqu'à 24 heures pour générer les résultats de ce contrôle, car il utilise la même règle liée aux services que Lambda.1.

Après la vérification initiale, le calendrier de chaque contrôle peut être périodique ou déclenché par des modifications.

Les contrôles périodiques sont exécutés automatiquement dans les 12 ou 24 heures suivant la dernière exécution. Security Hub détermine la périodicité, et vous ne pouvez pas la modifier. Les contrôles périodiques reflètent une évaluation au moment où le contrôle est exécuté. Si vous mettez à jour l'état du flux de travail d'un résultat de contrôle périodique, puis que, lors de la prochaine vérification, le statut de conformité du résultat reste le même, le statut du flux de travail reste dans son état modifié. Par exemple, si vous n'avez pas trouvé KMS.4, la AWS KMS key rotation doit être activée, puis corriger le résultat, Security Hub change le statut du flux de travail de à. NEW RESOLVED Si vous désactivez la rotation des clés KMS avant la prochaine vérification périodique, l'état du résultat dans le flux de travail est conservéRESOLVED.
Les vérifications déclenchées par une modification s'exécutent lorsque l'état de la ressource associée change. Même si la ressource ne change pas d'état, l'heure de mise à jour pour les vérifications déclenchées par des modifications est actualisée toutes les 18 heures. Cela permet d'indiquer que le contrôle est toujours activé.

En général, Security Hub utilise des règles déclenchées par des modifications chaque fois que cela est possible. Pour qu'une ressource utilise une règle déclenchée par des modifications, elle doit prendre en charge les éléments AWS Config de configuration.

Pour un contrôle basé sur une AWS Config règle gérée, la description du contrôle inclut un lien vers la description de la règle dans le guide du AWS Config développeur. Cette description indique si la règle est déclenchée par des modifications ou périodique.

Les contrôles qui utilisent les fonctions Lambda personnalisées de Security Hub sont toujours périodiques.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS ConfigRessources requises pour les résultats des contrôles

Génération et mise à jour des résultats de contrôle