보안 검사 실행 예약

보안 표준을 활성화하면 2시간 이내에 모든 검사를 AWS Security Hub 실행하기 시작합니다. 대부분의 검사는 25분 이내에 실행되기 시작합니다. Security Hub는 제어의 기반이 되는 규칙을 평가하여 검사를 실행합니다. 제어가 첫 번째 검사 실행을 완료할 때까지 상태는 데이터 없음입니다.

새 표준을 사용하도록 설정하면 Security Hub에서 다른 사용 가능한 표준에서 사용하도록 설정한 컨트롤과 동일한 기본 AWS Config 서비스 연결 규칙을 사용하는 컨트롤에 대한 검색 결과를 생성하는 데 최대 24시간이 걸릴 수 있습니다. 예를 들어 AWS 기본 보안 모범 사례 (FSBP) 표준에서 Lambda.1을 활성화하면 Security Hub가 서비스 연결 규칙을 생성하고 일반적으로 몇 분 안에 결과를 생성합니다. 이후 PCI DSS(지불 카드 산업 데이터 보안 표준)에서 Lambda.1을 활성화하면 Security Hub는 Lambda.1과 동일한 서비스 연결 규칙을 사용하기 때문에 이 제어에 대한 조사 결과를 생성하는 데 최대 24시간이 걸릴 수 있습니다.

초기 검사 후 각 제어에 대한 일정은 주기적이거나 변경으로 트리거될 수 있습니다.

• 주기적 검사 - 이 검사는 가장 최근 실행 후 12~24시간 이내에 자동으로 실행됩니다. Security Hub는 주기를 결정하며 사용자는 이를 변경할 수 없습니다. 주기적 제어에는 검사가 실행되는 시점의 평가가 반영됩니다. 주기적 제어 결과의 워크플로 상태를 업데이트하고 다음 검사에서 결과의 규정 준수 상태가 동일하게 유지되는 경우 워크플로 상태는 수정된 상태로 유지됩니다. 예를 들어 KMS.4 검색에 실패한 경우 - AWS KMS key 순환을 활성화한 다음 결과를 수정해야 하는 경우 Security Hub는 워크플로우 상태를 에서 로 변경합니다. NEW RESOLVED 다음 정기 검사 전에 KMS 키 교체를 비활성화해도 검색 결과의 워크플로 상태는 RESOLVED로 유지됩니다.

• 변경 트리거 검사 — 이러한 검사는 관련 리소스의 상태가 변경될 때 실행됩니다. AWS Config 리소스 상태의 변경 사항을 지속적으로 기록하는 것과 매일 기록하는 것 중에서 선택할 수 있습니다. 일별 기록을 선택하면 리소스 상태가 변경될 경우 각 24시간 기간이 끝날 때 리소스 구성 데이터를 AWS Config 제공합니다. 변경 사항이 없는 경우에는 데이터가 제공되지 않습니다. 이로 인해 24시간이 완료될 때까지 Security Hub 결과 생성이 지연될 수 있습니다. 선택한 녹화 기간에 관계없이 Security Hub는 18시간마다 리소스 업데이트를 확인하여 AWS Config 누락된 리소스 업데이트가 없는지 확인합니다.

일반적으로 Security Hub는 가능한 경우 항상 변경으로 트리거되는 규칙을 사용합니다. 리소스가 변경 트리거 규칙을 사용하려면 AWS Config 구성 항목을 지원해야 합니다.

관리형 AWS Config 규칙을 기반으로 하는 컨트롤의 경우 컨트롤 설명에는 AWS Config 개발자 안내서의 규칙 설명 링크가 포함됩니다. 이 설명에는 규칙이 변경으로 트리거되는지 또는 주기적인지 여부가 포함됩니다.

Security Hub 사용자 지정 Lambda 함수를 사용하는 점검은 주기적입니다.