執行安全檢查的排程

啟用安全性標準後，會在兩小時內 AWS Security Hub 開始執行所有檢查。大多數檢查會在 25 分鐘內開始執行。Security Hub 通過評估控制項基礎的規則來運行檢查。在控制項完成第一次執行檢查之前，其狀態為 [無資料]。

當您啟用新標準時，Security Hub 最多可能需要 24 小時才能針對使用與其他已啟用標準的控制項相同的基礎 AWS Config 服務連結規則的控制項產生發現項目。例如，如果您在 AWS 基礎安全性最佳做法 (FSBP) 標準中啟用 Lambda.1，Security Hub 會建立服務連結規則，通常會在幾分鐘內產生發現項目。此後，如果您在支付卡產業資料安全標準 (PCI DSS) 中啟用 Lambda.1，Security Hub 可能需要長達 24 小時才能產生此控制項的發現項目，因為它使用與 Lambda.1 相同的服務連結規則。

初始檢查之後，每個控制項的排程可以是週期性的，也可以是觸發變更。

• 定期檢查 — 這些檢查會在最近一次執行後的 12 或 24 小時內自動執行。Security Hub 確定週期性，您無法更改它。定期控制會在執行檢查時反映評估。如果您更新定期控制搜尋結果的工作流程狀態，然後在接下來檢查搜尋結果的符合性狀態保持不變，則工作流程狀態會保持在其已修改狀態。例如，如果您找不到 KMS.4- AWS KMS key 輪替應該啟用，然後修復發現項目，Security Hub 會將工作流程狀態從變更為。NEW RESOLVED如果您在下次定期檢查之前停用 KMS 金鑰輪替，則發現項目的工作流程狀態仍會保留RESOLVED。

• 變更觸發的檢查 — 這些檢查會在關聯的資源變更狀態時執行。 AWS Config 可讓您在連續記錄資源狀態變更和每日記錄之間進行選擇。如果您選擇每日記錄，如果資源狀態發生變更，則會在每 24 小時期間結束時 AWS Config 傳送資源組態資料。如果沒有變更，則不會傳送任何資料。這可能會延遲 Security Hub 發現項目的產生，直到 24 小時的期間完成為止。無論您選擇的錄製時間為何，Security Hub 每 18 小時都會檢查一次，以確保沒有遺 AWS Config 漏任何資源更新。

一般而言，Security Hub 會盡可能地使用變更觸發規則。若要讓資源使用變更觸發的規則，它必須支援 AWS Config 組態項目。

對於以受管理 AWS Config 規則為基礎的控制項，控制項說明會包含AWS Config 開發人員指南中規則說明的連結。該描述包括規則是觸發變更還是定期變更。

使用 Security Hub 自訂 Lambda 函數的檢查是定期的。