Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Programación para ejecutar comprobaciones de seguridad
Tras activar un estándar de seguridad, Security Hub Cloud AWS Security Posture Management (CSPM) comienza a ejecutar todas las comprobaciones en un plazo de dos horas. La mayoría de las comprobaciones comienzan a ejecutarse en 25 minutos. Security Hub CSPM ejecuta las comprobaciones evaluando la regla subyacente a un control. Hasta que un control complete su primera ejecución de comprobaciones, su estado es Sin datos.
Al habilitar un nuevo estándar, Security Hub CSPM puede tardar hasta 24 horas en generar resultados para los controles que utilizan la misma regla subyacente AWS Config vinculada a servicios que los controles habilitados de otros estándares habilitados. Por ejemplo, si habilita el control Lambda.1 en el estándar AWS Foundational Security Best Practices (FSBP), Security Hub CSPM crea la regla vinculada al servicio y, por lo general, genera resultados en cuestión de minutos. Después de esto, si habilita el control Lambda.1 en el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), Security Hub CSPM puede tardar hasta 24 horas en generar resultados para el control, ya que utiliza la misma regla vinculada al servicio.
Después de la comprobación inicial, la programación de cada control puede ser periódica o activada por cambios. En el caso de un control que se basa en una AWS Config regla gestionada, la descripción del control incluye un enlace a la descripción de la regla en la Guía para desarrolladores.AWS Config En esa descripción se especifica si la regla se desencadena por cambios o es periódica.
Controles de seguridad periódicos
Los controles de seguridad periódicos se ejecutan automáticamente en las 12 o 24 horas posteriores a la última ejecución. Security Hub CSPM determina la periodicidad y no se puede cambiar. Los controles periódicos reflejan una evaluación en el momento en que se ejecuta la comprobación.
Si actualiza el estado de flujo de trabajo de un resultado de control periódico y, a continuación, en la siguiente comprobación, el estado de cumplimiento del resultado sigue siendo el mismo, el estado de flujo de trabajo permanece en su estado modificado. Por ejemplo, si encuentra un error en la búsqueda del control KMS.4 (la AWS KMS key rotación debe estar habilitada) y, a continuación, corrige la búsqueda, Security Hub CSPM cambia el estado del flujo de trabajo de a. NEW RESOLVED Si desactiva la rotación de claves de KMS antes de la siguiente comprobación periódica, el estado del flujo de trabajo del resultado se mantiene como RESOLVED.
Las comprobaciones que utilizan funciones Lambda personalizadas de CSPM de Security Hub son periódicas.
Controles de seguridad desencadenados por cambios
Las comprobaciones de seguridad activadas por cambios se ejecutan cuando el recurso asociado cambia de estado. AWS Config le permite elegir entre el registro continuo de los cambios en el estado del recurso y el registro diario. Si elige el registro diario, AWS Config entrega los datos de configuración de los recursos al final de cada período de 24 horas si se producen cambios en el estado de los recursos. Si no hay cambios, no se entrega ningún dato. Esto puede retrasar la generación de las conclusiones del CSPM de Security Hub hasta que se complete un período de 24 horas. Independientemente del período de grabación que haya elegido, el CSPM de Security Hub comprueba cada 18 horas para asegurarse de que no AWS Config se haya perdido ninguna actualización de recursos.
En general, Security Hub CSPM utiliza reglas activadas por cambios siempre que es posible. Para que un recurso utilice una regla activada por cambios, debe admitir los elementos de configuración. AWS Config
