セキュリティチェックの実行スケジュール

セキュリティ標準を有効にすると、 AWS Security Hub Cloud Security Posture Management (CSPM) は 2 時間以内にすべてのチェックの実行を開始します。ほとんどのチェックは 25 分以内に実行開始されます。Security Hub CSPM は、コントロールの基盤となるルールを評価してチェックを実行します。コントロールのチェックの最初の実行が完了するまで、ステータスは [No data] (データなし) です。

新しい標準を有効にすると、Security Hub CSPM が、他の有効な標準で有効なコントロールと同じ基盤となる AWS Config サービスにリンクされたルールを使用するコントロールの検出結果を生成するまでに、最大 24 時間かかる場合があります。例えば、 AWS Foundational Security Best Practices (FSBP) 標準で Lambda.1 コントロールを有効にすると、Security Hub CSPM はサービスにリンクされたルールを作成し、通常は数分以内に結果を生成します。その後、Payment Card Industry Data Security Standard (PCI DSS) で Lambda.1 コントロールを有効にすると、Security Hub CSPM が同じサービスにリンクされたルールを使用するため、コントロールの結果を生成するまでに最大 24 時間かかる場合があります。

最初のチェックの後、各コントロールのスケジュールは、定期的に実行されるか、変更によってトリガーされます。マネージド AWS Config ルールに基づくコントロールの場合、コントロールの説明には、 AWS Config デベロッパーガイドのルールの説明へのリンクが含まれます。この説明では、ルールの変更がトリガーされるか、定期的に行われるかを指定します。

定期的なセキュリティチェック

定期的なセキュリティチェックは、最後の実行から 12 時間または 24 時間以内に自動的に実行されます。Security Hub CSPM は周期性を決定し、変更することはできません。定期的なコントロールは、チェック実行時の評価を反映したものになります。

定期的な統制結果のワークフローステータスを更新し、次のチェックで検出結果のコンプライアンスステータスが同じままであっても、ワークフローステータスは変更された状態のままです。たとえば、KMS.4 コントロールの検出に失敗し (AWS KMS key ローテーションを有効にする必要があります）、検出結果を修復すると、Security Hub CSPM はワークフローステータスNEWをからに変更しますRESOLVED。次の定期チェックの前に KMS キーローテーションを無効にすると、検出結果のワークフローステータスは RESOLVED のままになります。

Security Hub CSPM カスタム Lambda 関数を使用するチェックは定期的に行われます。

変更によってトリガーされるセキュリティチェック

変更によってトリガーされるセキュリティチェックは、関連するリソースの状態が変更されたときに実行されます。リソースの状態の変化を継続的に記録 AWS Config するか、毎日記録するかを選択します。毎日の記録を選択した場合、はリソース状態に変更があった場合、24 時間ごとにリソース設定データを AWS Config 配信します。変化がなければ、データは配信されません。これにより、Security Hub CSPM の検出結果の生成が 24 時間完了するまで遅延する可能性があります。選択した記録期間に関係なく、Security Hub CSPM は 18 時間ごとにをチェックし、からのリソースの更新が見逃 AWS Config されていないことを確認します。

一般的に、Security Hub CSPM は、可能な限り変更によってトリガーされるルールを使用します。リソースが変更によってトリガーされるルールを使用するには、 AWS Config 設定項目をサポートしている必要があります。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

コントロールの検出結果に必要な AWS Config リソース

コントロールの結果を生成および更新する