As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Programar a execução de verificações de segurança
Depois de habilitar um padrão de segurança, o AWS Security Hub Cloud Security Posture Management (CSPM) começa a executar todas as verificações em duas horas. A maioria das verificações começa a ser executada em 25 minutos. O Security Hub CSPM executa verificações avaliando a regra subjacente a um controle. Até que um controle conclua sua primeira execução de verificações, seu status é Sem dados.
Quando você habilita um novo padrão, pode levar até 24 horas para que o Security Hub CSPM gere descobertas para controles que usam a mesma regra subjacente AWS Config vinculada ao serviço dos controles habilitados de outros padrões habilitados. Por exemplo, se você habilitar o controle Lambda.1 no padrão AWS Foundational Security Best Practices (FSBP), o Security Hub CSPM cria a regra vinculada ao serviço e normalmente gera descobertas em minutos. Depois disso, se você ativar o controle Lambda.1 no Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS), poderá levar até 24 horas para o Security Hub CSPM gerar descobertas para o controle, pois ele usa a mesma regra vinculada ao serviço.
Após a verificação inicial, a programação para cada controle pode ser periódica ou acionada por alterações. Para um controle baseado em uma AWS Config regra gerenciada, a descrição do controle inclui um link para a descrição da regra no Guia do AWS Config desenvolvedor. Essa descrição especifica se a regra é acionada por alterações ou periódica.
Verificações de segurança periódicas
As verificações periódicas são executadas automaticamente dentro de 12 ou 24 horas após a última execução. O CSPM do Security Hub determina a periodicidade e você não pode alterá-la. Os controles periódicos refletem uma avaliação no momento em que a verificação é executada.
Se você atualizar o status do fluxo de trabalho de uma descoberta de controle periódica e, na próxima verificação, o status de conformidade da descoberta permanecer o mesmo, o status do fluxo de trabalho permanecerá em seu estado modificado. Por exemplo, se você tiver uma falha na descoberta do controle KMS.4 (a AWS KMS key rotação deve estar ativada) e, em seguida, corrigir a descoberta, o CSPM do Security Hub alterará o status do fluxo de trabalho de para. NEW RESOLVED Se você desativar a alternância da chave KMS antes da próxima verificação periódica, o status do fluxo de trabalho da descoberta permanecerá RESOLVED.
As verificações que usam as funções Lambda personalizadas do Security Hub CSPM são periódicas.
Verificações de segurança acionadas por alterações
As verificações de segurança acionadas por alterações são executadas quando o recurso associado muda de estado. AWS Config permite escolher entre gravação contínua de alterações no estado do recurso e gravação diária. Se você escolher a gravação diária, AWS Config fornecerá dados de configuração do recurso no final de cada período de 24 horas se houver alterações no estado do recurso. Se não houver alterações, nenhum dado será entregue. Isso pode atrasar a geração das descobertas do CSPM do Security Hub até que um período de 24 horas seja concluído. Independentemente do período de gravação escolhido, o CSPM do Security Hub verifica a cada 18 horas para garantir que nenhuma atualização de recursos tenha AWS Config sido perdida.
Em geral, o Security Hub CSPM usa regras acionadas por alterações sempre que possível. Para que um recurso use uma regra acionada por alterações, ele deve oferecer suporte a itens de AWS Config configuração.
