Verificações de segurança periódicas Verificações de segurança acionadas por alterações

Programar a execução de verificações de segurança

Depois de habilitar um padrão de segurança, o CSPM do AWS Security Hub começa a executar as verificações em até duas horas. A maioria das verificações começa a ser executada em 25 minutos. O CSPM do Security Hub executa verificações avaliando a regra subjacente a um controle. Até que um controle conclua sua primeira execução de verificações, seu status é Sem dados.

Quando você habilita um novo padrão, pode levar até 24 horas para que o CSPM do Security Hub gere descobertas para controles que usem a mesma regra subjacente vinculada ao serviço AWS Config dos controles habilitados de outros padrões habilitados. Por exemplo, se você habilitar o controle Lambda.1 no padrão Práticas Recomendadas de Segurança Básica da AWS (FSBP), o CSPM do Security Hub criará a regra vinculada ao serviço e normalmente gerará descobertas dentro de minutos. Depois disso, se você habilitar o Lambda.1 no Padrão de segurança de dados do setor de cartão de pagamento (PCI DSS), o CSPM do Security Hub poderá levar até 24 horas para gerar descobertas para esse controle, pois ele usa a mesma regra vinculada ao serviço.

Após a verificação inicial, a programação para cada controle pode ser periódica ou acionada por alterações. Para um controle baseado em uma regra gerenciada do AWS Config, a descrição do controle inclui um link para a descrição da regra no Guia do desenvolvedor do AWS Config. Essa descrição especifica se a regra é periódica ou acionada por alterações.

Verificações de segurança periódicas

As verificações periódicas são executadas automaticamente dentro de 12 ou 24 horas após a última execução. O CSPM do Security Hub determina a periodicidade, e você não pode alterá-la. Os controles periódicos refletem uma avaliação no momento em que a verificação é executada.

Se você atualizar o status do fluxo de trabalho de uma descoberta de controle periódica e, na próxima verificação, o status de conformidade da descoberta permanecer o mesmo, o status do fluxo de trabalho permanecerá em seu estado modificado. Por exemplo, se você tiver uma descoberta com falha para o controle KMS.4 (a alternância de AWS KMS key deve estar habilitada) e, em seguida, corrigir a descoberta, o CSPM do Security Hub alterará o status do fluxo de trabalho de NEW para RESOLVED. Se você desativar a alternância da chave KMS antes da próxima verificação periódica, o status do fluxo de trabalho da descoberta permanecerá RESOLVED.

As verificações que usam as funções do Lambda personalizadas para o CSPM do Security Hub são periódicas.

Verificações de segurança acionadas por alterações

Verificações acionadas por alterações: essas verificações são executadas quando o recurso associado muda de estado. O AWS Config permite que você escolha entre gravar continuamente e gravar diariamente no estado do recurso. Se você escolher a gravação diária, a AWS Config fornecerá dados de configuração do recurso no final de cada período de 24 horas se houver alterações no estado do recurso. Se não houver alterações, nenhum dado será entregue. Isso pode atrasar a geração das descobertas do CSPM do Security Hub até que um período de 24 horas seja concluído. Independentemente do período de gravação escolhido, o CSPM do Security Hub verifica a cada 18 horas para garantir que nenhuma atualização de recursos da AWS Config tenha sido perdida.

Em geral, o CSPM do Security Hub usa regras acionadas por alterações sempre que possível. Para que um recurso use uma regra acionada por alterações, deve haver suporte aos itens de configuração do AWS Config.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Recursos AWS Config necessários para descobertas de controle

Gerando e atualizando descobertas de controle