有关运行安全检查的计划

启用安全标准后，Securit AWS y Hub CSPM 将在两小时内开始运行所有检查。大多数检查会在 25 分钟内开始运行。 Security Hub CSPM 通过评估控件底层的规则来运行检查。在控件完成其第一次检查之前，其状态为无数据。

启用新标准后，Security Hub CSPM 最多可能需要 24 小时才能为使用与其他启用标准中的已启用控件相同的底层 AWS Config 服务关联规则的控件生成调查结果。例如，如果您在 AWS 基础安全最佳实践 (FSBP) 标准中启用 Lambda.1 控件，Security Hub CSPM 会创建与服务相关的规则，并且通常会在几分钟内生成调查结果。此后，如果您在支付卡行业数据安全标准（PCI DSS）中启用 Lambda.1 控件，Security Hub CSPM 最多可能需要 24 小时才能生成该控件的调查发现，因为它使用相同的服务相关规则。

初始检查后，每个控件的计划可以是定期的，也可以是更改触发的。对于基于托管 AWS Config 规则的控件，控件描述中包含指向《AWS Config 开发人员指南》中规则描述的链接。该描述指定规则是更改触发的还是定期性的。

定期安全检查

定期安全检查会在最近一次运行后的 12 或 24 小时内自动运行。Security Hub CSPM 确定周期性，您无法对其进行更改。定期控制反映了检查运行时的评估。

如果您更新了定期控件调查发现的工作流状态，然后在下次检查中该调查发现的合规性状态保持不变，则工作流状态将保持其已修改状态。例如，如果您找到 KMS.4 控件的查找失败（应启用AWS KMS key 轮换），然后修复了发现结果，Security Hub CSPM 会将工作流程状态从更改为。NEW RESOLVED如果您在下次定期检查之前禁用 KMS 密钥轮换，则调查发现的工作流状态将保持 RESOLVED 不变。

使用 Security Hub CSPM 自定义 Lambda 函数的检查是定期进行的。

更改触发的安全检查

当关联的资源状态发生变化时，会运行变更触发的安全检查。 AWS Config 允许您在连续记录资源状态变化和每日记录之间进行选择。如果您选择每日记录，则在资源状态发生变化时，会在每 24 小时结束时 AWS Config 提供资源配置数据。如果没有任何更改，则不会传送任何数据。这可能会导致 Security Hub CSPM 调查发现生成延迟，直到 24 小时周期结束。无论您选择哪个录制时间，Security Hub CSPM 都会每 18 小时检查一次，以确保没有错 AWS Config 过任何资源更新。

通常，Security Hub CSPM 尽可能使用更改触发的规则。要使资源使用变更触发的规则，它必须支持 AWS Config 配置项目。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

控制结果所需的 AWS Config 资源

生成和更新控件调查发现