執行安全檢查的排程

啟用安全標準後， AWS Security Hub Cloud Security Posture Management (CSPM) 會在兩小時內開始執行所有檢查。大多數檢查會在 25 分鐘內開始執行。Security Hub CSPM 透過評估控制項基礎的規則來執行檢查。在控制項完成第一次執行檢查之前，其狀態為無資料。

當您啟用新標準時，Security Hub CSPM 最多可能需要 24 小時才能產生控制項的調查結果，這些控制項使用與其他啟用標準相同的基礎 AWS Config 服務連結規則。例如，如果您在 AWS 基礎安全最佳實務 (FSBP) 標準中啟用 Lambda.1 控制項，Security Hub CSPM 會建立服務連結規則，通常在幾分鐘內產生問題清單。之後，如果您在支付卡產業資料安全標準 (PCI DSS) 中啟用 Lambda.1 控制項，Security Hub CSPM 最多可能需要 24 小時才能產生控制項的問題清單，因為它使用相同的服務連結規則。

初次檢查後，每個控制項的排程可以定期或觸發變更。對於以受管 AWS Config 規則為基礎的控制項，控制項描述包含《 AWS Config 開發人員指南》中規則描述的連結。該描述指定規則是觸發還是定期變更。

定期安全檢查

定期安全檢查會在最近一次執行後的 12 或 24 小時內自動執行。Security Hub CSPM 會決定週期性，您無法變更。定期控制反映檢查執行時的評估。

如果您更新定期控制調查結果的工作流程狀態，然後在下次檢查調查結果的合規狀態保持不變，工作流程狀態會保持修改狀態。例如，如果您的 KMS.4 控制項問題清單失敗 (AWS KMS key 應該啟用輪換)，然後修復問題清單，Security Hub CSPM 會將工作流程狀態從變更為 NEW RESOLVED。如果您在下一次定期檢查之前停用 KMS 金鑰輪換，則調查結果的工作流程狀態會保持 RESOLVED。

使用 Security Hub CSPM 自訂 Lambda 函數的檢查是定期的。

變更觸發的安全檢查

當關聯的資源變更狀態時，會執行變更觸發的安全性檢查。 AWS Config 您可以在持續記錄資源狀態的變更和每日記錄之間進行選擇。如果您選擇每日錄製，如果資源狀態發生變更，會在每 24 小時期間結束時 AWS Config 傳送資源組態資料。如果沒有變更，則不會交付任何資料。這可能會延遲 Security Hub CSPM 調查結果的產生，直到 24 小時期間完成為止。無論您選擇的記錄期間為何，Security Hub CSPM 每 18 小時會檢查一次，以確保沒有 AWS Config 遺漏來自的資源更新。

一般而言，Security Hub CSPM 會盡可能使用變更觸發的規則。若要讓資源使用變更觸發規則，它必須支援 AWS Config 組態項目。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

控制問題清單所需的 AWS Config 資源

產生和更新控制問題清單