View a markdown version of this page

Zeitplan für die Ausführung von Sicherheitsprüfungen - AWSSecurity Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zeitplan für die Ausführung von Sicherheitsprüfungen

Nachdem Sie einen Sicherheitsstandard aktiviert haben, beginnt AWS Security Hub CSPM, alle Prüfungen innerhalb von zwei Stunden durchzuführen. Die meisten Prüfungen beginnen innerhalb von 25 Minuten zu laufen. Security Hub CSPM führt Prüfungen durch, indem es die Regel auswertet, die einer Kontrolle zugrunde liegt. Bis ein Steuerelement seinen ersten Prüflauf abgeschlossen hat, lautet sein Status Keine Daten.

Wenn Sie einen neuen Standard aktivieren, kann es bis zu 24 Stunden dauern, bis Security Hub CSPM Ergebnisse für Kontrollen generiert, die dieselbe zugrunde liegende AWS Config serviceverknüpfte Regel verwenden wie aktivierte Steuerelemente aus anderen aktivierten Standards. Wenn Sie beispielsweise die Lambda.1Steuerung im Standard AWS Foundation Security Best Practices (FSBP) aktivieren, erstellt Security Hub CSPM die serviceverknüpfte Regel und generiert Ergebnisse in der Regel innerhalb von Minuten. Wenn Sie danach die Lambda.1 Steuerung im Payment Card Industry Data Security Standard (PCI DSS) aktivieren, kann es bis zu 24 Stunden dauern, bis Security Hub CSPM Ergebnisse für die Kontrolle generiert, da es dieselbe serviceverknüpfte Regel verwendet.

Nach der ersten Überprüfung kann der Zeitplan für jede Kontrolle entweder in regelmäßigen Abständen oder durch Änderungen ausgelöst werden. Für ein Steuerelement, das auf einer verwalteten AWS Config Regel basiert, enthält die Beschreibung des Steuerelements einen Link zur Regelbeschreibung im AWS ConfigEntwicklerhandbuch. Diese Beschreibung gibt an, ob es sich bei der Regel um eine Änderung handelt oder ob es sich um eine periodische Regel handelt

Regelmäßige Sicherheitsüberprüfungen

Regelmäßige Sicherheitsüberprüfungen werden automatisch innerhalb von 12 oder 24 Stunden nach der letzten Ausführung ausgeführt. Security Hub CSPM bestimmt die Periodizität, und Sie können sie nicht ändern. Bei regelmäßigen Kontrollen erfolgt die Bewertung zu dem Zeitpunkt, zu dem die Prüfung ausgeführt wird.

Wenn Sie den Workflow-Status eines periodischen Kontrollbefundes aktualisieren und dann bei der nächsten Überprüfung der Konformitätsstatus des Ergebnisses unverändert bleibt, bleibt der Workflow-Status in seinem geänderten Status. Wenn Sie beispielsweise eine fehlerhafte Suche für das KMS.4Steuerelement haben (AWS KMS keyRotation sollte aktiviert sein) und das Ergebnis anschließend korrigieren, ändert Security Hub CSPM den Workflow-Status von zu. NEW RESOLVED Wenn Sie die KMS-Schlüsselrotation vor der nächsten regelmäßigen Überprüfung deaktivieren, bleibt der Workflow-Status des Ergebnisses erhalten. RESOLVED

Prüfungen, die benutzerdefinierte Lambda-Funktionen von Security Hub CSPM verwenden, werden regelmäßig durchgeführt.

Change-triggered Sicherheitsüberprüfungen

Change-triggered Sicherheitsüberprüfungen werden ausgeführt, wenn sich der Status der zugehörigen Ressource ändert. AWS Configermöglicht es Ihnen, zwischen der kontinuierlichen Aufzeichnung von Änderungen des Ressourcenstatus und der täglichen Aufzeichnung zu wählen. Wenn Sie die tägliche Aufzeichnung wählenAWS Config, werden die Ressourcenkonfigurationsdaten am Ende jedes 24-Stunden-Zeitraums bereitgestellt, wenn sich der Ressourcenstatus ändert. Wenn es keine Änderungen gibt, werden keine Daten geliefert. Dies kann die Generierung von Security Hub CSPM-Ergebnissen verzögern, bis ein Zeitraum von 24 Stunden abgeschlossen ist. Unabhängig von Ihrem gewählten Aufzeichnungszeitraum überprüft Security Hub CSPM mindestens einmal alle 24 Stunden, ob keine Ressourcen-Updates von verpasst AWS Config wurden.

Im Allgemeinen verwendet Security Hub CSPM, wann immer dies möglich ist, durch Änderungen ausgelöste Regeln. Damit eine Ressource eine durch Änderungen ausgelöste Regel verwenden kann, muss sie Konfigurationselemente unterstützen. AWS Config