Programación para ejecutar comprobaciones de seguridad - AWS Security Hub
Controles de seguridad periódicosControles de seguridad desencadenados por cambios

Programación para ejecutar comprobaciones de seguridad

Después de habilitar un estándar de seguridad, el CSPM de AWS Security Hub comienza a ejecutar todas las comprobaciones en un plazo de dos horas. La mayoría de las comprobaciones comienzan a ejecutarse en 25 minutos. El CSPM de Security Hub ejecuta comprobaciones mediante la evaluación de la regla subyacente de un control. Hasta que un control complete su primera ejecución de comprobaciones, su estado es Sin datos.

Cuando habilita un estándar nuevo, el CSPM de Security Hub podría tardar hasta 24 horas en generar resultados para los controles que utilizan la misma regla subyacente de AWS Config que los controles habilitados de otros estándares habilitados. Por ejemplo, si habilita el control Lambda.1 en el estándar de Prácticas recomendadas de seguridad básica (FSBP) de AWS, el CSPM de Security Hub crea la regla vinculada al servicio y, por lo general, genera resultados en cuestión de minutos. Después de esto, si habilita el control Lambda.1 en el estándar Estándar de seguridad de datos para la industria de pagos (PCI DSS), el CSPM de Security Hub podría tardar hasta 24 horas en generar resultados para el control porque utiliza la misma regla vinculada al servicio.

Después de la comprobación inicial, la programación de cada control puede ser periódica o activada por cambios. Para un control basado en una regla de AWS Config administrada, la descripción del control incluye un enlace a la descripción de la regla en la AWS ConfigGuía del desarrollador. Esa descripción especifica si la regla se activa por cambios o si es periódica.

Controles de seguridad periódicos

Los controles de seguridad periódicos se ejecutan automáticamente en las 12 o 24 horas posteriores a la última ejecución. El CSPM de Security Hub determina la periodicidad, y usted no puede cambiarla. Los controles periódicos reflejan una evaluación en el momento en que se ejecuta la comprobación.

Si actualiza el estado de flujo de trabajo de un resultado de control periódico y, a continuación, en la siguiente comprobación, el estado de cumplimiento del resultado sigue siendo el mismo, el estado de flujo de trabajo permanece en su estado modificado. Por ejemplo, si tiene un resultado con error para el control KMS.4 (la rotación de AWS KMS key debe estar habilitada) y luego corrige el resultado, el CSPM de Security Hub cambia el estado del flujo de trabajo de NEW a RESOLVED. Si desactiva la rotación de claves de KMS antes de la siguiente comprobación periódica, el estado del flujo de trabajo del resultado se mantiene como RESOLVED.

Las comprobaciones que utilizan funciones de Lambda personalizadas del CSPM de Security Hub son periódicas.

Controles de seguridad desencadenados por cambios

Los controles de seguridad desencadenados por cambios se ejecutan cuando el recurso asociado cambia de estado. AWS Config permite elegir entre el registro continuo de los cambios en el estado del recurso y el registro diario. Si elige el registro diario, AWS Config entrega los datos de configuración de los recursos al final de cada periodo de 24 horas si se producen cambios en el estado de dichos recursos. Si no hay cambios, no se entrega ningún dato. Esto podría retrasar la generación de resultados del CSPM de Security Hub hasta que finalice un período de 24 horas. Independientemente del periodo de registro que elija, el CSPM de Security Hub realiza comprobaciones cada 18 horas para asegurarse de que no se haya pasado por alto ninguna actualización de recursos de AWS Config.

Por lo general, el CSPM de Security Hub utiliza reglas activadas por cambios siempre que es posible. Para que un recurso utilice una regla activada por cambios, debe haber compatibilidad con elementos de configuración de AWS Config.