[英]Is there a way to re-run AWS Security Hub CIS Benchmarks on demand?
我正在努力使系统符合各种 AWS 账户 CIS 基准(可通过 AWS Security Hub 获得的 CIS 标准),我想知道是否有任何方法可以“重新运行”cis 基准以重新按需检查每条规则是否合规。 我已经更新了多个配置以符合当前处于失败状态的各种规则,但似乎没有任何方法可以强制安全中心重新评估该帐户当前是否合规。 它显示该规则的最后更新时间大约是 10 小时前,所以我想知道它是否会自动被动扫描内容,并且没有任何方法可以触发手动重新运行或重新检查。
澄清一下,我不是在询问任何单独的规则。 似乎无法手动重新运行任何规则。 state 我读过的有关安全中心的文档似乎都没有明确说明您不能手动运行检查,但我还没有找到执行此操作的方法。
我在这个主题上找到的主要文档似乎表明它们默认情况下是自动运行的,所以我基本上只是在寻找确认它们只能自动运行并且没有办法手动运行它。 这是我所指的文档。
“Security Hub 根据行业标准和最佳实践自动运行持续的账户级配置和合规性检查,例如 Center for Inte.net Security (CIS) AWS Foundations Benchmarks。这些检查的结果以合规性分数的形式提供,并确定了需要注意的具体账户和资源。”
来自https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html
我在 AWS 中提交了一张支持票,要求确认无法根据需要手动重新运行基准测试。 他们回应并确认是这种情况,它只会随着时间的推移自动运行。 这是准确的回应。
“感谢您联系 AWS 高级支持!我知道您想知道是否有一种方法可以触发在 Security Hub 中重新运行 CIS 基准测试。
不幸的是,没有办法强制它再次重新运行。 正如我们的用户指南中所述,“Security Hub 在启用 CIS AWS Foundations 标准后 2 小时内开始运行标准检查。检查会在最近一次检查后的 12 小时内自动再次运行。”
您可以使用开源替代方案,这可能更适合您的需求https://github.com/cloudquery/cloudquery
启用安全标准后,AWS Security Hub 会在两小时内开始运行所有检查。 大多数检查会在 25 分钟内开始运行。 在控件完成其第一轮检查之前,其状态为No data 。
初始检查后,每个控制的计划可以是周期性的,也可以是变化触发的。
定期检查会在最近一次运行后的 12 小时内自动运行。 您无法更改周期。
Change-triggered checks run when the associated resource changes state. 即使资源没有改变 state,change-triggered checks 的更新时间每 18 小时刷新一次。 这有助于指示该控件仍处于启用状态。
通常,Security Hub 会尽可能使用更改触发的规则。 对于使用更改触发规则的资源,它必须支持 AWS Config 配置项。
对于基于托管 AWS Config 规则的控制,控制说明包括指向 AWS Config 开发人员指南中规则说明的链接。 该描述包括规则是更改触发的还是周期性的。
使用 Security Hub 自定义 Lambda 函数的检查始终是定期的。 AWS
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.