我正在努力使系统符合各种AWS Account CIS基准(可通过AWS Security Hub获得的CIS标准),我想知道是否有任何方法可以“重新运行” cis基准重新检查每个规则是否符合要求。我已经更新了多个配置,以符合当前处于失败状态的各种规则,但是似乎没有任何方法可以迫使安全中心重新评估该帐户当前是否合规。它显示该规则的最后更新时间大约是10个小时前,因此我想知道它是否会自动进行被动扫描,并且没有任何方法可以触发手动重新运行或重新检查。
为了澄清,我不是在问任何单独的规则。看来没有办法手动重新运行 any 规则。我在安全中心上阅读的文档似乎都没有明确指出您不能手动运行检查,但是我还没有找到一种方法来进行检查。
我在该主题上找到的主要文档似乎表明它们默认情况下是自动运行的,因此我基本上只是在确认它们只能自动运行,而无法手动运行。这是我要参考的文档。
“ Security Hub根据行业标准和最佳实践(例如Internet安全中心(CIS)AWS Foundations Benchmarks)自动运行连续的帐户级配置和合规性检查。这些检查的结果作为合规性得分提供,并确定需要注意的特定帐户和资源。”
来自https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html
答案 0 :(得分:0)
我在AWS上放了一张支持票,要求确认没有任何方法可以按需手动重新运行基准测试。他们回答并确认确实是这种情况,并且它只会随着时间的流逝而自动运行。这是确切的答案。
“感谢您与AWS Premium Support联系!我了解您想知道是否可以在Security Hub中触发重新运行CIS基准测试。
不幸的是,没有办法强迫它重新运行。如我们的用户指南所述,“ Security Hub在启用CIS AWS Foundations标准后的2小时内开始运行标准检查。检查从最新检查开始的12小时内自动再次运行。”
答案 1 :(得分:0)
您可以使用开源替代方案,它可以根据您的需求进行更自定义https://github.com/cloudquery/cloudquery