Вы правы, что есть задержка для событий CloudTrail, некоторые вызовы API теперь интегрированы напрямую для подключения к событиям CloudWatch всякий раз, когда есть это действие, чтобы обойти это.
Я считаю, что вы можете использовать AWS правила конфигурации для проверки в режиме, близком к реальному времени, существуют такие правила, как ec2-security-group-connected-to-eni для отслеживания добавления новой группы безопасности и limited-common -ports , чтобы проверить, открыты ли порты для всего мира.
Если это решение не работает, вам, к сожалению, придется разработать собственное решение для сканирования ваших ресурсов. Надеюсь, AWS со временем добавит больше хуков для собственной интеграции по сравнению с интеграцией CloudTrail.