Vorgeschlagene Steuerelemente zur Deaktivierung in Security Hub - AWS Security Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Vorgeschlagene Steuerelemente zur Deaktivierung in Security Hub

Wir empfehlen, einige AWS Security Hub Steuerungen zu deaktivieren, um den Suchlärm zu reduzieren und die Kosten zu begrenzen.

Steuerungen, die globale Ressourcen verwenden

Einige AWS-Services unterstützen globale Ressourcen, was bedeutet, dass Sie von jeder Ressource aus auf die Ressource zugreifen können AWS-Region. Um Kosten zu sparen AWS Config, können Sie die Aufzeichnung globaler Ressourcen in allen Regionen außer einer Region deaktivieren. Nachdem Sie dies getan haben, führt Security Hub jedoch weiterhin Sicherheitsüberprüfungen in allen Regionen durch, in denen eine Kontrolle aktiviert ist, und berechnet Ihnen Gebühren auf der Grundlage der Anzahl der Prüfungen pro Konto pro Region. Um das Suchgeräusch zu reduzieren und die Kosten für Security Hub zu senken, sollten Sie daher auch Kontrollen deaktivieren, die globale Ressourcen in allen Regionen betreffen, mit Ausnahme der Region, in der globale Ressourcen erfasst werden.

Wenn ein Steuerelement globale Ressourcen umfasst, aber nur in einer Region verfügbar ist, können Sie, wenn Sie es in dieser Region deaktivieren, keine Ergebnisse für die zugrunde liegende Ressource abrufen. In diesem Fall empfehlen wir, das Steuerelement aktiviert zu lassen. Wenn Sie die regionsübergreifende Aggregation verwenden, sollte die Region, in der das Steuerelement verfügbar ist, die Aggregationsregion oder eine der verknüpften Regionen sein. Die folgenden Steuerelemente beziehen sich auf globale Ressourcen, sind jedoch nur in einer einzigen Region verfügbar:

  • Alle CloudFront Steuerelemente — Nur in USA Ost (Nord-Virginia) verfügbar

  • GlobalAccelerator.1 — Nur in den USA West (Oregon) verfügbar

  • Route 53.2 — Nur in den USA Ost (Nord-Virginia) verfügbar

  • WAF.1, WAF .6, WAF .7 und WAF .8 — Nur in USA Ost (Nord-Virginia) verfügbar

Anmerkung

Wenn Sie die zentrale Konfiguration verwenden, deaktiviert Security Hub automatisch Steuerungen, die globale Ressourcen in allen Regionen außer der Heimatregion betreffen. Andere Steuerelemente, die Sie über eine Konfigurationsrichtlinie aktivieren, sind in allen Regionen aktiviert, in denen sie verfügbar sind. Um die Ergebnisse für diese Steuerelemente auf nur eine Region zu beschränken, können Sie Ihre AWS Config Rekordereinstellungen aktualisieren und die globale Ressourcenaufzeichnung in allen Regionen außer der Heimatregion deaktivieren. Wenn Sie die zentrale Konfiguration verwenden, fehlt Ihnen die Abdeckung für ein Steuerelement, das in der Heimatregion oder einer der verknüpften Regionen nicht verfügbar ist. Weitere Informationen zur zentralen Konfiguration finden Sie unterGrundlegendes zur zentralen Konfiguration in Security Hub.

Bei Kontrollen mit einem periodischen Zeitplan ist es erforderlich, sie in Security Hub zu deaktivieren, um eine Abrechnung zu verhindern. Die Einstellung des AWS Config Parameters includeGlobalResourceTypes auf false hat keinen Einfluss auf regelmäßige Security Hub-Steuerungen.

Im Folgenden finden Sie eine Liste von Security Hub-Steuerelementen, die globale Ressourcen verwenden:

CloudTrail Steuerelemente zur Protokollierung

Dieses Steuerelement befasst sich mit der Verwendung von AWS Key Management Service (AWS KMS) zur Verschlüsselung von AWS CloudTrail Trail-Logs. Wenn Sie diese Pfade in einem zentralen Protokollierungskonto protokollieren, müssen Sie diese Steuerung nur in dem Konto und der Region aktivieren, in der die zentrale Protokollierung stattfindet.

Anmerkung

Wenn Sie die zentrale Konfiguration verwenden, wird der Aktivierungsstatus eines Steuerelements auf die Heimatregion und die verknüpften Regionen verteilt. Sie können ein Steuerelement nicht in einigen Regionen deaktivieren und in anderen aktivieren. Unterdrücken Sie in diesem Fall die Ergebnisse der folgenden Steuerelemente, um das Suchrauschen zu reduzieren.

CloudWatch Alarme, Steuerungen

Wenn Sie Amazon GuardDuty für die Erkennung von Anomalien anstelle von CloudWatch Amazon-Alarmen bevorzugen, können Sie diese Steuerungen deaktivieren, die sich auf CloudWatch Alarme konzentrieren.