Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Vorgeschlagene Steuerelemente zur Deaktivierung in Security Hub CSPM
<a name="controls-to-disable"></a>

Wir empfehlen, einige AWS Security Hub CSPM-Steuerelemente zu deaktivieren, um das Suchgeräusch und die Nutzungskosten zu reduzieren.

## Steuerungen, die globale Ressourcen verwenden
<a name="controls-to-disable-global-resources"></a>

Einige AWS-Services unterstützen globale Ressourcen, was bedeutet, dass Sie von jeder Ressource aus auf die Ressource zugreifen können AWS-Region. Um Kosten zu sparen AWS Config, können Sie die Aufzeichnung globaler Ressourcen in allen Regionen außer einer Region deaktivieren. Nachdem Sie dies getan haben, führt Security Hub CSPM jedoch weiterhin Sicherheitsüberprüfungen in allen Regionen durch, in denen eine Kontrolle aktiviert ist, und berechnet Ihnen Gebühren auf der Grundlage der Anzahl der Prüfungen pro Konto pro Region. Um das Suchrauschen zu reduzieren und die Kosten für Security Hub CSPM zu senken, sollten Sie daher auch Kontrollen deaktivieren, die globale Ressourcen in allen Regionen betreffen, mit Ausnahme der Region, in der globale Ressourcen erfasst werden.

Wenn ein Steuerelement globale Ressourcen umfasst, aber nur in einer Region verfügbar ist, können Sie, wenn Sie es in dieser Region deaktivieren, keine Ergebnisse für die zugrunde liegende Ressource abrufen. In diesem Fall empfehlen wir, das Steuerelement aktiviert zu lassen. Wenn Sie die regionsübergreifende Aggregation verwenden, sollte die Region, in der das Steuerelement verfügbar ist, die Aggregationsregion oder eine der verknüpften Regionen sein. Die folgenden Steuerelemente beziehen sich auf globale Ressourcen, sind jedoch nur in einer einzigen Region verfügbar:
+ **Alle CloudFront Steuerelemente** — Nur in der Region USA Ost (Nord-Virginia) verfügbar
+ **GlobalAccelerator.1** — Nur in der Region USA West (Oregon) verfügbar
+ **Route 53.2** — Nur in der Region USA Ost (Nord-Virginia) verfügbar
+ **WAF.1, WAF.6, WAF.7, WAF.8** — Nur in der Region USA Ost (Nord-Virginia) verfügbar

**Anmerkung**  
Wenn Sie die zentrale Konfiguration verwenden, deaktiviert Security Hub CSPM automatisch Kontrollen, die globale Ressourcen in allen Regionen außer der Heimatregion betreffen. Andere Steuerelemente, die Sie über eine Konfigurationsrichtlinie aktivieren, sind in allen Regionen aktiviert, in denen sie verfügbar sind. Um die Ergebnisse für diese Steuerelemente auf nur eine Region zu beschränken, können Sie Ihre AWS Config Rekordereinstellungen aktualisieren und die globale Ressourcenaufzeichnung in allen Regionen außer der Heimatregion deaktivieren.  
Wenn ein aktiviertes Steuerelement, das globale Ressourcen umfasst, in der Heimatregion nicht unterstützt wird, versucht Security Hub CSPM, das Steuerelement in einer verknüpften Region zu aktivieren, in der das Steuerelement unterstützt wird. Bei zentraler Konfiguration fehlt Ihnen die Abdeckung für ein Steuerelement, das in der Heimatregion oder einer der verknüpften Regionen nicht verfügbar ist.  
Weitere Informationen zur zentralen Konfiguration finden Sie unter[Grundlegendes zur zentralen Konfiguration in Security Hub CSPM](central-configuration-intro.md).

Für Kontrollen mit einem *periodischen* Zeitplantyp ist es erforderlich, sie in Security Hub CSPM zu deaktivieren, um eine Abrechnung zu verhindern. Die Einstellung des AWS Config Parameters `includeGlobalResourceTypes` auf `false` hat keinen Einfluss auf regelmäßige Security Hub CSPM-Steuerungen.

Die folgenden Security Hub CSPM-Steuerelemente verwenden globale Ressourcen:
+ [[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto](account-controls.md#account-1)
+ [[Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations](account-controls.md#account-2)
+ [Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte Zertifikate verwenden SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront Distributionen sollten die Origin-Zugriffskontrolle für die URL-Ursprünge der Lambda-Funktion verwenden](cloudfront-controls.md#cloudfront-16)
+ [[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.1] IAM-Richtlinien sollten keine vollen „\$1“ -Administratorrechte zulassen](iam-controls.md#iam-1)
+ [[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein](iam-controls.md#iam-2)
+ [[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden](iam-controls.md#iam-3)
+ [[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren](iam-controls.md#iam-4)
+ [[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen](iam-controls.md#iam-5)
+ [[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.](iam-controls.md#iam-6)
+ [[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-7)
+ [[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden](iam-controls.md#iam-8)
+ [[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein](iam-controls.md#iam-9)
+ [[IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein](iam-controls.md#iam-10)
+ [[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert](iam-controls.md#iam-11)
+ [[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert](iam-controls.md#iam-12)
+ [[IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist](iam-controls.md#iam-13)
+ [[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert](iam-controls.md#iam-14)
+ [[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert](iam-controls.md#iam-15)
+ [[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert](iam-controls.md#iam-16)
+ [[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft](iam-controls.md#iam-17)
+ [[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein](iam-controls.md#iam-19)
+ [[IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen](iam-controls.md#iam-21)
+ [[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden](iam-controls.md#iam-22)
+ [[IAM.24] IAM-Rollen sollten mit Tags versehen werden](iam-controls.md#iam-24)
+ [[IAM.25] IAM-Benutzer sollten markiert werden](iam-controls.md#iam-25)
+ [[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden](iam-controls.md#iam-26)
+ [[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-1)
+ [[KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](kms-controls.md#kms-2)
+ [[Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren](route53-controls.md#route53-2)
+ [[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben](waf-controls.md#waf-7)
+ [[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben](waf-controls.md#waf-8)

## CloudTrail Steuerelemente zur Protokollierung
<a name="controls-to-disable-cloudtrail-logging"></a>

Das [CloudTrail2.2-Steuerelement](cloudtrail-controls.md#cloudtrail-2) bewertet die Verwendung von AWS Key Management Service (AWS KMS) zur Verschlüsselung von AWS CloudTrail Trail-Logs. Wenn Sie diese Pfade in einem zentralen Protokollierungskonto protokollieren, müssen Sie diese Kontrolle nur für das Konto und den Ort aktivieren, AWS-Region an dem die zentrale Protokollierung stattfindet.

Wenn Sie die [zentrale Konfiguration](central-configuration-intro.md) verwenden, wird der Aktivierungsstatus eines Steuerelements auf die Heimatregion und die verknüpften Regionen verteilt. Sie können ein Steuerelement nicht in einigen Regionen deaktivieren und in anderen aktivieren. In diesem Fall können Sie die Ergebnisse des Steuerelements CloudTrail .2 unterdrücken, um das Suchrauschen zu reduzieren.

## CloudWatch Alarmsteuerungen
<a name="controls-to-disable-cloudwatch-alarms"></a>

Wenn Sie Amazon GuardDuty für die Erkennung von Anomalien anstelle von CloudWatch Amazon-Alarmen bevorzugen, können Sie die folgenden Steuerungen deaktivieren, die sich auf CloudWatch Alarme konzentrieren:
+ [[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für nicht autorisierte API-Aufrufe vorhanden sind](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.3] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Anmeldung an der Management Console ohne MFA vorhanden sind](cloudwatch-controls.md#cloudwatch-3)
+ [[CloudWatch.4] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für IAM-Richtlinienänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS-Managementkonsole Authentifizierungsfehler vorhanden sind](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Config Konfigurationsänderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC-Änderungen vorhanden sind](cloudwatch-controls.md#cloudwatch-14)