翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Security Hub で無効にする推奨コントロール
一部の を無効にすることをお勧めします。 AWS Security Hub は、検出結果のノイズを減らし、コストを制限するためのコントロールです。
グローバルリソースを使用するコントロール
ある程度 AWS のサービス はグローバルリソースをサポートします。つまり、任意の からリソースにアクセスできます。 AWS リージョン。 のコストを節約するには AWS Configでは、1 つのリージョンを除くすべてのリージョンでグローバルリソースの記録を無効にできます。ただし、これを行った後、Security Hub は引き続きコントロールが有効になっているすべてのリージョンでセキュリティチェックを実行し、リージョンごとにアカウントごとのチェック数に基づいて料金を請求します。したがって、検出結果のノイズを減らし、Security Hub のコストを節約するには、グローバルリソースを記録するリージョンを除くすべてのリージョンで、グローバルリソースを含むコントロールを無効にする必要もあります。
コントロールにグローバルリソースが含まれるが、1 つのリージョンでのみ使用可能な場合、そのリージョンでコントロールを無効にすると、基盤となるリソースに関する結果を取得できなくなります。この場合、コントロールを有効にしておくことをお勧めします。クロスリージョン集約を使用する場合、コントロールが利用可能なリージョンは、集約リージョンまたはリンクされたリージョンのいずれかである必要があります。以下のコントロールにはグローバルリソースが含まれますが、1 つのリージョンでのみ使用できます。
すべての CloudFront コントロール – 米国東部 (バージニア北部) でのみ使用可能
GlobalAccelerator.1 – 米国西部 (オレゴン) でのみ使用可能
Route53.2 – 米国東部 (バージニア北部) でのみ使用可能
WAF.1、WAF.6、WAF.7、.WAF8 – 米国東部 (バージニア北部) でのみ使用可能
注記
中央設定を使用する場合、Security Hub はホームリージョンを除くすべてのリージョンでグローバルリソースを含むコントロールを自動的に無効にします。設定ポリシーを使用して有効にするその他のコントロールは、使用可能なすべてのリージョンで有効になります。これらのコントロールの検出結果を 1 つのリージョンのみに制限するには、 を更新できます。 AWS Config レコーダー設定と は、ホームリージョンを除くすべてのリージョンでグローバルリソース記録をオフにします。中央設定を使用する場合、ホームリージョンまたはリンクされたリージョンで利用できないコントロールのカバレッジがありません。中央設定の詳細については、「Security Hub の中央設定について」を参照してください。
定期的なスケジュールタイプを持つコントロールの場合、課金を防ぐには Security Hub でコントロールを無効にする必要があります。の設定 AWS Config パラメータを includeGlobalResourceTypesにしても、定期的な Security Hub コントロールには影響falseしません。
以下は、グローバルリソースを使用する Security Hub コントロールのリストです。
-
〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります
-
〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります
-
〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります
-
〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります
-
〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります
-
〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください
-
〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません
-
〔CloudFront.13] CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります
-
〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります
-
〔GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります
-
作成する [IAM.21] IAMカスタマー管理ポリシーでは、 サービスのワイルドカードアクションを許可しないでください
-
〔IAM.27] ID IAM には AWSCloudShellFullAccess ポリシーをアタッチしないでください
-
〔KMS.2] IAMプリンシパルには、すべてのKMSキーで復号アクションを許可するIAMインラインポリシーがあってはなりません
-
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
CloudTrail ログ記録コントロール
このコントロールは、 の使用を処理します。 AWS Key Management Service (AWS KMS) を暗号化する AWS CloudTrail 証跡ログ。集中ログ記録アカウントでこれらの追跡をログ記録する場合、このコントロールは集中ログ記録が行われるアカウントとリージョンを有効化するだけで済みます。
注記
中央設定を使用した場合、コントロールの有効化ステータスは、ホームリージョンおよびリンクされたリージョンで統一されます。一部のリージョンでコントロールを無効にして、他のリージョンで有効にすることはできません。この場合は、以下のコントロールの検出結果を抑制し、検出結果のノイズを減らします。
CloudWatch アラームコントロール
Amazon CloudWatch アラームの代わりに Amazon を使用して GuardDuty 異常検出を行う場合は、 CloudWatch アラームに焦点を当てたこれらのコントロールを無効にすることができます。
-
〔CloudWatch.1] 「ルート」ユーザーの使用に対してログメトリクスフィルターとアラームが存在する必要があります
-
〔CloudWatch.3] を使用しない マネジメントコンソールのサインインにログメトリクスフィルターとアラームが存在することを確認する MFA
-
〔CloudWatch.5] のログメトリクスフィルターとアラームが存在することを確認する CloudTrail AWS Config URL の変更
-
〔CloudWatch.6] のログメトリクスフィルターとアラームが存在することを確認する AWS Management Console 認証の失敗
-
〔CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除のためのログメトリクスフィルターとアラームが存在することを確認する
-
〔CloudWatch.8] S3 バケットポリシーの変更に対してログメトリクスフィルターとアラームが存在することを確認する
-
〔CloudWatch.9] のログメトリクスフィルターとアラームが存在することを確認する AWS Config 設定の変更
-
〔CloudWatch.10] セキュリティグループの変更に対してログメトリクスフィルターとアラームが存在することを確認する
-
〔CloudWatch.11] ネットワークアクセスコントロールリストの変更に対するログメトリクスフィルターとアラームが存在することを確認する (NACL)
-
〔CloudWatch.12] ネットワークゲートウェイの変更に対するログメトリクスフィルターとアラームが存在することを確認する
