本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
建议在 Security Hub 中禁用的控件
我们建议禁用某些 AWS Security Hub 控件以减少查找噪音并限制成本。
使用全局资源的控件
有些 AWS 服务 支持全局资源,这意味着您可以从任何资源访问该资源 AWS 区域。为了节省成本 AWS Config,您可以禁用除一个区域以外的所有区域记录全球资源。但在完成此操作后,Security Hub 仍将在所有启用控件的区域进行安全检查,并将根据每个区域的每个账户的检查数量,向您收费。因此,为了减少查找噪音并节省 Security Hub 的成本,您还应禁用除记录全球资源的区域之外的所有区域中涉及全球资源的控件。
如果控件涉及全球资源,但仅在一个区域可用,则在该区域禁用该控件会阻止您获得底层资源的任何调查结果。在这种情况下,我们建议将控件保持启用状态。使用跨区域聚合时,可使用控件的区域应为聚合区域或链接区域之一。以下控制措施涉及全球资源,但仅在单个区域可用:
所有 CloudFront 控件 — 仅在美国东部(弗吉尼亚北部)可用
GlobalAccelerator.1 — 仅在美国西部(俄勒冈州)提供
Route53.2 — 仅在美国东部(弗吉尼亚北部)提供
WAF.1、WAF .6、WAF .7 和 WAF .8 — 仅在美国东部(弗吉尼亚北部)提供
注意
如果您使用中央配置,Security Hub 会自动禁用涉及除本地区以外的所有区域的全球资源的控件。您选择通过配置策略启用的其他控件将在所有可用区域中启用。要将这些控件的结果限制在一个区域内,您可以更新 AWS Config 记录器设置并关闭除主区域之外的所有区域的全局资源记录。当你使用中央配置时,你无法覆盖主区域或任何关联区域中不可用的控件。有关中心配置的更多信息,请参阅了解 Security Hub 中的中央配置。
对于具有定期计划类型的控件,需要在 Security Hub 中将其禁用以防止计费。将 AWS Config 参数设置includeGlobalResourceTypes为false不会影响定期的 Security Hub 控件。
以下是使用全局资源的 Security Hub 控件的列表:
CloudTrail 日志控件
此控件涉及使用 AWS Key Management Service (AWS KMS) 加密 AWS CloudTrail 跟踪日志。如果您将这些跟踪记录在集中日志账户中,则只需在进行集中日志记录的账户和区域中启用此控制即可。
注意
如果您使用中心配置,则控件的启用状态将在主区域和关联区域之间保持一致。您无法在某些区域禁用某个控件而在其他区域启用该控件。在这种情况下,隐藏来自以下控件的调查发现以减少调查发现噪音。
CloudWatch 警报控制
如果您更喜欢使用亚马逊而不是亚马逊警报 GuardDuty 进行异常检测,则可以禁用这些以 CloudWatch 警 CloudWatch 报为重点的控件。
