本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
要在 Security Hub 中停用的建議控制項
建議您停用一些 AWS Security Hub 控制項,以減少調查結果雜訊並降低成本。
使用全域資源的控制項
有些 AWS 服務 支援全域資源,這表示您可以從任何 存取資源 AWS 區域。若要節省 的成本 AWS Config,您可以停用除一個區域以外的所有 區域全域資源的記錄。不過,在執行此操作之後,Security Hub 仍會在啟用控制項的所有區域中執行安全檢查,並根據每個區域的每個帳戶的檢查數目向您收費。因此,為了減少調查結果噪音並節省 Security Hub 的成本,您還應該停用在所有區域中涉及全域資源的控制項,但記錄全域資源的區域除外。
如果控制項涉及全域資源,但僅在一個區域中可用,則在該區域中停用它會阻止您取得基礎資源的任何調查結果。在此情況下,建議您保持啟用控制項。使用跨區域彙總時,可使用控制項的區域應為彙總區域或其中一個連結區域。下列控制項涉及全域資源,但僅適用於單一 區域:
所有 CloudFront 控制項 – 僅適用於美國東部 (維吉尼亞北部)
GlobalAccelerator.1 – 僅適用於美國西部 (奧勒岡)
Route53.2 – 僅適用於美國東部 (維吉尼亞北部)
WAF.1、WAF.6、WAF.7 和 WAF.8 – 僅適用於美國東部 (維吉尼亞北部)
注意
如果您使用中央組態,Security Hub 會自動停用涉及主要區域以外所有區域中全域資源的控制項。您選擇在可用的所有區域中啟用組態政策時啟用的其他控制項。若要將這些控制項的調查結果限制為僅一個區域,您可以更新 AWS Config 錄音程式設定,並關閉除主要區域以外的所有區域中的全域資源記錄。使用中央組態時,您缺少主區域或任何連結區域無法使用的控制項涵蓋範圍。如需中央組態的詳細資訊,請參閱 了解安全中心中的中央配置。
對於具有定期排程類型的控制項,需要在 Security Hub 中停用它們以防止計費。將 AWS Config 參數設定為 includeGlobalResourceTypes false 不會影響定期 Security Hub 控制項。
以下是使用全域資源的 Security Hub 控制項清單:
CloudTrail 記錄控制項
此控制項使用 AWS Key Management Service (AWS KMS) 加密 AWS CloudTrail 追蹤日誌。如果您在集中記錄帳戶中記錄這些追蹤,您只需在進行集中記錄的帳戶和區域中啟用此控制項。
注意
如果您使用中央組態 ,則控制項的啟用狀態會跨主要區域和連結區域進行比對。您無法在某些區域中停用控制項,並在其他區域中啟用控制項。在此情況下,從下列控制項中禁止調查結果,以減少調查結果雜訊。
CloudWatch 警示控制項
如果您偏好使用 Amazon GuardDuty 進行異常偵測,而不是使用 Amazon CloudWatch 警示,您可以停用這些控制項,其著重於 CloudWatch 警示。
