本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
建议在 Security Hub 中禁用的控件
我们建议禁用某些 Amazon Security Hub 控件以减少查找噪音并限制成本。
使用全局资源的控件
有些 Amazon Web Services 服务 支持全局资源,这意味着您可以从任何资源访问该资源 Amazon Web Services 区域。为了节省成本 Amazon Config,您可以禁用除一个区域以外的所有区域记录全球资源。但在完成此操作后,Security Hub 仍将在所有启用控件的区域进行安全检查,并将根据每个区域的每个账户的检查数量,向您收费。因此,为了减少调查发现噪音并节省 Security Hub 的成本,还应禁用涉及到除记录全球资源的区域之外的所有区域中的全球资源的控件。
如果控件涉及全球资源,但仅在一个区域可用,则在该区域禁用该控件会让您无法获取底层资源的任何调查发现。在这种情况下,建议您使控件保持已启用状态。使用跨区域聚合时,可使用控件的区域应为聚合区域或关联区域之一。以下控件涉及全球资源,但仅在单个区域可用:
所有 CloudFront 控件 — 仅在美国东部(弗吉尼亚北部)可用
GlobalAccelerator.1 — 仅在美国西部(俄勒冈州)提供
Route53.2 – 仅在美国东部(弗吉尼亚州北部)可用
WAF.1、WAF .6、WAF .7 和 WAF .8 — 仅在美国东部(弗吉尼亚北部)提供
注意
如果您使用中心配置,Security Hub 会自动禁用涉及除主区域之外的所有区域的全球资源的控件。您选择通过配置策略启用的其他控件已在所有提供这些控件的区域中启用。要将这些控件的结果限制在一个区域内,您可以更新 Amazon Config 记录器设置并关闭除主区域之外的所有区域的全局资源记录。
如果本地区域不支持涉及全球资源的已启用控件,Security Hub 会尝试在支持该控件的一个链接区域中启用该控件。使用中央配置时,您无法覆盖主区域或任何关联区域中不可用的控件。
有关中心配置的更多信息,请参阅了解 Security Hub 中的中心配置。
.
对于具有定期计划类型的控件,需要在 Security Hub 中将其禁用以防止计费。将 Amazon Config 参数设置includeGlobalResourceTypes
为false
不会影响定期的 Security Hub 控件。
以下是使用全局资源的 Security Hub 控件的列表:
CloudTrail 日志控件
此控件用于使用 Amazon Key Management Service (Amazon KMS) 加密 Amazon CloudTrail 跟踪日志。如果您将这些跟踪记录在集中日志账户中,则只需在进行集中日志记录的账户和区域中启用此控制即可。
注意
如果您使用中心配置,则控件的启用状态将在主区域和关联区域之间保持一致。您无法在某些区域禁用某个控件而在其他区域启用该控件。在这种情况下,隐藏来自以下控件的调查发现以减少调查发现噪音。
CloudWatch 警报控制
如果您更喜欢使用亚马逊而不是亚马逊警报 GuardDuty 进行异常检测,则可以禁用这些以 CloudWatch 警 CloudWatch 报为重点的控件。