本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
您可能想要禁用的 Security Hub 控件
我们建议禁用某些 Amazon Security Hub 控件以减少查找噪音并限制成本。
处理全局资源的控件
有些 Amazon Web Services 支持全局资源,这意味着您可以从任何资源访问该资源 Amazon Web Services 区域。为了节省成本 Amazon Config,您可以禁用除一个区域以外的所有区域记录全球资源。但在完成此操作后,Security Hub 仍将在所有启用控件的区域进行安全检查,并将根据每个区域的每个账户的检查数量,向您收费。因此,为了减少查找噪音并节省 Security Hub 的成本,您还应禁用除记录全球资源的区域之外的所有区域中涉及全球资源的控件。
注意
如果您使用中央配置,Security Hub 会自动禁用涉及除本地区以外的所有区域的全球资源的控件。其他控件在所有可用区域均已启用。要将这些控件的结果限制在一个区域内,您可以更新 Amazon Config 记录器设置并关闭除主区域之外的所有区域的全局资源记录。有关中心配置的更多信息,请参阅Security Hub 中的中心配置。
对于具有定期计划类型的控件,需要在 Security Hub 中将其禁用以防止计费。将 Amazon Config 参数设置includeGlobalResourceTypes为false不会影响定期的 Security Hub 控件。
如果您禁用在一个或多个区域记录全球资源,则 Amazon Config 应启用控件 [Config.1] 会在这些区域生成失败的查找结果。这是因为 Config.1 需要记录全局资源才能通过。您可以手动或通过自动化规则隐藏此控件的调查发现。
以下是涉及全局资源的 Security Hub 控件列表:
处理 CloudTrail 日志的控件
此控件涉及使用 Amazon Key Management Service (Amazon KMS) 加密 Amazon CloudTrail 跟踪日志。如果您将这些跟踪记录在集中日志账户中,则只需在进行集中日志记录的账户和区域中启用此控制即可。
注意
如果您使用中心配置,则控件的启用状态将在主区域和关联区域之间保持一致。您无法在某些区域禁用某个控件而在其他区域启用该控件。在这种情况下,隐藏来自以下控件的调查发现以减少调查发现噪音。
处理 CloudWatch 警报的控件
如果您更喜欢使用亚马逊而不是亚马逊警报 GuardDuty 进行异常检测,则可以禁用这些以 CloudWatch 警 CloudWatch 报为重点的控件。