本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
建议在 Security Hub CSPM 中禁用的控件
我们建议禁用某些 S Amazon ecurity Hub 云安全态势管理 (CSPM) 控件,以减少查找噪音和使用成本。
使用全局资源的控件
有些 Amazon Web Services 服务 支持全局资源,这意味着您可以从任何资源访问该资源 Amazon Web Services 区域。为了节省成本 Amazon Config,您可以禁用除一个区域以外的所有区域记录全球资源。但是,在您执行此操作后,Security Hub CSPM 仍会在启用控件的所有区域进行安全检查,并根据每个区域每个账户的支票数量向您收费。因此,为了减少查找噪音并节省 Security Hub CSPM 的成本,您还应禁用除记录全球资源的区域之外的所有区域中涉及全球资源的控件。
如果控件涉及全球资源,但仅在一个区域可用,则在该区域禁用该控件会让您无法获取底层资源的任何调查发现。在这种情况下,建议您使控件保持已启用状态。使用跨区域聚合时,可使用控件的区域应为聚合区域或链接区域之一。以下控制措施涉及全球资源,但仅在一个地区可用:
所有 CloudFront 控件-仅在美国东部(弗吉尼亚北部)区域可用
GlobalAccelerator.1 — 仅在美国西部(俄勒冈)区域可用
Route53.2-仅在美国东部(弗吉尼亚北部)区域可用
WAF.1、WAF.6、WAF.7、WAF.8 — 仅在美国东部(弗吉尼亚北部)区域可用
注意
如果您使用中央配置,Security Hub CSPM 会自动禁用涉及除本地区以外的所有区域的全球资源的控件。您选择通过配置策略启用的其他控件已在所有提供这些控件的区域中启用。要将这些控件的结果限制在一个区域内,您可以更新 Amazon Config 记录器设置并关闭除主区域之外的所有区域的全局资源记录。
如果本地区域不支持涉及全球资源的已启用控件,Security Hub CSPM 会尝试在支持该控件的一个链接区域中启用该控件。使用中央配置时,您无法覆盖主区域或任何关联区域中不可用的控件。
有关中心配置的更多信息,请参阅了解 Security Hub CSPM 中的中心配置。
对于具有定期计划类型的控件,需要在 Security Hub CSPM 中将其禁用以防止计费。将 Amazon Config 参数设置includeGlobalResourceTypes为false不会影响定期的 Security Hub CSPM 控件。
以下 Security Hub CSPM 控件使用全局资源:
CloudTrail 日志控件
此控件用于使用 Amazon Key Management Service (Amazon KMS) 加密 Amazon CloudTrail 跟踪日志。如果您在集中式日志记录账户中记录这些跟踪,则只需要在进行集中日志记录的账户和区域中启用此控件。
注意
如果您使用中心配置,则控件的启用状态将在主区域和关联区域之间保持一致。您无法在某些区域禁用某个控件而在其他区域启用该控件。在这种情况下,隐藏来自以下控件的调查发现以减少调查发现噪音。
CloudWatch 警报控制
如果您更喜欢使用亚马逊而不是亚马逊 CloudWatch 警报 GuardDuty 进行异常检测,则可以禁用以下控件,这些控件侧重于 CloudWatch 警报: