建议在 Security Hub CSPM 中禁用的控件 - Amazon Security Hub
使用全局资源的控件CloudTrail 日志记录控件CloudWatch 警报控件
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

建议在 Security Hub CSPM 中禁用的控件

我们建议禁用某些 Amazon Security Hub CSPM 控件,以减少调查发现噪音和使用成本。

使用全局资源的控件

某些 Amazon Web Services 服务 支持全球资源,这意味着您可以从任何 Amazon Web Services 区域 访问这些资源。为了节省 Amazon Config 的成本,您可以在除一个区域之外的所有区域中禁用全局资源的记录。但在完成此操作后,Security Hub CSPM 仍将在所有启用控件的区域进行安全检查,并将根据每个区域的每个账户的检查数量,向您收费。因此,为了减少调查发现噪音并节省 Security Hub CSPM 的成本,还应禁用涉及到除记录全球资源的区域之外的所有区域中的全球资源的控件。

如果控件涉及全球资源,但仅在一个区域可用,则在该区域禁用该控件会让您无法获取底层资源的任何调查发现。在这种情况下,建议您使控件保持已启用状态。使用跨区域聚合时,可使用控件的区域应为聚合区域或关联区域之一。以下控件涉及全局资源,但仅在单个区域可用:

  • 所有 CloudFront 控件 – 仅在美国东部(弗吉尼亚州北部)区域可用

  • GlobalAccelerator.1 – 仅在美国西部(俄勒冈州)区域可用

  • Route53.2 – 仅在美国东部(弗吉尼亚州北部)区域可用

  • WAF.1、WAF.6、WAF.7、WAF.8 – 仅在美国东部(弗吉尼亚州北部)区域可用

注意

如果您使用中心配置,Security Hub CSPM 会自动禁用涉及除主区域之外的所有区域中全局资源的控件。您选择通过配置策略启用的其他控件已在所有提供这些控件的区域中启用。要将这些控件的调查发现限制在一个区域内,您可以更新 Amazon Config 记录器设置并关闭除主区域之外的所有区域的全局资源记录。

如果涉及全局资源的已启用控件在主区域不受支持,则 Security Hub CSPM 会尝试在支持该控件的关联区域中启用该控件。使用中心配置,您无法覆盖在主区域或任何关联区域中不可用的控件。

有关中心配置的更多信息,请参阅了解 Security Hub CSPM 中的中心配置

对于具有定期计划类型的控件,需要在 Security Hub CSPM 中将其禁用以防止计费。将 Amazon Config 参数 includeGlobalResourceTypes 设置为 false 不会影响定期 Security Hub CSPM 控件。

以下 Security Hub CSPM 控件使用全局资源:

CloudTrail 日志记录控件

CloudTrail.2 控件评估使用 Amazon Key Management Service (Amazon KMS) 加密 Amazon CloudTrail 跟踪日志的情况。如果您将这些跟踪记录在集中日志记录账户中,则只需在进行集中日志记录的账户和 Amazon Web Services 区域中启用此控制。

如果您使用中心配置,则控件的启用状态将在主区域和关联区域之间保持一致。您无法在某些区域禁用某个控件而在其他区域启用该控件。在这种情况下,您可以隐藏来自 CloudTrail.2 控件的调查发现以减少调查发现噪音。

CloudWatch 警报控件

如果您更喜欢使用 Amazon GuardDuty 而不是 Amazon CloudWatch 警报进行异常检测,则可以禁用以下控件,这些控件主要用于 CloudWatch 警报: