Security Hub controla que quizás desee realizar deshabilitaciones - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Security Hub controla que quizás desee realizar deshabilitaciones

Recomendamos desactivar algunos AWS Security Hub controles para reducir la detección de ruido y limitar los costes.

Controles relacionados con los recursos globales

Algunos Servicios de AWS admiten recursos globales, lo que significa que puedes acceder al recurso desde cualquier Región de AWSlugar. Para ahorrar costes AWS Config, puedes desactivar el registro de los recursos globales en todas las regiones excepto en una. Una vez hecho esto, Security Hub aún ejecutará controles de seguridad en todas las regiones en las que esté habilitado un control y se le cobrará en función del número de controles por cuenta y región. En consecuencia, para reducir el ruido de las búsquedas y ahorrar en el coste de Security Hub, también debes desactivar los controles que implican recursos globales en todas las regiones, excepto en la región que registra los recursos globales.

nota

Si usa la configuración central, Security Hub deshabilita automáticamente los controles que involucran recursos globales en todas las regiones, excepto en la región de origen. Hay otros controles habilitados en todas las regiones en las que están disponibles. Para limitar las búsquedas de estos controles a una sola región, puede actualizar la configuración de la AWS Config grabadora y desactivar el registro de recursos globales en todas las regiones, excepto en la región de origen. Para obtener más información acerca de la configuración centralizada, consulte Configuración centralizada en Security Hub.

Para los controles con un tipo de programación periódica, es necesario deshabilitarlos en Security Hub para evitar la facturación. Establecer el AWS Config parámetro en false no afecta includeGlobalResourceTypes a los controles periódicos de Security Hub.

Si deshabilita el registro de los recursos globales en una o más regiones, el control [Config.1] AWS Config si está habilitado, genera una búsqueda fallida en esas regiones. El motivo es que Config.1 necesita el registro de recursos globales para superarse. Puede suprimir los resultados de este control manualmente o mediante una regla de automatización.

La siguiente es una lista de los controles de Security Hub que involucran recursos globales:

Controles relacionados con el CloudTrail registro

Este control trata del uso de AWS Key Management Service (AWS KMS) para cifrar los registros de AWS CloudTrail seguimiento. Si registra estos seguimientos en una cuenta de registro centralizada, solo tendrá que habilitar este control en la cuenta y región donde tiene lugar este registro centralizado.

nota

Si utiliza la configuración centralizada, el estado de habilitación de un control se alinea en la región de origen y en las regiones vinculadas. No puede deshabilitar un control en algunas regiones y habilitarlo en otras. En este caso, suprima los resultados de los siguientes controles para reducir el ruido de los resultados.

Controles que se ocupan de las alarmas CloudWatch

Si prefieres utilizar Amazon GuardDuty para la detección de anomalías en lugar de CloudWatch las alarmas de Amazon, puedes desactivar estos controles, que se centran en CloudWatch las alarmas.