Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles suggérés à désactiver dans Security Hub
Nous vous recommandons de désactiver certaines AWS Security Hub commandes afin de réduire le bruit de détection et de limiter les coûts.
Contrôles utilisant des ressources globales
Certains Services AWS prennent en charge les ressources globales, ce qui signifie que vous pouvez accéder à la ressource depuis n'importe quel endroit Région AWS. Pour économiser sur le coût AWS Config, vous pouvez désactiver l'enregistrement des ressources mondiales dans toutes les régions sauf une. Une fois cette opération effectuée, Security Hub continue à effectuer des contrôles de sécurité dans toutes les régions où un contrôle est activé et vous facture en fonction du nombre de contrôles par compte et par région. Par conséquent, pour réduire le bruit lié à la recherche et économiser sur le coût de Security Hub, vous devez également désactiver les contrôles impliquant des ressources mondiales dans toutes les régions, à l'exception de la région qui enregistre les ressources mondiales.
Si un contrôle implique des ressources globales mais n'est disponible que dans une seule région, sa désactivation dans cette région vous empêche d'obtenir des résultats pour la ressource sous-jacente. Dans ce cas, nous vous recommandons de garder le contrôle activé. Lorsque vous utilisez l'agrégation entre régions, la région dans laquelle le contrôle est disponible doit être la région d'agrégation ou l'une des régions liées. Les contrôles suivants concernent des ressources mondiales mais ne sont disponibles que dans une seule région :
Toutes les CloudFront commandes — Disponible uniquement dans l'est des États-Unis (Virginie du Nord)
GlobalAccelerator.1 — Disponible uniquement dans l'ouest des États-Unis (Oregon)
Route 53.2 — Disponible uniquement dans l'est des États-Unis (Virginie du Nord)
WAF.1, WAF.6, WAF.7 et WAF.8 — Disponible uniquement dans l'est des États-Unis (Virginie du Nord)
Note
Si vous utilisez la configuration centralisée, Security Hub désactive automatiquement les contrôles impliquant des ressources globales dans toutes les régions, à l'exception de la région d'origine. Les autres contrôles que vous choisissez d'activer par le biais d'une politique de configuration sont activés dans toutes les régions où ils sont disponibles. Pour limiter les résultats de ces contrôles à une seule région, vous pouvez mettre à jour les paramètres de votre AWS Config enregistreur et désactiver l'enregistrement des ressources globales dans toutes les régions, à l'exception de la région d'origine.
Si un contrôle activé impliquant des ressources globales n'est pas pris en charge dans la région d'origine, Security Hub essaie d'activer le contrôle dans une région liée où le contrôle est pris en charge. Avec la configuration centralisée, vous ne pouvez pas couvrir un contrôle qui n'est pas disponible dans la région d'origine ou dans l'une des régions associées.
Pour plus d'informations sur la configuration centrale, consultezComprendre la configuration centrale dans Security Hub.
Pour les contrôles dotés d'un type de calendrier périodique, il est nécessaire de les désactiver dans Security Hub pour empêcher la facturation. La définition du AWS Config paramètre includeGlobalResourceTypes
sur false
n'a aucune incidence sur les contrôles périodiques du Security Hub.
Voici une liste des contrôles Security Hub qui utilisent des ressources globales :
-
[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS
-
[Compte.2] Comptes AWS devrait faire partie d'un AWS Organizations organization
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « * » complets
-
[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM
-
[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins
-
[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister
-
[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine
-
[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées
-
[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule
-
[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule
-
[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole
-
[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec Support
-
[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM
-
[IAM.26] Les certificats SSL/TLS expirés gérés dans IAM doivent être supprimés
-
[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess
-
[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles
-
[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles
-
[WAF.11] la ACL journalisation AWS WAF Web doit être activée
CloudTrail contrôles de journalisation
Ce contrôle concerne l'utilisation de AWS Key Management Service (AWS KMS) pour chiffrer les journaux de AWS CloudTrail suivi. Si vous enregistrez ces traces dans un compte de journalisation centralisé, il vous suffit d'activer ce contrôle dans le compte et dans la région où la journalisation centralisée a lieu.
Note
Si vous utilisez la configuration centralisée, le statut d'activation d'un contrôle est aligné sur la région d'origine et sur les régions associées. Vous ne pouvez pas désactiver un contrôle dans certaines régions et l'activer dans d'autres. Dans ce cas, supprimez les résultats des commandes suivantes afin de réduire le bruit de recherche.
CloudWatch commandes d'alarmes
Si vous préférez utiliser Amazon GuardDuty pour la détection des anomalies plutôt que les CloudWatch alarmes Amazon, vous pouvez désactiver ces contrôles, qui se concentrent sur les CloudWatch alarmes.