Contrôles suggérés à désactiver dans Security Hub

Nous vous recommandons de désactiver certaines AWS Security Hub commandes afin de réduire le bruit de détection et de limiter les coûts.

Contrôles utilisant des ressources globales

Certains Services AWS prennent en charge les ressources globales, ce qui signifie que vous pouvez accéder à la ressource depuis n'importe quel endroit Région AWS. Pour économiser sur le coût AWS Config, vous pouvez désactiver l'enregistrement des ressources mondiales dans toutes les régions sauf une. Une fois cette opération effectuée, Security Hub continue à effectuer des contrôles de sécurité dans toutes les régions où un contrôle est activé et vous facture en fonction du nombre de contrôles par compte et par région. Par conséquent, pour réduire le bruit lié à la recherche et économiser sur le coût de Security Hub, vous devez également désactiver les contrôles impliquant des ressources mondiales dans toutes les régions, à l'exception de la région qui enregistre les ressources mondiales.

Si un contrôle implique des ressources globales mais n'est disponible que dans une seule région, sa désactivation dans cette région vous empêche d'obtenir des résultats pour la ressource sous-jacente. Dans ce cas, nous vous recommandons de garder le contrôle activé. Lorsque vous utilisez l'agrégation entre régions, la région dans laquelle le contrôle est disponible doit être la région d'agrégation ou l'une des régions liées. Les contrôles suivants concernent des ressources mondiales mais ne sont disponibles que dans une seule région :

• Toutes les CloudFront commandes — Disponible uniquement dans l'est des États-Unis (Virginie du Nord)

• GlobalAccelerator.1 — Disponible uniquement dans l'ouest des États-Unis (Oregon)

• Route 53.2 — Disponible uniquement dans l'est des États-Unis (Virginie du Nord)

• WAF.1, WAF.6, WAF.7 et WAF.8 — Disponible uniquement dans l'est des États-Unis (Virginie du Nord)

Note

Si vous utilisez la configuration centralisée, Security Hub désactive automatiquement les contrôles impliquant des ressources globales dans toutes les régions, à l'exception de la région d'origine. Les autres contrôles que vous choisissez d'activer par le biais d'une politique de configuration sont activés dans toutes les régions où ils sont disponibles. Pour limiter les résultats de ces contrôles à une seule région, vous pouvez mettre à jour les paramètres de votre AWS Config enregistreur et désactiver l'enregistrement des ressources globales dans toutes les régions, à l'exception de la région d'origine.

Si un contrôle activé impliquant des ressources globales n'est pas pris en charge dans la région d'origine, Security Hub essaie d'activer le contrôle dans une région liée où le contrôle est pris en charge. Avec la configuration centralisée, vous ne pouvez pas couvrir un contrôle qui n'est pas disponible dans la région d'origine ou dans l'une des régions associées.

Pour plus d'informations sur la configuration centrale, consultezComprendre la configuration centrale dans Security Hub.

Pour les contrôles dotés d'un type de calendrier périodique, il est nécessaire de les désactiver dans Security Hub pour empêcher la facturation. La définition du AWS Config paramètre includeGlobalResourceTypes sur false n'a aucune incidence sur les contrôles périodiques du Security Hub.

Voici une liste des contrôles Security Hub qui utilisent des ressources globales :

• [Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS

• [Compte.2] Comptes AWS devrait faire partie d'un AWS Organizations organization

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « * » complets

• [IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM

• [IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins

• [IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister

• [IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console

• [IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine

• [IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte

• [IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées

• [IAM.9] La MFA doit être activée pour l'utilisateur root

• [IAM.10] Les politiques relatives aux mots de passe pour les utilisateurs IAM devraient avoir une durée de validité stricte AWS Config

• [IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule

• [IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule

• [IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole

• [IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre

• [IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus

• [IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe

• [IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins

• [IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec Support

• [IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM

• [IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services

• [IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées

• [IAM.24] Les rôles IAM doivent être balisés

• [IAM.25] Les utilisateurs IAM doivent être étiquetés

• [IAM.26] Les certificats SSL/TLS expirés gérés dans IAM doivent être supprimés

• [IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess

• [IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé

• [KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS

• [KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée

• [WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles

• [WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles

• [WAF.11] la ACL journalisation AWS WAF Web doit être activée

CloudTrail contrôles de journalisation

Ce contrôle concerne l'utilisation de AWS Key Management Service (AWS KMS) pour chiffrer les journaux de AWS CloudTrail suivi. Si vous enregistrez ces traces dans un compte de journalisation centralisé, il vous suffit d'activer ce contrôle dans le compte et dans la région où la journalisation centralisée a lieu.

Note

Si vous utilisez la configuration centralisée, le statut d'activation d'un contrôle est aligné sur la région d'origine et sur les régions associées. Vous ne pouvez pas désactiver un contrôle dans certaines régions et l'activer dans d'autres. Dans ce cas, supprimez les résultats des commandes suivantes afin de réduire le bruit de recherche.

• [CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé

CloudWatch commandes d'alarmes

Si vous préférez utiliser Amazon GuardDuty pour la détection des anomalies plutôt que les CloudWatch alarmes Amazon, vous pouvez désactiver ces contrôles, qui se concentrent sur les CloudWatch alarmes.

• [CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »

• [CloudWatch.2] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les API appels non autorisés

• [CloudWatch.3] Assurez-vous qu'un filtre métrique et une alarme de journal existent pour la connexion à la console de gestion sans MFA

• [CloudWatch.4] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications IAM de politique

• [CloudWatch.5] Assurez-vous qu'un filtre logarithmique et une alarme existent pour CloudTrail AWS Config changements de durée

• [CloudWatch.6] Assurez-vous qu'un filtre logarithmique et une alarme existent pour AWS Management Console échecs d'authentification

• [CloudWatch.7] Assurez-vous qu'un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des clés gérées par le client

• [CloudWatch.8] Assurez-vous qu'un filtre de métriques de log et une alarme existent pour les modifications de politique du compartiment S3

• [CloudWatch.9] Assurez-vous qu'un filtre logarithmique et une alarme existent pour AWS Config modifications de configuration

• [CloudWatch.10] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications du groupe de sécurité

• [CloudWatch.11] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications apportées aux listes de contrôle d'accès au réseau () NACL

• [CloudWatch.12] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux passerelles réseau

• [CloudWatch.13] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de la table de routage

• [CloudWatch.14] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications VPC