Contrôles suggérés à désactiver dans Security Hub

Nous vous recommandons de désactiver certaines AWS Security Hub commandes afin de réduire le bruit de détection et de limiter les coûts.

Contrôles utilisant des ressources globales

Certains Services AWS prennent en charge les ressources globales, ce qui signifie que vous pouvez accéder à la ressource depuis n'importe quel endroit Région AWS. Pour économiser sur le coût AWS Config, vous pouvez désactiver l'enregistrement des ressources mondiales dans toutes les régions sauf une. Une fois cette opération effectuée, Security Hub continue à effectuer des contrôles de sécurité dans toutes les régions où un contrôle est activé et vous facture en fonction du nombre de contrôles par compte et par région. Par conséquent, pour réduire le bruit lié à la recherche et économiser sur le coût de Security Hub, vous devez également désactiver les contrôles impliquant des ressources mondiales dans toutes les régions, à l'exception de la région qui enregistre les ressources mondiales.

Si un contrôle implique des ressources globales mais n'est disponible que dans une seule région, sa désactivation dans cette région vous empêche d'obtenir des résultats pour la ressource sous-jacente. Dans ce cas, nous vous recommandons de garder le contrôle activé. Lorsque vous utilisez l'agrégation entre régions, la région dans laquelle le contrôle est disponible doit être la région d'agrégation ou l'une des régions liées. Les contrôles suivants concernent des ressources mondiales mais ne sont disponibles que dans une seule région :

• Toutes les CloudFront commandes — Disponible uniquement dans l'est des États-Unis (Virginie du Nord)

• GlobalAccelerator.1 — Disponible uniquement dans l'ouest des États-Unis (Oregon)

• Route 53.2 — Disponible uniquement dans l'est des États-Unis (Virginie du Nord)

• WAF1.1, WAF .6, WAF .7 et WAF .8 — Disponible uniquement dans l'est des États-Unis (Virginie du Nord)

Note

Si vous utilisez la configuration centralisée, Security Hub désactive automatiquement les contrôles impliquant des ressources globales dans toutes les régions, à l'exception de la région d'origine. Les autres contrôles que vous choisissez d'activer par le biais d'une politique de configuration sont activés dans toutes les régions où ils sont disponibles. Pour limiter les résultats de ces contrôles à une seule région, vous pouvez mettre à jour les paramètres de votre AWS Config enregistreur et désactiver l'enregistrement des ressources globales dans toutes les régions, à l'exception de la région d'origine. Lorsque vous utilisez la configuration centralisée, vous ne pouvez pas couvrir un contrôle qui n'est pas disponible dans la région d'origine ou dans aucune des régions associées. Pour plus d'informations sur la configuration centrale, consultezComprendre la configuration centrale dans Security Hub.

Pour les contrôles dotés d'un type de calendrier périodique, il est nécessaire de les désactiver dans Security Hub pour empêcher la facturation. La définition du AWS Config paramètre includeGlobalResourceTypes sur false n'a aucune incidence sur les contrôles périodiques du Security Hub.

Voici une liste des contrôles Security Hub qui utilisent des ressources globales :

• [Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS

• [Compte.2] Comptes AWS devrait faire partie d'un AWS Organizations organization

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »

• [IAM.2] aucune IAM politique ne doit être attachée aux IAM utilisateurs

• [IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins

• [IAM.4] IAM La clé d'accès de l'utilisateur root ne doit pas exister

• [IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console

• [IAM.6] Le matériel MFA doit être activé pour l'utilisateur root

• [IAM.7] Les politiques de mot de passe pour les IAM utilisateurs doivent être configurées de manière stricte

• [IAM.8] Les informations IAM d'identification utilisateur non utilisées doivent être supprimées

• [IAM.9] MFA doit être activé pour l'utilisateur root

• [IAM.10] Les politiques relatives aux mots de passe pour IAM les utilisateurs doivent avoir une durée stricte AWS Config

• [IAM.11] Assurez-vous que la politique IAM de mot de passe nécessite au moins une lettre majuscule

• [IAM.12] Assurez-vous que la politique IAM de mot de passe nécessite au moins une lettre minuscule

• [IAM.13] Assurez-vous que la politique IAM de mot de passe nécessite au moins un symbole

• [IAM.14] Assurez-vous que la politique IAM de mot de passe nécessite au moins un chiffre

• [IAM.15] Assurez-vous que la politique IAM de mot de passe exige une longueur de mot de passe minimale de 14 ou plus

• [IAM.16] Assurez-vous que la politique de IAM mot de passe empêche la réutilisation des mots de passe

• [IAM.17] Assurez-vous que la politique IAM de mot de passe expire les mots de passe dans un délai de 90 jours ou moins

• [IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support

• [IAM.19] MFA doit être activé pour tous les utilisateurs IAM

• [IAM.21] les politiques gérées par le IAM client que vous créez ne doivent pas autoriser les actions génériques pour les services

• [IAM.22] Les informations IAM d'identification utilisateur non utilisées pendant 45 jours doivent être supprimées

• [IAM.24] IAM les rôles doivent être balisés

• [IAM.25] IAM les utilisateurs doivent être tagués

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités

• [IAM.28] IAM L'analyseur d'accès externe Access Analyzer doit être activé

• [KMS.1] les politiques gérées par IAM le client ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS

• [KMS.2] IAM les principaux ne devraient pas avoir de politiques IAM intégrées autorisant les actions de déchiffrement sur toutes les clés KMS

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF0,10] AWS WAF le Web ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF.11] AWS WAF la ACL journalisation sur le Web doit être activée

CloudTrail contrôles de journalisation

Ce contrôle concerne l'utilisation de AWS Key Management Service (AWS KMS) pour chiffrer les journaux de AWS CloudTrail suivi. Si vous enregistrez ces traces dans un compte de journalisation centralisé, il vous suffit d'activer ce contrôle dans le compte et dans la région où la journalisation centralisée a lieu.

Note

Si vous utilisez la configuration centralisée, le statut d'activation d'un contrôle est aligné sur la région d'origine et sur les régions associées. Vous ne pouvez pas désactiver un contrôle dans certaines régions et l'activer dans d'autres. Dans ce cas, supprimez les résultats des commandes suivantes afin de réduire le bruit de recherche.

• [CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé

CloudWatch commandes d'alarmes

Si vous préférez utiliser Amazon GuardDuty pour la détection des anomalies plutôt que les CloudWatch alarmes Amazon, vous pouvez désactiver ces contrôles, qui se concentrent sur les CloudWatch alarmes.

• [CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »

• [CloudWatch.2] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les API appels non autorisés

• [CloudWatch.3] Assurez-vous qu'un filtre métrique et une alarme de journal existent pour la connexion à la console de gestion sans MFA

• [CloudWatch.4] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications IAM de politique

• [CloudWatch.5] Assurez-vous qu'un filtre logarithmique et une alarme existent pour CloudTrail AWS Config changements de durée

• [CloudWatch.6] Assurez-vous qu'un filtre logarithmique et une alarme existent pour AWS Management Console échecs d'authentification

• [CloudWatch.7] Assurez-vous qu'un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des clés gérées par le client

• [CloudWatch.8] Assurez-vous qu'un filtre de métriques de log et une alarme existent pour les modifications de politique du compartiment S3

• [CloudWatch.9] Assurez-vous qu'un filtre logarithmique et une alarme existent pour AWS Config modifications de configuration

• [CloudWatch.10] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications du groupe de sécurité

• [CloudWatch.11] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications apportées aux listes de contrôle d'accès au réseau () NACL

• [CloudWatch.12] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux passerelles réseau

• [CloudWatch.13] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de la table de routage

• [CloudWatch.14] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications VPC