Contrôles du Security Hub que vous souhaiterez peut-être désactiver

Nous vous recommandons de désactiver certaines AWS Security Hub commandes afin de réduire le bruit de détection et de limiter les coûts.

Contrôles relatifs aux ressources mondiales

Certains Services AWS prennent en charge les ressources globales, ce qui signifie que vous pouvez accéder à la ressource depuis n'importe quel endroit Région AWS. Pour économiser sur le coût AWS Config, vous pouvez désactiver l'enregistrement des ressources mondiales dans toutes les régions sauf une. Une fois cette opération effectuée, Security Hub continue à effectuer des contrôles de sécurité dans toutes les régions où un contrôle est activé et vous facture en fonction du nombre de contrôles par compte et par région. Par conséquent, pour réduire le bruit lié à la recherche et économiser sur le coût de Security Hub, vous devez également désactiver les contrôles impliquant des ressources mondiales dans toutes les régions, à l'exception de la région qui enregistre les ressources mondiales.

Note

Si vous utilisez la configuration centralisée, Security Hub désactive automatiquement les contrôles impliquant des ressources globales dans toutes les régions, à l'exception de la région d'origine. Les autres commandes sont activées dans toutes les régions où elles sont disponibles. Pour limiter les résultats de ces contrôles à une seule région, vous pouvez mettre à jour les paramètres de votre AWS Config enregistreur et désactiver l'enregistrement des ressources globales dans toutes les régions, à l'exception de la région d'origine. Pour plus d'informations sur la configuration centrale, consultezConfiguration centralisée dans Security Hub.

Pour les contrôles dotés d'un type de calendrier périodique, il est nécessaire de les désactiver dans Security Hub pour empêcher la facturation. La définition du AWS Config paramètre includeGlobalResourceTypes sur false n'a aucune incidence sur les contrôles périodiques du Security Hub.

Si vous désactivez l'enregistrement des ressources globales dans une ou plusieurs régions, le contrôle [Config.1] AWS Config doit être activé pour générer un échec de recherche dans ces régions. Cela est dû au fait que Config.1 nécessite l'enregistrement des ressources globales pour réussir. Vous pouvez supprimer les résultats de ce contrôle manuellement ou par le biais d'une règle d'automatisation.

Voici une liste des contrôles Security Hub qui impliquent des ressources globales :

• [Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS

• [Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] WAF doit être activé sur les CloudFront distributions

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificats SSL/TLS personnalisés

• [CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux

• [IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « * » complets

• [IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM

• [IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins

• [IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister

• [IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console

• [IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine

• [IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte

• [IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées

• [IAM.9] La MFA doit être activée pour l'utilisateur root

• [IAM.10] Les politiques de mot de passe pour les utilisateurs IAM devraient avoir une durée de validité stricte AWS Config

• [IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule

• [IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule

• [IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole

• [IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre

• [IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus

• [IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe

• [IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins

• [IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support

• [IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM

• [IAM.20] Évitez d'utiliser l'utilisateur root

• [IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services

• [IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées

• [KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS

• [KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS

• [Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS

• [WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée

• [WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition

• [WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle

• [WAF.8] Les ACL Web globales AWS WAF classiques doivent comporter au moins une règle ou un groupe de règles

• [WAF.10] Les ACL AWS WAF Web doivent avoir au moins une règle ou un groupe de règles

• [WAF.11] La journalisation des ACL AWS WAF Web doit être activée

Contrôles relatifs à la CloudTrail journalisation

Ce contrôle concerne l'utilisation de AWS Key Management Service (AWS KMS) pour chiffrer les journaux de AWS CloudTrail suivi. Si vous enregistrez ces traces dans un compte de journalisation centralisé, il vous suffit d'activer ce contrôle dans le compte et dans la région où la journalisation centralisée a lieu.

Note

Si vous utilisez la configuration centralisée, le statut d'activation d'un contrôle est aligné sur la région d'origine et sur les régions associées. Vous ne pouvez pas désactiver un contrôle dans certaines régions et l'activer dans d'autres. Dans ce cas, supprimez les résultats des commandes suivantes afin de réduire le bruit de recherche.

• [CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé

Contrôles qui gèrent les CloudWatch alarmes

Si vous préférez utiliser Amazon GuardDuty pour la détection des anomalies plutôt que les CloudWatch alarmes Amazon, vous pouvez désactiver ces contrôles, qui se concentrent sur les CloudWatch alarmes.

• [CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »

• [CloudWatch.2] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les appels d'API non autorisés

• [CloudWatch.3] Assurez-vous qu'un filtre métrique et une alarme de journal existent pour la connexion à la console de gestion sans MFA

• [CloudWatch.4] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de politique IAM

• [CloudWatch.5] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications CloudTrail AWS Config de durée

• [CloudWatch.6] Assurez-vous qu'un filtre logarithmique et une alarme existent en cas d'échec d' AWS Management Console authentification

• [CloudWatch.7] Assurez-vous qu'un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des clés gérées par le client

• [CloudWatch.8] Assurez-vous qu'un filtre de métriques de log et une alarme existent pour les modifications de politique du compartiment S3

• [CloudWatch.9] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications AWS Config de configuration

• [CloudWatch.10] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications du groupe de sécurité

• [CloudWatch.11] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux listes de contrôle d'accès réseau (NACL)

• [CloudWatch.12] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux passerelles réseau

• [CloudWatch.13] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de la table de routage

• [CloudWatch.14] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications du VPC