Kontrol Security Hub yang mungkin ingin Anda nonaktifkan - AWS Security Hub
Kontrol yang berhubungan dengan sumber daya globalKontrol yang berhubungan dengan CloudTrail loggingKontrol yang menangani CloudWatch alarm

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Security Hub yang mungkin ingin Anda nonaktifkan

Kami merekomendasikan untuk menonaktifkan beberapa AWS Security Hub kontrol untuk mengurangi kebisingan dan membatasi biaya.

Kontrol yang berhubungan dengan sumber daya global

Beberapa Layanan AWS mendukung sumber daya global, yang berarti Anda dapat mengakses sumber daya dari mana pun Wilayah AWS. Untuk menghemat biaya AWS Config, Anda dapat menonaktifkan perekaman sumber daya global di semua kecuali satu Wilayah. Namun, setelah Anda melakukannya, Security Hub tetap menjalankan pemeriksaan keamanan di semua Wilayah di mana kontrol diaktifkan dan menagih Anda berdasarkan jumlah cek per akun per Wilayah. Oleh karena itu, untuk mengurangi kebisingan dan menghemat biaya Security Hub, Anda juga harus menonaktifkan kontrol yang melibatkan sumber daya global di semua Wilayah kecuali Wilayah yang mencatat sumber daya global.

Jika kontrol melibatkan sumber daya global tetapi hanya tersedia di satu Wilayah, menonaktifkannya di Wilayah tersebut mencegah Anda mendapatkan temuan apa pun untuk sumber daya yang mendasarinya. Dalam hal ini, kami sarankan untuk tetap mengaktifkan kontrol. Saat menggunakan agregasi lintas wilayah, wilayah di mana kontrol tersedia harus merupakan Wilayah agregasi atau salah satu Wilayah yang ditautkan. Kontrol berikut melibatkan sumber daya global tetapi hanya tersedia di satu Wilayah:

  • Semua CloudFront kontrol - Hanya tersedia di AS Timur (Virginia N.)

  • GlobalAccelerator.1 — Hanya tersedia di AS Barat (Oregon)

  • Route53.2 - Hanya tersedia di AS Timur (Virginia N.)

  • WAF.1, WAF.6, WAF.7, dan WAF.8 - Hanya tersedia di AS Timur (Virginia N.)

catatan

Jika Anda menggunakan konfigurasi pusat, Security Hub secara otomatis menonaktifkan kontrol yang melibatkan sumber daya global di semua Wilayah kecuali Wilayah asal. Kontrol lain yang Anda pilih untuk diaktifkan meskipun kebijakan konfigurasi diaktifkan di semua Wilayah yang tersedia. Untuk membatasi temuan untuk kontrol ini hanya pada satu Wilayah, Anda dapat memperbarui pengaturan AWS Config perekam dan menonaktifkan perekaman sumber daya global di semua Wilayah kecuali Wilayah asal. Saat Anda menggunakan konfigurasi pusat, Anda tidak memiliki cakupan untuk kontrol yang tidak tersedia di Wilayah asal dan Wilayah yang ditautkan. Untuk informasi selengkapnya tentang konfigurasi pusat, lihatCara kerja konfigurasi pusat.

Untuk kontrol dengan jenis jadwal berkala, menonaktifkannya di Security Hub diperlukan untuk mencegah penagihan. Menyetel AWS Config parameter includeGlobalResourceTypes ke false tidak memengaruhi kontrol Security Hub berkala.

Berikut ini adalah daftar kontrol Security Hub yang melibatkan sumber daya global:

Kontrol yang berhubungan dengan CloudTrail logging

Kontrol ini berkaitan dengan penggunaan AWS Key Management Service (AWS KMS) untuk mengenkripsi log AWS CloudTrail jejak. Jika Anda mencatat jejak ini di akun logging terpusat, Anda hanya perlu mengaktifkan kontrol ini di akun dan Wilayah tempat pencatatan terpusat berlangsung.

catatan

Jika Anda menggunakan konfigurasi pusat, status pengaktifan kontrol disejajarkan di seluruh Wilayah beranda dan Wilayah yang ditautkan. Anda tidak dapat menonaktifkan kontrol di beberapa Wilayah dan mengaktifkannya di wilayah lain. Dalam hal ini, tekan temuan dari kontrol berikut untuk mengurangi kebisingan temuan.

Kontrol yang menangani CloudWatch alarm

Jika Anda lebih suka menggunakan Amazon GuardDuty untuk deteksi anomali daripada CloudWatch alarm Amazon, Anda dapat menonaktifkan kontrol ini, yang berfokus pada alarm. CloudWatch