Security Hub で無効化を推奨するコントロール - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub で無効化を推奨するコントロール

検出結果のノイズを減らし、コストを抑えるために、一部の AWS Security Hub コントロールを無効にすることをお勧めします。

グローバルリソースを使用するコントロール

一部の はグローバルリソース AWS のサービス をサポートしています。つまり、任意の からリソースにアクセスできます AWS リージョン。のコストを節約するために AWS Config、1 つのリージョンを除くすべてのリージョンでグローバルリソースの記録を無効にすることができます。ただし、これを行った後、Security Hub は引き続きコントロールが有効になっているすべてのリージョンでセキュリティチェックを実行し、リージョンごとにアカウントごとのチェック数に基づいて料金を請求します。したがって、Security Hub での検出結果のノイズを減らし、コストを節約するには、グローバルリソースを記録するリージョン以外のすべてのリージョンで、グローバルリソースが含まれるコントロールを無効にする必要もあります。

コントロールにグローバルリソースが含まれるが、1 つのリージョンでのみ利用可能な場合、そのリージョンでコントロールを無効にすると、基盤となるリソースの検出結果を取得できなくなります。この場合、コントロールを有効にしておくことをお勧めします。クロスリージョン集約を使用する場合、コントロールが利用可能なリージョンは、集約リージョンまたはリンクされたリージョンのいずれかである必要があります。次のコントロールにはグローバルリソースが含まれますが、1 つのリージョンでのみ使用できます。

  • すべての CloudFront コントロール – 米国東部 (バージニア北部) でのみ使用可能

  • GlobalAccelerator.1 – 米国西部 (オレゴン) でのみ使用可能

  • Route53.2 – 米国東部 (バージニア北部) でのみ利用できます

  • WAF.1、WAF.6、WAF.7、および WAF.8 – 米国東部 (バージニア北部) でのみ使用可能

注記

中央設定を使用する場合、Security Hub は、ホームリージョンを除くすべてのリージョンでグローバルリソースが含まれるコントロールを自動的に無効にします。設定ポリシーを通じて有効を選択したその他のコントロールは、利用可能なすべてのリージョンで有効になります。これらのコントロールの結果を 1 つのリージョンのみに制限するには、 AWS Config レコーダー設定を更新し、ホームリージョンを除くすべてのリージョンでグローバルリソース記録をオフにします。

グローバルリソースを含む有効なコントロールがホームリージョンでサポートされていない場合、Security Hub は、コントロールがサポートされているリンクされた 1 つのリージョンでコントロールを有効にしようとします。中央設定では、ホームリージョンまたはリンクされたリージョンで利用できないコントロールのカバレッジがありません。

中央設定の詳細については、「Security Hub の中央設定について」を参照してください。

Security Hub の中央設定について.

.

定期的なスケジュールタイプを持つコントロールの場合、課金を防ぐには Security Hub でコントロールを無効にする必要があります。 AWS Config パラメータを に設定includeGlobalResourceTypesfalseしても、定期的な Security Hub コントロールには影響しません。

以下は、グローバルリソースを使用する Security Hub コントロールのリストです。

CloudTrail ログ記録コントロール

このコントロールは、 AWS Key Management Service (AWS KMS) を使用して AWS CloudTrail 証跡ログを暗号化します。集中ログ記録アカウントでこれらの追跡をログ記録する場合、このコントロールは集中ログ記録が行われるアカウントとリージョンを有効化するだけで済みます。

注記

中央設定を使用した場合、コントロールの有効化ステータスは、ホームリージョンおよびリンクされたリージョンで統一されます。一部のリージョンでコントロールを無効にして、他のリージョンで有効にすることはできません。この場合は、以下のコントロールの検出結果を抑制し、検出結果のノイズを減らします。

CloudWatch アラームコントロール

Amazon CloudWatch アラームの代わりに Amazon を使用して GuardDuty 異常検出を行う場合は、 CloudWatch アラームに焦点を当てたこれらのコントロールを無効にすることができます。