本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 建议在 Security Hub CSPM 中禁用的控件
我们建议禁用某些 Sec AWS urity Hub CSPM 控件,以减少查找噪音和使用成本。
## 使用全局资源的控件
有些 AWS 服务 支持全局资源,这意味着您可以从任何资源访问该资源 AWS 区域。为了节省成本 AWS Config,您可以禁用除一个区域以外的所有区域记录全球资源。但在完成此操作后,Security Hub CSPM 仍将在所有启用控件的区域进行安全检查,并将根据每个区域的每个账户的检查数量,向您收费。因此,为了减少调查发现噪音并节省 Security Hub CSPM 的成本,还应禁用涉及到除记录全球资源的区域之外的所有区域中的全球资源的控件。
如果控件涉及全球资源,但仅在一个区域可用,则在该区域禁用该控件会让您无法获取底层资源的任何调查发现。在这种情况下,建议您使控件保持已启用状态。使用跨区域聚合时,可使用控件的区域应为聚合区域或关联区域之一。以下控件涉及全局资源,但仅在单个区域可用:
+ **所有 CloudFront 控件**-仅在美国东部(弗吉尼亚北部)区域可用
+ **GlobalAccelerator.1** — 仅在美国西部(俄勒冈)区域可用
+ **Route53.2** – 仅在美国东部(弗吉尼亚州北部)区域可用
+ **WAF.1、WAF.6、WAF.7、WAF.8** – 仅在美国东部(弗吉尼亚州北部)区域可用
**注意**
如果您使用中心配置,Security Hub CSPM 会自动禁用涉及除主区域之外的所有区域中全局资源的控件。您选择通过配置策略启用的其他控件已在所有提供这些控件的区域中启用。要将这些控件的结果限制在一个区域内,您可以更新 AWS Config 记录器设置并关闭除主区域之外的所有区域的全局资源记录。
如果涉及全局资源的已启用控件在主区域不受支持,则 Security Hub CSPM 会尝试在支持该控件的关联区域中启用该控件。使用中心配置,您无法覆盖在主区域或任何关联区域中不可用的控件。
有关中心配置的更多信息,请参阅[了解 Security Hub CSPM 中的中心配置](central-configuration-intro.md)。
对于具有*定期*计划类型的控件,需要在 Security Hub CSPM 中将其禁用以防止计费。将 AWS Config 参数设置`includeGlobalResourceTypes`为`false`不会影响定期的 Security Hub CSPM 控制。
以下 Security Hub CSPM 控件使用全局资源:
+ [[Account.1] 应为以下人员提供安全联系信息 AWS 账户](account-controls.md#account-1)
+ [[账户.2] AWS 账户 应该是 AWS Organizations 组织的一部分](account-controls.md#account-2)
+ [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 发行版应使用源站访问控制](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 来源使用源访问控制](cloudfront-controls.md#cloudfront-16)
+ [[GlobalAccelerator.1] 应标记全球加速器加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.1] IAM policy 不应允许完整的“\$1”管理权限](iam-controls.md#iam-1)
+ [[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2)
+ [[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3)
+ [[IAM.4] 不应存在 IAM 根用户访问密钥](iam-controls.md#iam-4)
+ [[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5)
+ [[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6)
+ [[IAM.7] IAM 用户的密码策略应具有可靠的配置](iam-controls.md#iam-7)
+ [[IAM.8] 应移除未使用的 IAM 用户凭证](iam-controls.md#iam-8)
+ [[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9)
+ [[IAM.10] IAM 用户的密码策略应具有很强的配置](iam-controls.md#iam-10)
+ [[IAM.11] 确保 IAM 密码策略要求包含至少一个大写字母](iam-controls.md#iam-11)
+ [[IAM.12] 确保 IAM 密码策略要求包含至少一个小写字母](iam-controls.md#iam-12)
+ [[IAM.13] 确保 IAM 密码策略要求包含至少一个符号](iam-controls.md#iam-13)
+ [[IAM.14] 确保 IAM 密码策略要求包含至少一个数字](iam-controls.md#iam-14)
+ [[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14](iam-controls.md#iam-15)
+ [[IAM.16] 确保 IAM 密码策略阻止重复使用密码](iam-controls.md#iam-16)
+ [[IAM.17] 确保 IAM 密码策略使密码在 90 天或更短时间内失效](iam-controls.md#iam-17)
+ [[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18)
+ [[IAM.19] 应为所有 IAM 用户启用 MFA](iam-controls.md#iam-19)
+ [[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作](iam-controls.md#iam-21)
+ [[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22)
+ [[IAM.24] 应标记 IAM 角色](iam-controls.md#iam-24)
+ [[IAM.25] 应标记 IAM 用户](iam-controls.md#iam-25)
+ [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
+ [[IAM.27] IAM 身份不应附加策略 AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[KMS.1] IAM 客户托管策略不应允许对所有 KMS 密钥执行解密操作](kms-controls.md#kms-1)
+ [[KMS.2] IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略](kms-controls.md#kms-2)
+ [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2)
+ [[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8)
## CloudTrail 日志控制
[CloudTrail.2](cloudtrail-controls.md#cloudtrail-2) 控件评估使用 AWS Key Management Service (AWS KMS) 加密 AWS CloudTrail 跟踪日志的情况。如果您在集中式日志记录账户中记录这些跟踪,则只需在集中日志记录 AWS 区域 所在的账户中启用此控件。
如果您使用[中心配置](central-configuration-intro.md),则控件的启用状态将在主区域和关联区域之间保持一致。您无法在某些区域禁用某个控件而在其他区域启用该控件。在这种情况下,您可以抑制来自 CloudTrail .2 控件的结果,以减少查找噪音。
## CloudWatch 警报控制
如果您更喜欢使用亚马逊而不是亚马逊 CloudWatch 警报 GuardDuty 进行异常检测,则可以禁用以下控件,这些控件侧重于 CloudWatch 警报:
+ [[CloudWatch.1] “root” 用户应有日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] 确保存在针对未经授权的 API 调用的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.3] 确保在没有 MFA 的情况下登录管理控制台时存在日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-3)
+ [[CloudWatch.4] 确保存在针对 IAM 策略更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] 确保存在 CloudTrail 配置更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] 确保存在针对 AWS 管理控制台 身份验证失败的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] 确保存在用于禁用或计划删除客户托管密钥的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] 确保存在针对 S3 存储桶策略更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] 确保存在 AWS Config 配置更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] 确保存在针对安全组更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] 确保存在针对网络访问控制列表 (NACL) 更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] 确保存在针对网络网关更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] 确保存在针对路由表更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] 确保存在针对 VPC 更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-14)