在 Security Hub 中停用的建議控制項

我們建議禁用一些 AWS Security Hub 控制以減少發現噪音並限制成本。

使用全域資源的控制項

一些 AWS 服務 支持全球資源，這意味著您可以從任何地方訪問資源 AWS 區域。 為了節省成本 AWS Config，您可以停用記錄除一個區域以外的所有全域資源。不過，Security Hub 靜止影像會在啟用控制項的所有區域執行安全性檢查，並根據每個區域每個帳戶的檢查次數向您收費。因此，為了減少發現噪音並節省 Security Hub 的成本，您還應該在除記錄全球資源的區域以外的所有區域中停用涉及全域資源的控制項。

如果控制項涉及全域資源，但只能在一個「區域」中使用，則在該區域中停用該控制項可防止您取得基礎資源的任何發現項目。在這種情況下，我們建議您保持啟用控制項。使用跨區域彙總時，可使用控制項的區域應為彙總區域或其中一個連結的區域。下列控制項涉及全域資源，但僅適用於單一區域：

• 所有 CloudFront 控制項 — 僅在美國東部 (維吉尼亞北部) 提供

• GlobalAccelerator.1 — 僅在美國西部 (奧勒岡) 提供

• 路線 53.2 — 僅在美國東部 (維吉尼亞北部) 提供

• WAF.1、WAF .6、. WAF 7 和 WAF .8 — 僅在美國東部 (維吉尼亞北部) 提供

注意

如果您使用中央組態，Security Hub 會自動停用與所有區域 (主區域除外) 中涉及全域資源的控制項。您選擇透過組態原則啟用的其他控制項在所有可用的區域中啟用這些控制項。若要將這些控制項的搜尋結果限制為只有一個區域，您可以更新 AWS Config 記錄器設置並關閉除家庭區域以外的所有區域的全局資源記錄。當您使用中央設定時，您缺少在本地區域或任何連結區域中無法使用的控制項的涵蓋範圍。如需中央規劃的更多資訊，請參閱了解安全中心中的中央配置。

對於具有定期排程類型的控制項，必須在 Security Hub 中停用這些控制項，才能防止計費。設定 AWS Config 參數includeGlobalResourceTypesfalse不會影響定期 Security Hub 控制項。

以下是使用全域資源的安全中樞控制項清單：

• [帳戶。1] 應提供安全聯繫信息 AWS 帳戶

• [帳戶 2] AWS 帳戶 應該是 AWS Organizations 組織

• [CloudFront.1] CloudFront 發行版應該配置一個默認的根對象

• [CloudFront.3] CloudFront 發行版在傳輸過程中應該需要加密

• [CloudFront.4] CloudFront 發行版應該配置原始容錯移轉

• [CloudFront.5] CloudFront 發行版應啟用日誌記錄

• [CloudFront.6] CloudFront 發行版應該已WAF啟用

• [CloudFront.7] CloudFront 發行版應使用自訂SSL/憑證 TLS

• [CloudFront.8] CloudFront 發行版應用SNI於服務HTTPS請求

• [CloudFront.9] CloudFront 發行版應該加密到自定義來源的流量

• [CloudFront.10] CloudFront 發行版不應在邊緣位置和自定義來源之間使用棄用的SSL協議

• [CloudFront.12] CloudFront 發行版不應指向不存在的 S3 來源

• [CloudFront.13] CloudFront 發行版應使用源訪問控制

• [EventBridge.4] EventBridge 全域端點應啟用事件複寫

• [GlobalAccelerator.1] 應標記全局加速器加速器

• [IAM.1] IAM 策略不應允許完整的「*」管理權限

• [IAM.2] IAM 用戶不應該附加IAM策略

• [IAM.3] IAM 用戶的訪問密鑰應每 90 天或更短時間輪換一次

• [IAM.4] IAM 根用戶訪問密鑰不應存在

• 所有擁有主控台密碼的使用IAM者都MFA應啟用 [IAM.5]

• [IAM.6] 根用戶MFA應啟用硬件

• [IAM.7] IAM 用戶的密碼策略應具有強大的配置

• [IAM.8] 應刪除未使IAM用的用戶憑據

• MFA應為 root 使用者啟用 [IAM.9]

• [IAM.10] IAM 用戶的密碼策略應該具有強大的 AWS Config排尿

• [IAM.11] 確保IAM密碼策略至少需要一個大寫字母

• [IAM.12] 確保IAM密碼策略至少需要一個小寫字母

• [IAM.13] 確保IAM密碼策略至少需要一個符號

• [IAM.14] 確保IAM密碼策略至少需要一個數字

• [IAM.15] 確保IAM密碼策略要求的密碼長度下限為 14 或更大

• [IAM.16] 確保IAM密碼策略防止密碼重複使用

• [IAM.17] 確保IAM密碼策略在 90 天或更短的時間內過期

• [IAM.18] 確保已建立支援角色來管理事件 AWS Support

• MFA應為所IAM有使用者啟用 [IAM.19]

• [IAM.21] 您建立的IAM客戶管理策略不應允許對服務執行萬用字元動作

• [IAM.22] 應刪除 45 天未使用的IAM用戶憑據

• [IAM.24] IAM 角色應該被標記

• [IAM.25] 應標記IAM用戶

• [IAM.26] 已過期SSL/IAM應移除中管理的TLS憑證

• [IAM.27] IAM 身份不應該附加 AWSCloudShellFullAccess 策略

• [IAM.28] IAM 訪問分析器外部訪問分析器應該啟用

• [KMS.1] IAM 客戶管理策略不應允許對所有密KMS鑰進行解密操作

• [KMS.2] IAM 主體不應具有允許對所有KMS金鑰進行解密動作的IAM內嵌政策

• [路線 53.2] 路線 53 公共託管區域應記錄查詢 DNS

• [WAF1] AWS WAF 應啟用傳統全域網頁ACL記錄

• [WAF.6] AWS WAF 傳統全域規則應至少有一個條件

• [WAF.7] AWS WAF 傳統全域規則群組至少應有一個規則

• [WAF.8] AWS WAF 傳統全域 Web 至少ACLs應該有一個規則或規則群組

• [WAF.10] AWS WAF web ACLs 應該至少有一個規則或規則群組

• [WAF.11] AWS WAF 應ACL啟用網頁記錄

CloudTrail 記錄控制項

此控制項處理使用 AWS Key Management Service (AWS KMS) 加密 AWS CloudTrail 跟踪日誌。如果您在集中式記錄帳戶中記錄這些追蹤，則只需在帳戶和發生集中記錄的區域中啟用此控制項。

注意

如果您使用中央設定，則控制項的啟用狀態會在主「區域」和「連結的區域」之間保持一致。您無法在某些地區停用控制項，並在其他地區啟用該控制項。在此情況下，請抑制下列控制項的發現項目，以減少尋找雜訊。

• [CloudTrail.2] CloudTrail 應啟用靜態加密

CloudWatch 警報控制

如果您偏好使用 Amazon GuardDuty 進行異常偵測，而不是 Amazon CloudWatch 警示，您可以停用這些控制項，這些控制將重點放在 CloudWatch 警示上。

• [CloudWatch.1] 對於「root」用戶的使用，應存在日誌指標過濾器和警報

• [CloudWatch.2] 確保未經授權的API呼叫存在日誌指標過濾器和警報

• [CloudWatch.3] 確保管理控制台登錄存在日誌指標過濾器和警報，而無需 MFA

• [CloudWatch.4] 確定IAM原則變更存在記錄量度篩選器和警示

• [CloudWatch.5] 確保存在的日誌度量過濾器和警報 CloudTrail AWS Config變化變化

• [CloudWatch.6] 確保存在的日誌度量過濾器和警報 AWS Management Console 驗證失敗

• [CloudWatch.7] 確保存在日誌指標過濾器和警報，以停用或排程刪除客戶管理的金鑰

• [CloudWatch.8] 確保 S3 儲存貯體政策變更存在日誌指標篩選器和警示

• [CloudWatch.9] 確保存在的日誌度量過濾器和警報 AWS Config 組態變更

• [CloudWatch.10] 確保安全組更改存在日誌指標過濾器和警報

• [CloudWatch.11] 確保存在對網絡訪問控制列表的更改的日誌指標過濾器和警報（）NACL

• [CloudWatch.12] 確定網路閘道變更存在記錄指標篩選器和警示

• [CloudWatch.13] 確保路由表更改存在日誌度量過濾器和警報

• [CloudWatch.14] 確保存在更VPC改的日誌指標過濾器和警報