本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
您可能想要停用的 Security Hub 控制項
我們建議停用某些 AWS Security Hub 控制項,以減少發現噪音並限制成本。
處理全球資源的控制項
某些資源 AWS 服務 支援全域資源,這表示您可以從任何 AWS 區域. 為了節省成本 AWS Config,您可以在除一個區域以外的所有區域中禁用全局資源的記錄。不過,Security Hub 靜止影像會在啟用控制項的所有區域執行安全性檢查,並根據每個區域每個帳戶的檢查次數向您收費。因此,為了減少發現噪音並節省 Security Hub 的成本,您還應該在除記錄全球資源的區域以外的所有區域中停用涉及全域資源的控制項。
注意
如果您使用中央組態,Security Hub 會自動停用與所有區域 (主區域除外) 中涉及全域資源的控制項。其他控制項會在所有可用的區域中啟用。若要將這些控制項的發現項目限制為只有一個「區域」,您可以更新記 AWS Config 錄器設定,並關閉所有區域中的全域資源記錄,但本地區域除外。如需中央規劃的更多資訊,請參閱安全中心中的集中配置。
對於具有定期排程類型的控制項,必須在 Security Hub 中停用這些控制項,以防止計費。includeGlobalResourceTypes將 AWS Config 參數設定為false不會影響定期 Security Hub 控制項。
如果您停用記錄一或多個區域中的全域資源,則 AWS Config 應啟用 [Config.1] 控制項會在這些區域中產生失敗的發現。這是因為 Config.1 需要記錄全局資源才能通過。您可以手動或透過自動化規則隱藏此控制項的發現項目。
以下是涉及全域資源的安全中樞控制項清單:
處理 CloudTrail 日誌記錄的控制
此控制項處理使用 AWS Key Management Service (AWS KMS) 加密 AWS CloudTrail 追蹤記錄。如果您在集中式記錄帳戶中記錄這些追蹤,則只需在帳戶和發生集中記錄的區域中啟用此控制項。
注意
如果您使用中央設定,則控制項的啟用狀態會在主「區域」和「連結的區域」之間保持一致。您無法在某些地區停用控制項,並在其他地區啟用該控制項。在此情況下,請抑制下列控制項的發現項目,以減少尋找雜訊。
處理 CloudWatch 警報的控制項
如果您偏好使用 Amazon GuardDuty 進行異常偵測,而不是 Amazon CloudWatch 警示,您可以停用這些控制項,這些控制將重點放在 CloudWatch 警示上。
