您可能要禁用的 CISAmazon 基础基准测试控件 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

您可能要禁用的 CISAmazon 基础基准测试控件

对于 CIS FAmazon oundation Benchmark 标准,以下是您可能希望禁用的一些特定控件。

CISAmazon 基金会基准 2.7 控制

此控件涉及使用Amazon KMS加密 CloudTrail 跟踪日志。如果您在集中式日志账户中记录这些跟踪,则只需要在进行集中记录的账户和区域中运行此控件。

CISAmazon 基金会基准 1.1.14、1.20 和 2.5 控制

要节省 Amazon Config 的成本,您可以禁用所有区域(有一个区域除外)中的全局资源的记录,然后禁用处理所有区域(运行全局记录的区域除外)中的全局资源的这些控件。

如果您禁用这些 1.x 控件并禁用特定区域中的全局资源记录,则还应禁用 2.5。这是因为 2.5 需要全局资源记录才能通过。

独联体Amazon基金会基准 1.1、3.1-3.14

您可能更喜欢使用亚马逊 GuardDuty 进行异常检测,而不是 CloudWatch警报,因为警报可能会很吵。

如果是,则可以禁用这些控件,这些控件侧重于 CloudWatch警报。