将来自 Route 53 Resolver DNS Firewall 的调查发现发送到 Security Hub - Amazon Route 53
Security Hub 中调查发现的工作原理来自 DNS Firewall 的典型调查发现启用和配置集成停止向 Security Hub 传递调查发现
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将来自 Route 53 Resolver DNS Firewall 的调查发现发送到 Security Hub

Amazon Security Hub CSPM 提供了您在 Amazon 中的安全状态的全面视图,可帮助您检查环境是否符合安全行业标准和最佳实践。Security Hub 可跨 Amazon Web Services 账户、Amazon Web Services 服务 和受支持的第三方合作伙伴产品收集安全数据,并可帮助您分析安全趋势,以及确定最高优先级的安全问题。

通过将 Route 53 Resolver DNS Firewall 与 Security Hub 集成,您可以将调查发现从 DNS Firewall 发送到 Security Hub。随后,Security Hub 在对您的安全状况进行分析时包括这些调查发现。

Security Hub 中调查发现的工作原理

在 Security Hub 中,调查发现是安全检查或安全相关检测的可观察记录。一些检查结果来自其他 Amazon Web Services 服务或第三方合作伙伴检测到的问题。Security Hub 还有用于检测安全问题和生成调查发现的自有安全控件。

Security Hub 提供了管理来自所有这些来源的结果的工具。您可以查看和筛选调查发现列表,并查看调查发现的详细信息。有关更多信息,请参阅 Amazon Security Hub CSPM 用户指南中的在 Security Hub 中审查调查发现详细信息和历史记录。您还可以自动更新调查发现或将其发送到自定义操作。有关更多信息,请参阅 Amazon Security Hub CSPM 用户指南中的自动修改 Security Hub 调查发现并对其采取行动

Security Hub 中的所有调查发现都使用标准的 JSON 格式,即 Amazon Security Finding 格式 (ASFF)。ASFF 包含有关安全问题根源、受影响资源以及调查发现当前状态的详细信息。有关更多信息,请参阅 Amazon Security Hub CSPM 用户指南中的 Amazon Security Finding 格式 (ASFF)

DNS Firewall 是一项 Amazon Web Services 服务,可将调查发现发送到 Security Hub。

DNS Firewall 发送的调查发现类型

DNS Firewall 具有以下集成:

  • 托管域列表:对于与 Amazon 托管域列表关联的域,与阻止或发出提醒的查询相关的安全调查发现。

  • 自定义域列表:对于与客户域列表关联的域,与阻止或发出提醒的查询相关的安全调查发现。

  • DNS Firewall Advanced:与由 DNS Firewall Advanced 阻止或发出提醒的查询相关的安全调查发现。

Security Hub 使用 Amazon 安全调查发现格式(ASFF)从 DNS Firewall 中提取调查发现。在 ASFF 中,Types 字段提供结果类型。来自 DNS Firewall 的调查发现可能具有 Types 的以下值。

  • TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation

Security Hub 不可用时重试

如果 Security Hub 不可用,DNS Firewall 会重试发送调查发现,直到 Security Hub 收到这些调查发现。

更新 Security Hub 中的现有调查发现

如果再次观察到相同的调查发现,DNS Firewall 将更新现有调查发现。

来自 DNS Firewall 的典型调查发现

Security Hub 使用 Amazon 安全调查发现格式(ASFF)提取 DNS Firewall 调查发现。

下面是来自 DNS Firewall 的典型调查发现(采用 ASFF 格式)示例。

{
            "SchemaVersion": "2018-10-08",
            "Id": "00000000-0000-0000-0000-example1",
            "ProductArn": "arn:aws:securityhub:us-east-1::product/amazon/route-53-resolver-dns-firewall-aws-list",
            "ProductName": "Route 53 Resolver DNS Firewall - AWS List",
            "CompanyName": "Amazon",
            "Region": "us-east-1",
            "GeneratorId": "arn:aws:route53resolver:us-east-1:000000000000:firewall-rule-group/rslvr-frg-example1",
            "AwsAccountId": "000000000000",
            "Types": [
                "TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation"
            ],
            "FirstObservedAt": "2024-12-06T19:58:49.000Z",
            "LastObservedAt": "2024-12-06T19:58:49.000Z",
            "CreatedAt": "2024-12-06T19:58:49.000Z",
            "UpdatedAt": "2024-12-06T19:58:49.000Z",
            "Severity": {
                "Label": "HIGH",
                "Normalized": 70
            },
            "Title": "DNS Firewall ALERT generated for domain example1.com. from VPC vpc-example1",
            "Description": "DNS Firewall ALERT",
            "ProductFields": {
                "aws/route53resolver/dnsfirewall/queryName": "example1.com.",
                "aws/route53resolver/dnsfirewall/firewallRuleGroupId": "rslvr-frg-example1",
                "aws/route53resolver/dnsfirewall/queryType": "A",
                "aws/route53resolver/dnsfirewall/queryClass": "IN",
                "aws/route53resolver/dnsfirewall/firewallDomainListId": "rslvr-fdl-example1",
                "aws/route53resolver/dnsfirewall/transport": "UDP",
                "aws/route53resolver/dnsfirewall/firewallRuleAction": "ALERT",
                "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/amazon/route-53-resolver-dns-firewall-aws-list/00000000-0000-0000-0000-example1",
                "aws/securityhub/ProductName": "Route 53 Resolver DNS Firewall - AWS List",
                "aws/securityhub/CompanyName": "Amazon"
            },
            "Resources": [
                {
                    "Type": "Other",
                    "Id": "rslvr-in-example1",
                    "Partition": "aws",
                    "Region": "us-east-1",
                    "Details": {
                        "Other": {
                            "ResourceType": "ResolverEndpoint",
                            "EndpointId": "rslvr-in-example1"
                        }
                    }
                },
                {
                    "Type": "Other",
                    "Id": "rni-example1",
                    "Partition": "aws",
                    "Region": "us-east-1",
                    "Details": {
                        "Other": {
                            "NetworkInterfaceId": "rni-example1",
                            "ResourceType": "ResolverNetworkInterface"
                        }
                    }
                }
            ],
            "WorkflowState": "NEW",
            "Workflow": {
                "Status": "NEW"
            },
            "RecordState": "ACTIVE",
            "FindingProviderFields": {
                "Severity": {
                    "Label": "HIGH"
                },
                "Types": [
                    "TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation"
                ]
            },
            "ProcessedAt": "2024-12-11T19:33:35.494Z"
        }

启用和配置集成

若要将 DNS Firewall 与 Security Hub 集成,您必须先启用 Security Hub。有关更多信息,请参阅 Amazon Security Hub CSPM 用户指南中的启用 Security Hub

停止向 Security Hub 传递调查发现

要停止向 Security Hub 发送 DNS Firewall 调查发现,您可以使用 Security Hub 控制台或 Security Hub API。

有关说明,请参阅 Amazon Security Hub CSPM 用户指南中的禁用集成调查发现流