DNS Firewall — Erweiterter Schutz - Amazon Route 53
Beseitigung von False-Positive-Szenarien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

DNS Firewall — Erweiterter Schutz

DNS Firewall Advanced erkennt verdächtige DNS-Abfragen auf der Grundlage bekannter Bedrohungssignaturen in DNS-Abfragen. Sie können einen Bedrohungstyp in einer Regel angeben, die Sie in einer DNS-Firewallregel verwenden, die einer DNS-Ansicht zugeordnet ist.

DNS Firewall Advanced identifiziert verdächtige DNS-Bedrohungssignaturen, indem es eine Reihe von Schlüsselkennungen in der DNS-Payload untersucht, darunter den Zeitstempel der Anfragen, die Häufigkeit von Anfragen und Antworten, die DNS-Abfragezeichenfolgen sowie die Länge, Art oder Größe sowohl ausgehender als auch eingehender DNS-Abfragen. Je nach Art der Bedrohungssignatur können Sie Richtlinien so konfigurieren, dass die Anfrage blockiert oder einfach protokolliert und eine Warnung angezeigt wird. Durch die Verwendung eines erweiterten Satzes von Bedrohungskennungen können Sie sich vor DNS-Bedrohungen schützen, die von Domänenquellen ausgehen, die möglicherweise noch nicht durch Threat-Intelligence-Feeds, die von der breiteren Sicherheitsgemeinschaft verwaltet werden, noch nicht klassifiziert wurden.

Derzeit bietet DNS Firewall Advanced Schutz vor:

  • Algorithmen zur Domain-Generierung () DGAs

    DGAs werden von Angreifern verwendet, um eine große Anzahl von Domains zu generieren, um Malware-Angriffe zu starten.

  • DNS-Tunneling

    DNS-Tunneling wird von Angreifern verwendet, um mithilfe des DNS-Tunnels Daten vom Client zu exfiltrieren, ohne eine Netzwerkverbindung zum Client herzustellen.

Informationen zum Erstellen von Regeln finden Sie unter. DNS-Firewallregeln konfigurieren und verwalten

Beseitigung von False-Positive-Szenarien

Wenn Sie in Regeln, die erweiterte DNS-Firewall-Schutzfunktionen zum Blockieren von Abfragen verwenden, auf falsch positive Szenarien stoßen, gehen Sie wie folgt vor:

  1. Identifizieren Sie in den Global Resolver-Protokollen die Regel und die erweiterten Schutzmaßnahmen der DNS-Firewall, die die Fehlalarme verursacht haben. Dazu finden Sie das Protokoll für die Abfrage, die die DNS-Firewall blockiert, aber die Sie zulassen möchten. Im Protokolleintrag sind die DNS-Ansicht, die Regel, die Regelaktion und der erweiterte DNS-Firewall-Schutz aufgeführt.

  2. Erstellen Sie in der DNS-Ansicht eine neue Regel, die die blockierte Abfrage explizit durchlässt. Wenn Sie die Regel erstellen, können Sie Ihre eigene Domainliste nur mit der Domainspezifikation definieren, die Sie zulassen möchten. Folgen Sie den Anleitungen zur Regelverwaltung unterDNS-Firewallregeln konfigurieren und verwalten.

  3. Ordnen Sie der neuen Regel innerhalb der Regel Priorität zu, sodass sie vor der Regel ausgeführt wird, die die verwaltete Liste verwendet. Geben Sie dazu der neuen Regel eine niedrigere numerische Prioritätseinstellung.

Wenn Sie Ihre Regeln aktualisiert haben, erlaubt die neue Regel ausdrücklich den Domainnamen, den Sie zulassen möchten, bevor die Sperrregel ausgeführt wird.