Ergebnisse von der Resolver DNS Firewall an Security Hub CSPM senden - Amazon Route 53
So funktionieren die Ergebnisse in Security Hub CSPMTypischer Befund aus der DNS-FirewallAktivieren und Konfigurieren der IntegrationEinstellung der Übermittlung der Ergebnisse an Security Hub CSPM

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ergebnisse von der Resolver DNS Firewall an Security Hub CSPM senden

AWS Security Hub CSPMbietet Ihnen einen umfassenden Überblick über Ihren Sicherheitsstatus AWS und hilft Ihnen dabei, Ihre Umgebung anhand von Industriestandards und Best Practices zu überprüfen. Security Hub CSPM sammelt Sicherheitsdaten von allen AWS-Konten und unterstützten Produkten von Drittanbietern und hilft Ihnen dabei, Sicherheitstrends zu analysieren und Sicherheitsprobleme mit der höchsten Priorität zu identifizieren. AWS-Services

Durch die Integration der Resolver DNS Firewall in Security Hub CSPM können Sie Ergebnisse von der DNS-Firewall an Security Hub CSPM senden. Security Hub CSPM bezieht diese Ergebnisse dann in die Analyse Ihres Sicherheitsstatus ein.

So funktionieren die Ergebnisse in Security Hub CSPM

In Security Hub CSPM ist ein Befund eine beobachtbare Aufzeichnung einer Sicherheitsüberprüfung oder einer sicherheitsrelevanten Entdeckung. Einige Ergebnisse beruhen auf Problemen, die von anderen oder AWS-Services von Drittanbietern entdeckt wurden. Security Hub CSPM verfügt auch über eigene Sicherheitskontrollen, mit denen Sicherheitsprobleme erkannt und Ergebnisse generiert werden.

Security Hub CSPM bietet Tools zur Verwaltung von Ergebnissen aus all diesen Quellen. Sie können Ergebnislisten anzeigen und filtern sowie Details zu einem Ergebnis anzeigen. Weitere Informationen finden Sie unter Überprüfen der Suchdetails und des Suchverlaufs in Security Hub CSPM im AWS Security Hub Benutzerhandbuch. Sie können die Ergebnisse auch automatisch aktualisieren oder sie an eine benutzerdefinierte Aktion senden. Weitere Informationen finden Sie im AWS Security Hub Benutzerhandbuch unter Automatisches Ändern der Ergebnisse von Security Hub CSPM und Ergreifen von Maßnahmen dazu.

Alle Ergebnisse in Security Hub CSPM verwenden ein standardmäßiges JSON-Format, das AWS Security Finding Format (ASFF). Das ASFF enthält Einzelheiten zur Ursache des Sicherheitsproblems, zu den betroffenen Ressourcen und zum aktuellen Stand der Ergebnisse. Weitere Informationen finden Sie unter AWS -Security Finding-Format (ASFF) im AWS Security Hub -Benutzerhandbuch.

Die DNS-Firewall ist eine der Firewalls AWS-Services , die Ergebnisse an Security Hub CSPM sendet.

Arten von Ergebnissen, die die DNS-Firewall sendet

Die DNS-Firewall verfügt über die folgenden Integrationen:

  • Verwaltete Domänenlisten: Sicherheitsfeststellungen im Zusammenhang mit blockierten Abfragen oder Warnmeldungen für Domänen, die AWS verwalteten Domänenlisten zugeordnet sind.

  • Benutzerdefinierte Domainlisten: Sicherheitslücken im Zusammenhang mit blockierten Anfragen oder Benachrichtigungen für Domains, die mit der Domainliste des Kunden verknüpft sind.

  • DNS Firewall Advanced: Sicherheitsfeststellungen im Zusammenhang mit Anfragen, die von DNS Firewall Advanced blockiert wurden oder bei denen eine Warnung ausgelöst wurde.

Security Hub CSPM nimmt die Ergebnisse der DNS-Firewall im AWS Security Finding Format (ASFF) auf. In ASFF gibt das Types-Feld die Art der Erkenntnis an. Die Ergebnisse der DNS-Firewall können die folgenden Werte für haben. Types

  • TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation

Wiederholter Versuch, wenn Security Hub CSPM nicht verfügbar ist

Wenn Security Hub CSPM nicht verfügbar ist, versucht die DNS-Firewall erneut, die Ergebnisse zu senden, bis sie empfangen werden.

Aktualisierung vorhandener Ergebnisse in Security Hub CSPM

Die DNS-Firewall aktualisiert die vorhandenen Ergebnisse, wenn derselbe Befund erneut beobachtet wird.

Typischer Befund aus der DNS-Firewall

Security Hub CSPM nimmt DNS-Firewall-Ergebnisse im AWS Security Finding Format (ASFF) auf.

Hier ist ein Beispiel für ein typisches Ergebnis der DNS-Firewall in ASFF.

{
            "SchemaVersion": "2018-10-08",
            "Id": "00000000-0000-0000-0000-example1",
            "ProductArn": "arn:aws:securityhub:us-east-1::product/amazon/route-53-resolver-dns-firewall-aws-list",
            "ProductName": "Route 53 Resolver DNS Firewall - AWS List",
            "CompanyName": "Amazon",
            "Region": "us-east-1",
            "GeneratorId": "arn:aws:route53resolver:us-east-1:000000000000:firewall-rule-group/rslvr-frg-example1",
            "AwsAccountId": "000000000000",
            "Types": [
                "TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation"
            ],
            "FirstObservedAt": "2024-12-06T19:58:49.000Z",
            "LastObservedAt": "2024-12-06T19:58:49.000Z",
            "CreatedAt": "2024-12-06T19:58:49.000Z",
            "UpdatedAt": "2024-12-06T19:58:49.000Z",
            "Severity": {
                "Label": "HIGH",
                "Normalized": 70
            },
            "Title": "DNS Firewall ALERT generated for domain example1.com. from VPC vpc-example1",
            "Description": "DNS Firewall ALERT",
            "ProductFields": {
                "aws/route53resolver/dnsfirewall/queryName": "example1.com.",
                "aws/route53resolver/dnsfirewall/firewallRuleGroupId": "rslvr-frg-example1",
                "aws/route53resolver/dnsfirewall/queryType": "A",
                "aws/route53resolver/dnsfirewall/queryClass": "IN",
                "aws/route53resolver/dnsfirewall/firewallDomainListId": "rslvr-fdl-example1",
                "aws/route53resolver/dnsfirewall/transport": "UDP",
                "aws/route53resolver/dnsfirewall/firewallRuleAction": "ALERT",
                "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/amazon/route-53-resolver-dns-firewall-aws-list/00000000-0000-0000-0000-example1",
                "aws/securityhub/ProductName": "Route 53 Resolver DNS Firewall - AWS List",
                "aws/securityhub/CompanyName": "Amazon"
            },
            "Resources": [
                {
                    "Type": "Other",
                    "Id": "rslvr-in-example1",
                    "Partition": "aws",
                    "Region": "us-east-1",
                    "Details": {
                        "Other": {
                            "ResourceType": "ResolverEndpoint",
                            "EndpointId": "rslvr-in-example1"
                        }
                    }
                },
                {
                    "Type": "Other",
                    "Id": "rni-example1",
                    "Partition": "aws",
                    "Region": "us-east-1",
                    "Details": {
                        "Other": {
                            "NetworkInterfaceId": "rni-example1",
                            "ResourceType": "ResolverNetworkInterface"
                        }
                    }
                }
            ],
            "WorkflowState": "NEW",
            "Workflow": {
                "Status": "NEW"
            },
            "RecordState": "ACTIVE",
            "FindingProviderFields": {
                "Severity": {
                    "Label": "HIGH"
                },
                "Types": [
                    "TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation"
                ]
            },
            "ProcessedAt": "2024-12-11T19:33:35.494Z"
        }

Aktivieren und Konfigurieren der Integration

Um die DNS-Firewall in Security Hub CSPM zu integrieren, müssen Sie zuerst Security Hub CSPM aktivieren. Informationen zur Aktivierung von Security Hub CSPM finden Sie unter Enabling Security Hub CSPM im Benutzerhandbuch.AWS Security Hub

Einstellung der Übermittlung der Ergebnisse an Security Hub CSPM

Um das Senden von DNS-Firewall-Ergebnissen an Security Hub CSPM zu beenden, können Sie die Security Hub CSPM-Konsole oder die Security Hub CSPM-API verwenden.

Anweisungen finden Sie im Benutzerhandbuch unter Deaktivierung des Flusses von Ergebnissen aus einer Integration.AWS Security Hub