Envío de resultados de DNS Firewall de Route 53 Resolver a Security Hub. - Amazon Route 53
Cómo funcionan los resultados en Security HubResultado típico de DNS FirewallHabilitación y configuración de la integraciónInterrupción del envío de resultados a Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Envío de resultados de DNS Firewall de Route 53 Resolver a Security Hub.

AWS Security Hub CSPM brinda una visión completa de su estado de seguridad en AWS y ayuda a comprobar su entorno con las prácticas recomendadas y los estándares del sector de seguridad. Security Hub recopila datos de seguridad de todas las Cuentas de AWS, los Servicios de AWS y los productos compatibles de terceros y lo ayuda a analizar las tendencias de seguridad y a identificar los problemas de seguridad de mayor prioridad.

La integración de DNS Firewall de Route 53 Resolver con Security Hub le permite enviar resultados de DNS Firewall a Security Hub. Security Hub incluye esos resultados en su análisis de la posición de seguridad.

Cómo funcionan los resultados en Security Hub

En Security Hub, un resultado consiste en el registro observable de un control de seguridad o de una detección relacionada con la seguridad. Algunos resultados provienen de problemas detectados por otros Servicios de AWS o por socios terceros. Security Hub también cuenta con sus propios controles de seguridad que utiliza para detectar problemas de seguridad y generar resultados.

Security Hub proporciona herramientas para administrar los resultados de todas estas fuentes. Puede ver y filtrar listas de resultados y ver los detalles de un resultado. Para obtener más información, consulte Reviewing finding details and finding history in Security Hub en la Guía del usuario de AWS Security Hub CSPM. También puede actualizar los resultados automáticamente o enviarlos a una acción personalizada. Para obtener más información, consulte Automatically modifying and taking action on Security Hub findings en la Guía del usuario de AWS Security Hub CSPM.

Todos los resultados en Security Hub usan un formato JSON estándar denominado Formato de resultados de seguridad de AWS (ASFF). El ASFF incluye detalles sobre el origen del problema de seguridad, los recursos afectados y el estado actual del resultado. Para obtener más información, consulte AWS Security Finding Format (ASFF) en la Guía del usuario de AWS Security Hub CSPM.

DNS Firewall es uno de los Servicios de AWS que envía los resultados a Security Hub.

Tipos de resultados que envía DNS Firewall

DNS Firewall tiene las siguientes integraciones:

  • Listas de dominios administradas: resultados de seguridad relacionados con consultas bloqueadas o con alertas para dominios asociados a las listas de dominios administradas por AWS.

  • Listas de dominios personalizadas: resultados de seguridad relacionados con consultas bloqueadas o con alertas para dominios asociados a la lista de dominios del cliente.

  • DNS Firewall Advanced: resultados de seguridad relacionados con consultas bloqueadas o con alertas emitidas por DNS Firewall Advanced.

Security Hub recoge los resultados de DNS Firewall en el formato de resultados de seguridad de AWS (ASFF). En ASFF, el campo Types proporciona el tipo de resultado. Los resultados de DNS Firewall pueden tener los siguientes valores para Types.

  • TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation

Reintento cuando Security Hub no está disponible

Si Security Hub no está disponible, DNS Firewall vuelve a intentar enviar los resultados hasta que se reciben.

Actualización de los resultados existentes en Security Hub

DNS Firewall actualizará los resultados existentes si se vuelve a observar el mismo resultado.

Resultado típico de DNS Firewall

Security Hub recoge los resultados de DNS Firewall en el formato de resultados de seguridad de AWS (ASFF).

Este es un ejemplo de un resultado típico de DNS Firewall en ASFF.

{
            "SchemaVersion": "2018-10-08",
            "Id": "00000000-0000-0000-0000-example1",
            "ProductArn": "arn:aws:securityhub:us-east-1::product/amazon/route-53-resolver-dns-firewall-aws-list",
            "ProductName": "Route 53 Resolver DNS Firewall - AWS List",
            "CompanyName": "Amazon",
            "Region": "us-east-1",
            "GeneratorId": "arn:aws:route53resolver:us-east-1:000000000000:firewall-rule-group/rslvr-frg-example1",
            "AwsAccountId": "000000000000",
            "Types": [
                "TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation"
            ],
            "FirstObservedAt": "2024-12-06T19:58:49.000Z",
            "LastObservedAt": "2024-12-06T19:58:49.000Z",
            "CreatedAt": "2024-12-06T19:58:49.000Z",
            "UpdatedAt": "2024-12-06T19:58:49.000Z",
            "Severity": {
                "Label": "HIGH",
                "Normalized": 70
            },
            "Title": "DNS Firewall ALERT generated for domain example1.com. from VPC vpc-example1",
            "Description": "DNS Firewall ALERT",
            "ProductFields": {
                "aws/route53resolver/dnsfirewall/queryName": "example1.com.",
                "aws/route53resolver/dnsfirewall/firewallRuleGroupId": "rslvr-frg-example1",
                "aws/route53resolver/dnsfirewall/queryType": "A",
                "aws/route53resolver/dnsfirewall/queryClass": "IN",
                "aws/route53resolver/dnsfirewall/firewallDomainListId": "rslvr-fdl-example1",
                "aws/route53resolver/dnsfirewall/transport": "UDP",
                "aws/route53resolver/dnsfirewall/firewallRuleAction": "ALERT",
                "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/amazon/route-53-resolver-dns-firewall-aws-list/00000000-0000-0000-0000-example1",
                "aws/securityhub/ProductName": "Route 53 Resolver DNS Firewall - AWS List",
                "aws/securityhub/CompanyName": "Amazon"
            },
            "Resources": [
                {
                    "Type": "Other",
                    "Id": "rslvr-in-example1",
                    "Partition": "aws",
                    "Region": "us-east-1",
                    "Details": {
                        "Other": {
                            "ResourceType": "ResolverEndpoint",
                            "EndpointId": "rslvr-in-example1"
                        }
                    }
                },
                {
                    "Type": "Other",
                    "Id": "rni-example1",
                    "Partition": "aws",
                    "Region": "us-east-1",
                    "Details": {
                        "Other": {
                            "NetworkInterfaceId": "rni-example1",
                            "ResourceType": "ResolverNetworkInterface"
                        }
                    }
                }
            ],
            "WorkflowState": "NEW",
            "Workflow": {
                "Status": "NEW"
            },
            "RecordState": "ACTIVE",
            "FindingProviderFields": {
                "Severity": {
                    "Label": "HIGH"
                },
                "Types": [
                    "TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation"
                ]
            },
            "ProcessedAt": "2024-12-11T19:33:35.494Z"
        }

Habilitación y configuración de la integración

Para realizar la integración de DNS Firewall con Security Hub, primero debe activar Security Hub. Para obtener información sobre cómo activar Security Hub, consulte Enabling Security Hub en la Guía del usuario de AWS Security Hub CSPM.

Interrupción del envío de resultados a Security Hub

Para interrumpir el envío de resultados de DNS Firewall a Security Hub, puede utilizar la consola de Security Hub o la API de Security Hub.

Para obtener instrucciones, consulte Disabling the flow of findings from an integration en la Guía del usuario de AWS Security Hub CSPM.