DNS Firewall: protezioni avanzate - Amazon Route 53
Mitigazione degli scenari di falsi positivi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

DNS Firewall: protezioni avanzate

DNS Firewall Advanced rileva le query DNS sospette sulla base di firme di minacce note nelle query DNS. È possibile specificare un tipo di minaccia in una regola utilizzata in una regola del firewall DNS, associata a una visualizzazione DNS.

DNS Firewall Advanced funziona identificando le firme di minacce DNS sospette ispezionando una serie di identificatori chiave nel payload DNS, tra cui il timestamp delle richieste, la frequenza delle richieste e delle risposte, le stringhe di query DNS e la lunghezza, il tipo o la dimensione delle query DNS in uscita e in entrata. In base al tipo di firma della minaccia, è possibile configurare politiche di blocco o semplicemente registrare e inviare avvisi sulla query. Utilizzando un set esteso di identificatori di minacce, è possibile proteggersi dalle minacce DNS provenienti da fonti di dominio che potrebbero non essere ancora classificate dai feed di intelligence sulle minacce gestiti dalla più ampia comunità di sicurezza.

Attualmente, DNS Firewall Advanced offre protezioni da:

  • Algoritmi di generazione di domini () DGAs

    DGAs vengono utilizzati dagli aggressori per generare un gran numero di domini per lanciare attacchi di malware.

  • tunneling DNS

    Il tunneling DNS viene utilizzato dagli aggressori per esfiltrare dati dal client utilizzando il tunnel DNS senza stabilire una connessione di rete con il client.

Per informazioni su come creare regole, consulta. Configura e gestisci le regole del firewall DNS

Mitigazione degli scenari di falsi positivi

Se riscontri scenari di falsi positivi nelle regole che utilizzano le protezioni DNS Firewall Advanced per bloccare le query, procedi nel seguente modo:

  1. Nei log di Global Resolver, identifica la regola e le protezioni DNS Firewall Advanced che causano il falso positivo. A tale scopo, individua il log per la query che DNS Firewall sta bloccando, ma che si desidera consentire. Il record di registro elenca la visualizzazione DNS, la regola, l'azione della regola e la protezione DNS Firewall Advanced.

  2. Crea una nuova regola nella vista DNS che consenta esplicitamente il passaggio della query bloccata. Quando crei la regola, puoi definire un elenco di domini personalizzato con la sola specifica del dominio che desideri consentire. Segui le linee guida per la gestione delle regole all'indirizzo. Configura e gestisci le regole del firewall DNS

  3. Assegna priorità alla nuova regola all'interno della regola in modo che venga eseguita prima della regola che utilizza l'elenco gestito. A tale scopo, assegna alla nuova regola un'impostazione di priorità inferiore.

Dopo aver aggiornato le regole, la nuova regola consentirà esplicitamente il nome di dominio che desideri consentire prima dell'esecuzione della regola di blocco.