翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Route 53 Resolver DNS Firewall Advanced
DNS Firewall Advanced は、DNS クエリの既知の脅威シグネチャに基づいて、疑わしい DNS クエリを検出します。ルールグループ内で、DNS Firewall ルールで使用するルールで脅威タイプを指定できます。ルールグループを VPC に関連付けると、DNS Firewall はルールでフラグが付いているドメインと DNS クエリを比較します。一致が見つかった場合は、一致したルールのアクションに従って DNS クエリを処理します。
DNS Firewall Advanced は、リクエストのタイムスタンプ、リクエストとレスポンスの頻度、DNS クエリ文字列、アウトバウンドとインバウンドの両方の DNS クエリの長さ、タイプ、サイズなど、DNS ペイロード内のキー識別子の範囲を調べることで、疑わしい DNS 脅威シグネチャを識別します。脅威署名のタイプに基づいて、ブロックするか、単にクエリをログに記録して警告するようにポリシーを設定できます。拡張された脅威識別子のセットを使用することで、より広範なセキュリティコミュニティによって維持されている脅威インテリジェンスフィードによってまだ分類されていないドメインソースからの DNS 脅威から保護できます。
現在、DNS Firewall Advanced は以下からの保護を提供しています。
-
ドメイン生成アルゴリズム (DGAs)
DGAs は、攻撃者が多数のドメインを生成してマルウェア攻撃を開始するために使用されます。
-
DNS トンネリング
DNS トンネリングは、攻撃者がクライアントへのネットワーク接続を行わずに DNS トンネルを使用してクライアントからデータを抽出するために使用されます。
-
ディクショナリ DGA
ディクショナリ DGAs は、攻撃者がディクショナリ単語を使用してドメインを生成し、マルウェアcommand-and-control通信での検出を回避するために使用されます。
ルールを作成する方法については、「ルールグループおよびルールの作成」および「DNS Firewall のルール設定」を参照してください。
誤検出シナリオの軽減
DNS Firewall Advanced 保護を使用してクエリをブロックするルールで誤検出のシナリオが発生した場合は、次の手順を実行します。
-
Resolver ログで、誤検出の原因となっているルールグループと DNS Firewall Advanced 保護を特定します。これを行うには、DNS Firewall がブロックしているが、通過を許可するクエリのログを見つけます。ログレコードには、ルールグループ、ルールアクション、DNS Firewall Advanced 保護が一覧表示されます。ログの詳細については、「Resolver クエリログに表示される値」を参照してください。
-
ブロックしたクエリを明示的に許可するルールグループに新しいルールを作成します。ルールを作成するときに、許可するドメイン仕様のみを使用して、独自のドメインリストを定義できます。ルールグループおよびルールの作成 のルールグループおよびルールの管理に関するガイダンスに従ってください。
-
ルールグループ内で新しいルールの優先度を設定して、そのルールをマネージドリストを使用しているルールの前に実行できるようにします。これを行うには、新しいルールの優先順位の数値を小さく設定します。
ルールグループを更新すると、ブロックルールが実行される前に、許可するドメイン名が新しいルールによって明示的に示されます。
