Route 53 Resolver DNS Firewall에서 Security Hub로 조사 결과 전송 - Amazon Route 53
Security Hub에서 조사 결과가 작동하는 방식DNS Firewall의 일반적인 조사 결과통합 활성화 및 구성Security Hub로의 조사 결과 전달 중지

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Route 53 Resolver DNS Firewall에서 Security Hub로 조사 결과 전송

AWS Security Hub CSPM에서는 AWS에서 보안 상태를 포괄적으로 파악할 수 있으며 보안 업계 표준 및 모범 사례와 비교하여 환경을 확인할 수 있습니다. Security Hub는 AWS 계정, AWS 서비스 및 지원되는 서드 파티 파트너 제품에서 보안 데이터를 수집하여 보안 추세를 분석하고 우선순위가 가장 높은 보안 문제를 파악하는 데 도움을 줍니다.

Route 53 Resolver DNS Firewall을 Security Hub와 통합하여 DNS Firewall에서 Security Hub로 조사 결과를 전송할 수 있습니다. 그러면 Security Hub의 보안 태세 분석에 이러한 조사 결과가 포함됩니다.

Security Hub에서 조사 결과가 작동하는 방식

Security Hub에서, 조사 결과는 보안 검사 또는 보안 관련 감지의 관찰 가능한 기록입니다. 일부 결과는 다른 AWS 서비스 또는 서드 파티에서 감지한 문제에서 비롯됩니다. 또한 Security Hub에는 보안 문제를 감지하고 조사 결과를 생성하는 데 사용하는 자체 보안 컨트롤도 있습니다.

Security Hub는 이러한 모든 출처를 총망라하여 조사 결과를 관리할 도구를 제공합니다. 사용자는 조사 결과 목록을 조회하고 필터링할 수 있으며 주어진 조사 결과의 세부 정보를 조회할 수도 있습니다. 자세한 내용은 AWS Security Hub CSPM 사용 설명서Security Hub에서 조사 결과 세부 정보 및 조사 결과 기록 검토 섹션을 참조하세요. 조사 결과를 자동으로 업데이트하거나 사용자 지정 작업으로 보낼 수도 있습니다. 자세한 내용은 AWS Security Hub CSPM 사용 설명서Security Hub 조사 결과 자동 수정 및 조치 섹션을 참조하세요.

Security Hub의 모든 결과는 표준 JSON 형식을 사용합니다. 이를 AWS Security Finding Format(ASFF)이라고 합니다. ASFF에는 보안 문제의 출처, 영향을 받은 리소스와 결과의 현재 상태 등에 관한 세부 정보가 포함됩니다. 자세한 내용은 AWS Security Hub CSPM 사용 설명서AWS 보안 조사 결과 형식(ASFF)을 참조하세요.

DNS Firewall은 Security Hub에 조사 결과를 전송하는 AWS 서비스 중 하나입니다.

DNS Firewall이 전송하는 조사 결과의 유형

DNS Firewall에는 다음이 통합되어 있습니다.

  • 관리형 도메인 목록: AWS 관리형 도메인 목록과 연결된 도메인에 대한 쿼리가 차단되거나 알림이 표시된 경우, 이와 관련된 보안 조사 결과.

  • 사용자 지정 도메인 목록: 고객의 도메인 목록과 연결된 도메인에 대한 쿼리가 차단되거나 알림이 표시된 경우, 이와 관련된 보안 조사 결과.

  • DNS Firewall Advanced: DNS Firewall Advanced에의해 쿼리가 차단되거나 알림이 표시된 경우, 이와 관련된 보안 조사 결과.

Security Hub는 DNS Firewall의 조사 결과를 AWS Security Finding 형식(ASFF)으로 수집합니다. ASFF의 경우, Types 필드가 결과 유형을 제공합니다. DNS Firewall의 조사 결과는 Types의 값이 다음과 같을 수 있습니다.

  • TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation

Security Hub를 사용할 수 없을 때 다시 시도

Security Hub를 사용할 수 없는 경우 DNS Firewall은 조사 결과가 수신될 때까지 조사 결과 전송을 재시도합니다.

Security Hub에서 기존 조사 결과 업데이트

DNS Firewall은 동일한 조사 결과가 다시 관찰되면 기존 조사 결과를 업데이트합니다.

DNS Firewall의 일반적인 조사 결과

Security Hub는 DNS Firewall의 조사 결과를 AWS Security Finding 형식(ASFF)으로 수집합니다.

다음은 ASFF 형식의 일반적인 DNS Firewall 조사 결과에 대한 예시입니다.

{
            "SchemaVersion": "2018-10-08",
            "Id": "00000000-0000-0000-0000-example1",
            "ProductArn": "arn:aws:securityhub:us-east-1::product/amazon/route-53-resolver-dns-firewall-aws-list",
            "ProductName": "Route 53 Resolver DNS Firewall - AWS List",
            "CompanyName": "Amazon",
            "Region": "us-east-1",
            "GeneratorId": "arn:aws:route53resolver:us-east-1:000000000000:firewall-rule-group/rslvr-frg-example1",
            "AwsAccountId": "000000000000",
            "Types": [
                "TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation"
            ],
            "FirstObservedAt": "2024-12-06T19:58:49.000Z",
            "LastObservedAt": "2024-12-06T19:58:49.000Z",
            "CreatedAt": "2024-12-06T19:58:49.000Z",
            "UpdatedAt": "2024-12-06T19:58:49.000Z",
            "Severity": {
                "Label": "HIGH",
                "Normalized": 70
            },
            "Title": "DNS Firewall ALERT generated for domain example1.com. from VPC vpc-example1",
            "Description": "DNS Firewall ALERT",
            "ProductFields": {
                "aws/route53resolver/dnsfirewall/queryName": "example1.com.",
                "aws/route53resolver/dnsfirewall/firewallRuleGroupId": "rslvr-frg-example1",
                "aws/route53resolver/dnsfirewall/queryType": "A",
                "aws/route53resolver/dnsfirewall/queryClass": "IN",
                "aws/route53resolver/dnsfirewall/firewallDomainListId": "rslvr-fdl-example1",
                "aws/route53resolver/dnsfirewall/transport": "UDP",
                "aws/route53resolver/dnsfirewall/firewallRuleAction": "ALERT",
                "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/amazon/route-53-resolver-dns-firewall-aws-list/00000000-0000-0000-0000-example1",
                "aws/securityhub/ProductName": "Route 53 Resolver DNS Firewall - AWS List",
                "aws/securityhub/CompanyName": "Amazon"
            },
            "Resources": [
                {
                    "Type": "Other",
                    "Id": "rslvr-in-example1",
                    "Partition": "aws",
                    "Region": "us-east-1",
                    "Details": {
                        "Other": {
                            "ResourceType": "ResolverEndpoint",
                            "EndpointId": "rslvr-in-example1"
                        }
                    }
                },
                {
                    "Type": "Other",
                    "Id": "rni-example1",
                    "Partition": "aws",
                    "Region": "us-east-1",
                    "Details": {
                        "Other": {
                            "NetworkInterfaceId": "rni-example1",
                            "ResourceType": "ResolverNetworkInterface"
                        }
                    }
                }
            ],
            "WorkflowState": "NEW",
            "Workflow": {
                "Status": "NEW"
            },
            "RecordState": "ACTIVE",
            "FindingProviderFields": {
                "Severity": {
                    "Label": "HIGH"
                },
                "Types": [
                    "TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation"
                ]
            },
            "ProcessedAt": "2024-12-11T19:33:35.494Z"
        }

통합 활성화 및 구성

DNS Firewall을 Security Hub와 통합하기 전에 먼저 Security Hub를 활성화해야 합니다. Security Hub 활성화에 대한 자세한 내용은 AWS Security Hub CSPM 사용 설명서Security Hub 활성화 섹션을 참조하세요.

Security Hub로의 조사 결과 전달 중지

Security Hub로 DNS Firewall 조사 결과를 전송하는 작업을 중지하려면 Security Hub 콘솔 또는 Security Hub API를 사용할 수 있습니다.

자세한 지침은 AWS Security Hub CSPM 사용 설명서통합에서 조사 결과의 흐름 비활성화를 참조하세요.