Route 53 Resolver DNS Firewall Avançado

O DNS Firewall Advanced detecta consultas suspeitas de DNS com base em assinaturas de ameaças conhecidas em consultas de DNS. Você pode especificar um tipo de ameaça em uma regra que você usa em uma regra de firewall DNS, dentro de um grupo de regras. Quando você associa um grupo de regras a uma VPC, o DNS Firewall compara suas consultas de DNS com os domínios que estão sinalizados nas regras. Se encontrar uma correspondência, ele manipula a consulta de DNS de acordo com a ação da regra correspondente.

O DNS Firewall Advanced funciona identificando assinaturas suspeitas de ameaças ao DNS, inspecionando uma variedade de identificadores-chave na carga do DNS, incluindo o registro de data e hora das solicitações, a frequência das solicitações e respostas, as cadeias de caracteres de consulta de DNS e o tamanho, tipo ou tamanho das consultas DNS de saída e entrada. Com base no tipo de assinatura da ameaça, você pode configurar políticas para bloquear ou simplesmente registrar e alertar sobre a consulta. Ao usar um conjunto expandido de identificadores de ameaças, você pode se proteger contra ameaças de DNS de fontes de domínio que ainda podem não ser classificadas pelos feeds de inteligência de ameaças mantidos pela comunidade de segurança mais ampla.

Atualmente, o DNS Firewall Advanced oferece proteções contra:

Algoritmos de geração de domínio (DGAs)

DGAs são usados por atacantes para gerar um grande número de domínios para lançar ataques de malware.
Tunelamento de DNS

O tunelamento DNS é usado por invasores para exfiltrar dados do cliente usando o túnel DNS sem fazer uma conexão de rede com o cliente.

Para saber como criar regras, consulte Criar um grupo de regras e regras Configurações de regra no Firewall DNS e.

Como atenuar cenários falsos positivos

Se você estiver encontrando cenários falso-positivos em regras que usam as proteções avançadas do DNS Firewall para bloquear consultas, execute as seguintes etapas:

Nos registros do Resolver, identifique o grupo de regras e as proteções avançadas do DNS Firewall que estão causando o falso positivo. Faça isso localizando o log para a consulta que o Firewall DNS está bloqueando, mas que você deseja permitir. O registro de log lista o grupo de regras, a ação da regra e a proteção avançada do firewall DNS. Para obter mais informações sobre logs, consulte (Valores que aparecem em logs de consultas do Resolver).
Crie uma nova regra no grupo de regras que permita explicitamente a consulta bloqueada. Ao criar a regra, você pode definir sua própria lista de domínios apenas com a especificação de domínio que deseja permitir. Siga as orientações para o gerenciamento de regras e grupo de regras em Criar um grupo de regras e regras.
Priorize a nova regra dentro do grupo de regras para que ela seja executada antes da regra que está usando a lista gerenciada. Para fazer isso, dê à nova regra uma configuração de prioridade numérica mais baixa.

Quando tiver atualizado o grupo de regras, a nova regra permitirá explicitamente o nome de domínio que pretende permitir antes da execução da regra de bloqueio.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Como gerenciar suas próprias listas de domínios

Configurar o registro de consultas para Firewall DNS