Proteções avançadas do firewall DNS - Amazon Route 53
Como atenuar cenários falsos positivos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Proteções avançadas do firewall DNS

O Firewall de DNS Avançado detecta consultas ao DNS suspeitas com base em assinaturas de ameaças conhecidas nas consultas ao DNS. Você pode especificar um tipo de ameaça em uma regra que você usa em uma regra de firewall de DNS, associada a uma visualização de DNS.

O Firewall de DNS Avançado funciona identificando assinaturas de ameaças de DNS suspeitas, inspecionando uma série de identificadores-chave na carga útil do DNS, incluindo o carimbo de data/hora das solicitações, a frequência das solicitações e respostas, as string de consulta ao DNS e o comprimento, tipo ou tamanho das consultas ao DNS de saída e de entrada. Com base no tipo de assinatura de ameaça, você pode configurar políticas para bloquear ou simplesmente registrar em log e alertar sobre a consulta. Ao usar um conjunto expandido de identificadores de ameaças, você pode se proteger contra ameaças de DNS de origens de domínio que ainda podem não estar classificadas pelos feeds de inteligência de ameaças mantidos pela comunidade de segurança mais ampla.

Atualmente, o Firewall de DNS Avançado oferece proteções contra:

  • Algoritmos de geração de domínio (DGAs)

    DGAs são usados por atacantes para gerar um grande número de domínios para lançar ataques de malware.

  • Tunelamento de DNS

    O tunelamento de DNS é usado por invasores para extrair dados do cliente usando o túnel de DNS sem estabelecer uma conexão de rede com o cliente.

Para saber como criar regras, consulteConfigurar e gerenciar regras de firewall de DNS.

Como atenuar cenários falsos positivos

Se você estiver enfrentando cenários de falsos positivos em regras que usam proteções do Firewall de DNS Avançado para bloquear consultas, execute as seguintes etapas:

  1. Nos registros do Global Resolver, identifique a regra e as proteções avançadas do DNS Firewall que estão causando o falso positivo. Faça isso localizando o log para a consulta que o Firewall DNS está bloqueando, mas que você deseja permitir. O registro de log lista a visualização de DNS, a regra, a ação da regra e a proteção avançada do firewall de DNS.

  2. Crie uma nova regra na visualização DNS que permita explicitamente a passagem da consulta bloqueada. Ao criar a regra, você pode definir sua própria lista de domínios apenas com a especificação de domínio que deseja permitir. Siga as orientações para gerenciamento de regras emConfigurar e gerenciar regras de firewall de DNS.

  3. Priorize a nova regra dentro da regra para que ela seja executada antes da regra que está usando a lista gerenciada. Para fazer isso, dê à nova regra uma configuração de prioridade numérica mais baixa.

Depois de atualizar suas regras, a nova regra permitirá explicitamente o nome de domínio que você deseja permitir antes que a regra de bloqueio seja executada.