Enviar resultados do Firewall de DNS do Route 53 Resolver para o Security Hub - Amazon Route 53
Como funcionam as descobertas no Security HubDescoberta típica do Firewall de DNSHabilitar e configurar a integraçãoInterromper a entrega de descobertas ao Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Enviar resultados do Firewall de DNS do Route 53 Resolver para o Security Hub

O AWS Security Hub CSPM fornece uma visão abrangente do estado de segurança na AWS e ajuda a verificar o ambiente em relação aos padrões e às práticas recomendadas do setor de segurança. O Security Hub coleta dados de segurança de Contas da AWS, Serviços da AWS e produtos de parceiros compatíveis e ajuda a você a analisar tendências de segurança e identificar os problemas de segurança de maior prioridade.

Ao integrar o Firewall de DNS do Route 53 Resolver com o Security Hub, você pode enviar as descobertas do Firewall de DNS do Route 53 Resolver para o Security Hub. O Security Hub então inclui essas descobertas na análise feita sobre a postura de segurança.

Como funcionam as descobertas no Security Hub

No Security Hub, uma descoberta é um registro observável de uma verificação de segurança ou uma detecção relacionada à segurança. Algumas descobertas provêm de problemas que são detectados por outros Serviços da AWS ou por parceiros terceirizados. O Security Hub também tem seus próprios controles de segurança que ele usa para detectar problemas de segurança e gerar descobertas.

O Security Hub fornece ferramentas para gerenciar descobertas em todas essas fontes. Você pode visualizar e filtrar listas de descobertas e visualizar detalhes de uma descoberta. Para saber mais, veja Analisar detalhes de descobertas e o histórico de descobertas no Security Hub, no Guia do usuário do AWS Security Hub CSPM. Você também pode atualizar automaticamente as descobertas ou enviá-las para uma ação personalizada. Para saber mais, veja Modificar automaticamente e tomar medidas sobre descobertas do Security Hub no Guia do usuário do AWS Security Hub CSPM.

Todas as descobertas no Security Hub usam um formato JSON padrão chamado ASFF (Formato de Descoberta de Segurança da AWS). O ASFF inclui detalhes sobre a origem do problema de segurança, os recursos afetados e o status atual da descoberta. Para obter mais informações, consulte AWS Security Finding Format (ASFF) no Manual do usuário do AWS Security Hub CSPM.

O Firewall de DNS é um dos Serviços da AWS que enviam descobertas ao Security Hub.

Tipos de descobertas enviadas pelo Firewall de DNS

O Firewall de DNS tem as seguintes integrações:

  • Listas de domínios gerenciados: descobertas de segurança relacionadas a consultas bloqueadas ou com alertas para domínios associados a Listas de domínios gerenciados da AWS.

  • Listas de domínios personalizadas: descobertas de segurança relacionadas a consultas bloqueadas ou com alertas para domínios associados à lista de domínios do cliente.

  • Firewall de DNS Avançado: descobertas de segurança relacionadas a consultas bloqueadas ou com alertas pelo Firewall de DNS Avançado.

O Security Hub faz a ingestão de descobertas do Firewall de DNS no Formato de descoberta de segurança da AWS (ASFF). No ASFF, o campo Types fornece o tipo de descoberta. As descobertas do Firewall de DNS podem ter os seguintes valores para Types.

  • TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation

Novas tentativas quando o Security Hub não está disponível

Se o Security Hub estiver indisponível, o Firewall de DNS tentará enviar as descobertas até que elas sejam recebidas.

Atualizar as descobertas existentes no Security Hub

O Firewall de DNS atualizará as descobertas existentes se a mesma descoberta for observada novamente.

Descoberta típica do Firewall de DNS

O Security Hub faz a ingestão de descobertas do Firewall de DNS no Formato de descoberta de segurança da AWS (ASFF).

Aqui está um exemplo de uma descoberta típica do Firewall de DNS no ASFF.

{
            "SchemaVersion": "2018-10-08",
            "Id": "00000000-0000-0000-0000-example1",
            "ProductArn": "arn:aws:securityhub:us-east-1::product/amazon/route-53-resolver-dns-firewall-aws-list",
            "ProductName": "Route 53 Resolver DNS Firewall - AWS List",
            "CompanyName": "Amazon",
            "Region": "us-east-1",
            "GeneratorId": "arn:aws:route53resolver:us-east-1:000000000000:firewall-rule-group/rslvr-frg-example1",
            "AwsAccountId": "000000000000",
            "Types": [
                "TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation"
            ],
            "FirstObservedAt": "2024-12-06T19:58:49.000Z",
            "LastObservedAt": "2024-12-06T19:58:49.000Z",
            "CreatedAt": "2024-12-06T19:58:49.000Z",
            "UpdatedAt": "2024-12-06T19:58:49.000Z",
            "Severity": {
                "Label": "HIGH",
                "Normalized": 70
            },
            "Title": "DNS Firewall ALERT generated for domain example1.com. from VPC vpc-example1",
            "Description": "DNS Firewall ALERT",
            "ProductFields": {
                "aws/route53resolver/dnsfirewall/queryName": "example1.com.",
                "aws/route53resolver/dnsfirewall/firewallRuleGroupId": "rslvr-frg-example1",
                "aws/route53resolver/dnsfirewall/queryType": "A",
                "aws/route53resolver/dnsfirewall/queryClass": "IN",
                "aws/route53resolver/dnsfirewall/firewallDomainListId": "rslvr-fdl-example1",
                "aws/route53resolver/dnsfirewall/transport": "UDP",
                "aws/route53resolver/dnsfirewall/firewallRuleAction": "ALERT",
                "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/amazon/route-53-resolver-dns-firewall-aws-list/00000000-0000-0000-0000-example1",
                "aws/securityhub/ProductName": "Route 53 Resolver DNS Firewall - AWS List",
                "aws/securityhub/CompanyName": "Amazon"
            },
            "Resources": [
                {
                    "Type": "Other",
                    "Id": "rslvr-in-example1",
                    "Partition": "aws",
                    "Region": "us-east-1",
                    "Details": {
                        "Other": {
                            "ResourceType": "ResolverEndpoint",
                            "EndpointId": "rslvr-in-example1"
                        }
                    }
                },
                {
                    "Type": "Other",
                    "Id": "rni-example1",
                    "Partition": "aws",
                    "Region": "us-east-1",
                    "Details": {
                        "Other": {
                            "NetworkInterfaceId": "rni-example1",
                            "ResourceType": "ResolverNetworkInterface"
                        }
                    }
                }
            ],
            "WorkflowState": "NEW",
            "Workflow": {
                "Status": "NEW"
            },
            "RecordState": "ACTIVE",
            "FindingProviderFields": {
                "Severity": {
                    "Label": "HIGH"
                },
                "Types": [
                    "TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation"
                ]
            },
            "ProcessedAt": "2024-12-11T19:33:35.494Z"
        }

Habilitar e configurar a integração

Para integrar o Firewall de DNS ao Security Hub, você deve primeiro habilitar o Security Hub. Para obter informações sobre como habilitar o Security Hub, consulte Habilitar o Security Hub, no Guia do usuário do AWS Security Hub CSPM.

Interromper a entrega de descobertas ao Security Hub

Para interromper o envio de descobertas do Firewall de DNS para o Security Hub, você pode usar o console ou a API do Security Hub.

Para obter instruções, consulte Desabilitar o fluxo de descobertas a partir de uma integração, no Guia do usuário do AWS Security Hub CSPM.