Enviando descobertas do Resolver DNS Firewall para o Security Hub CSPM - Amazon Route 53
Como as descobertas funcionam no Security Hub CSPMDescoberta típica do Firewall de DNSHabilitar e configurar a integraçãoInterrompendo a entrega de descobertas ao Security Hub CSPM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Enviando descobertas do Resolver DNS Firewall para o Security Hub CSPM

AWS Security Hub CSPMfornece uma visão abrangente do seu estado de segurança AWS e ajuda você a verificar seu ambiente em relação aos padrões e às melhores práticas do setor de segurança. O Security Hub CSPM coleta dados de segurança de todos Contas da AWS os produtos de parceiros terceirizados compatíveis e ajuda você a analisar tendências de segurança e identificar os problemas de segurança de maior prioridade. Serviços da AWS

Ao integrar o Resolver DNS Firewall com o Security Hub CSPM, você pode enviar descobertas do DNS Firewall para o Security Hub CSPM. Em seguida, o Security Hub CSPM inclui essas descobertas em sua análise de sua postura de segurança.

Como as descobertas funcionam no Security Hub CSPM

No CSPM do Security Hub, uma descoberta é um registro observável de uma verificação de segurança ou uma detecção relacionada à segurança. Algumas descobertas vêm de problemas detectados por outros parceiros Serviços da AWS ou por parceiros terceirizados. O Security Hub CSPM também tem seus próprios controles de segurança que ele usa para detectar problemas de segurança e gerar descobertas.

O CSPM do Security Hub fornece ferramentas para gerenciar descobertas em todas essas origens. Você pode visualizar e filtrar listas de descobertas e visualizar detalhes de uma descoberta. Para obter informações, consulte Revisando detalhes e histórico de descobertas no Security Hub CSPM no Guia do AWS Security Hub Usuário. Você também pode atualizar automaticamente as descobertas ou enviá-las para uma ação personalizada. Para obter mais informações, consulte Modificar e agir automaticamente com base nas descobertas do CSPM do Security Hub no Guia do AWS Security Hub Usuário.

Todas as descobertas no Security Hub CSPM usam um formato JSON padrão chamado AWS Security Finding Format (ASFF). O ASFF inclui detalhes sobre a origem do problema de segurança, os recursos afetados e o status atual da descoberta. Para obter mais informações, consulte AWS Security Finding Format (ASFF) no Manual do usuário do AWS Security Hub .

O Firewall DNS é um dos Serviços da AWS que envia as descobertas para o Security Hub CSPM.

Tipos de descobertas enviadas pelo Firewall de DNS

O Firewall de DNS tem as seguintes integrações:

  • Listas de domínios gerenciados: descobertas de segurança relacionadas a consultas bloqueadas ou alertadas para domínios associados às listas de domínios AWS gerenciados.

  • Listas de domínios personalizadas: descobertas de segurança relacionadas a consultas bloqueadas ou com alertas para domínios associados à lista de domínios do cliente.

  • Firewall de DNS Avançado: descobertas de segurança relacionadas a consultas bloqueadas ou com alertas pelo Firewall de DNS Avançado.

O Security Hub CSPM ingere descobertas do DNS Firewall no AWS Security Finding Format (ASFF). No ASFF, o campo Types fornece o tipo de descoberta. As descobertas do Firewall de DNS podem ter os seguintes valores para Types.

  • TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation

Tentando novamente quando o Security Hub CSPM não está disponível

Se o CSPM do Security Hub não estiver disponível, o Firewall DNS tentará enviar novamente as descobertas até que elas sejam recebidas.

Atualização das descobertas existentes no CSPM do Security Hub

O Firewall de DNS atualizará as descobertas existentes se a mesma descoberta for observada novamente.

Descoberta típica do Firewall de DNS

O Security Hub CSPM ingere as descobertas do DNS Firewall no AWS Security Finding Format (ASFF).

Aqui está um exemplo de uma descoberta típica do Firewall de DNS no ASFF.

{
            "SchemaVersion": "2018-10-08",
            "Id": "00000000-0000-0000-0000-example1",
            "ProductArn": "arn:aws:securityhub:us-east-1::product/amazon/route-53-resolver-dns-firewall-aws-list",
            "ProductName": "Route 53 Resolver DNS Firewall - AWS List",
            "CompanyName": "Amazon",
            "Region": "us-east-1",
            "GeneratorId": "arn:aws:route53resolver:us-east-1:000000000000:firewall-rule-group/rslvr-frg-example1",
            "AwsAccountId": "000000000000",
            "Types": [
                "TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation"
            ],
            "FirstObservedAt": "2024-12-06T19:58:49.000Z",
            "LastObservedAt": "2024-12-06T19:58:49.000Z",
            "CreatedAt": "2024-12-06T19:58:49.000Z",
            "UpdatedAt": "2024-12-06T19:58:49.000Z",
            "Severity": {
                "Label": "HIGH",
                "Normalized": 70
            },
            "Title": "DNS Firewall ALERT generated for domain example1.com. from VPC vpc-example1",
            "Description": "DNS Firewall ALERT",
            "ProductFields": {
                "aws/route53resolver/dnsfirewall/queryName": "example1.com.",
                "aws/route53resolver/dnsfirewall/firewallRuleGroupId": "rslvr-frg-example1",
                "aws/route53resolver/dnsfirewall/queryType": "A",
                "aws/route53resolver/dnsfirewall/queryClass": "IN",
                "aws/route53resolver/dnsfirewall/firewallDomainListId": "rslvr-fdl-example1",
                "aws/route53resolver/dnsfirewall/transport": "UDP",
                "aws/route53resolver/dnsfirewall/firewallRuleAction": "ALERT",
                "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/amazon/route-53-resolver-dns-firewall-aws-list/00000000-0000-0000-0000-example1",
                "aws/securityhub/ProductName": "Route 53 Resolver DNS Firewall - AWS List",
                "aws/securityhub/CompanyName": "Amazon"
            },
            "Resources": [
                {
                    "Type": "Other",
                    "Id": "rslvr-in-example1",
                    "Partition": "aws",
                    "Region": "us-east-1",
                    "Details": {
                        "Other": {
                            "ResourceType": "ResolverEndpoint",
                            "EndpointId": "rslvr-in-example1"
                        }
                    }
                },
                {
                    "Type": "Other",
                    "Id": "rni-example1",
                    "Partition": "aws",
                    "Region": "us-east-1",
                    "Details": {
                        "Other": {
                            "NetworkInterfaceId": "rni-example1",
                            "ResourceType": "ResolverNetworkInterface"
                        }
                    }
                }
            ],
            "WorkflowState": "NEW",
            "Workflow": {
                "Status": "NEW"
            },
            "RecordState": "ACTIVE",
            "FindingProviderFields": {
                "Severity": {
                    "Label": "HIGH"
                },
                "Types": [
                    "TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation"
                ]
            },
            "ProcessedAt": "2024-12-11T19:33:35.494Z"
        }

Habilitar e configurar a integração

Para integrar o Firewall DNS com o CSPM do Security Hub, você deve primeiro habilitar o CSPM do Security Hub. Para obter informações sobre como habilitar o CSPM do Security Hub, consulte Habilitando o CSPM do Security Hub no Guia do Usuário.AWS Security Hub

Interrompendo a entrega de descobertas ao Security Hub CSPM

Para parar de enviar descobertas do DNS Firewall para o Security Hub CSPM, você pode usar o console CSPM do Security Hub ou a API CSPM do Security Hub.

Para obter instruções, consulte Desabilitar o fluxo de descobertas a partir de uma integração, no Guia do usuário do AWS Security Hub .