Security Hub CSPM 中的发现是如何运作的来自 DNS Firewall 的典型调查发现启用和配置集成停止向 Security Hub CSPM 传送调查结果

将结果从 Resolver DNS 防火墙发送到 Security Hub CSPM

AWS Security Hub CSPM为您提供安全状态的全面视图， AWS 并帮助您根据安全行业标准和最佳实践检查您的环境。Security Hub CSPM 从 AWS 账户 AWS 服务、和支持的第三方合作伙伴产品中收集安全数据，并帮助您分析安全趋势并识别优先级最高的安全问题。

通过将 Resolver DNS 防火墙与 Security Hub CSPM 集成，你可以将发现结果从 DNS 防火墙发送到 Security Hub CSPM。然后，Security Hub CSPM 将这些发现纳入其对您的安全态势的分析中。

Security Hub CSPM 中的发现是如何运作的

在 Security Hub CSPM 中，调查发现是安全检查或安全相关检测的可观测记录。有些发现来自其他合作伙伴 AWS 服务或第三方合作伙伴发现的问题。Security Hub CSPM 也有自己的安全控制措施，用于检测安全问题并生成调查结果。

Security Hub CSPM 提供了用于管理来自所有这些来源的调查发现的工具。您可以查看和筛选调查发现列表，并查看调查发现的详细信息。有关信息，请参阅《AWS Security Hub 用户指南》中的 “在 Sec urity Hub CSPM 中查看查找结果详情和查找历史记录”。您还可以自动更新调查发现或将其发送到自定义操作。有关更多信息，请参阅《AWS Security Hub 用户指南》中的自动修改 Security Hub CSPM 发现结果并对其采取措施。

Security Hub CSPM 中的所有发现都使用一种称为 AWS 安全调查结果格式 (ASFF) 的标准 JSON 格式。ASFF 包含有关安全问题根源、受影响资源以及调查发现当前状态的详细信息。有关更多信息，请参阅 AWS Security Hub 用户指南中的 AWS Security Finding 格式 (ASFF)。

DNS 防火墙是向 Securit AWS 服务 y Hub CSPM 发送发现结果的防火墙之一。

DNS Firewall 发送的调查发现类型

DNS Firewall 具有以下集成：

托管域列表：与托 AWS 管域列表关联的域名被阻止或提醒的查询相关的安全发现。
自定义域列表：对于与客户域列表关联的域，与阻止或发出提醒的查询相关的安全调查发现。
DNS Firewall Advanced：与由 DNS Firewall Advanced 阻止或发出提醒的查询相关的安全调查发现。

Security Hub CSPM 以安全调查结果格式 (ASFF) 提取来自 DNS 防火墙的AWS 调查结果。在 ASFF 中，Types 字段提供结果类型。来自 DNS Firewall 的调查发现可能具有 Types 的以下值。

TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation

在 Security Hub CSPM 不可用时重试

如果 Security Hub CSPM 不可用，DNS Firewall 会重试发送发现结果，直到收到结果。

更新 Security Hub CSPM 中的现有调查发现

如果再次观察到相同的调查发现，DNS Firewall 将更新现有调查发现。

来自 DNS Firewall 的典型调查发现

Security Hub CSPM 以安全调查结果格式 (ASFF) 提AWS 取 DNS 防火墙调查结果。

下面是来自 DNS Firewall 的典型调查发现（采用 ASFF 格式）示例。


{
            "SchemaVersion": "2018-10-08",
            "Id": "00000000-0000-0000-0000-example1",
            "ProductArn": "arn:aws:securityhub:us-east-1::product/amazon/route-53-resolver-dns-firewall-aws-list",
            "ProductName": "Route 53 Resolver DNS Firewall - AWS List",
            "CompanyName": "Amazon",
            "Region": "us-east-1",
            "GeneratorId": "arn:aws:route53resolver:us-east-1:000000000000:firewall-rule-group/rslvr-frg-example1",
            "AwsAccountId": "000000000000",
            "Types": [
                "TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation"
            ],
            "FirstObservedAt": "2024-12-06T19:58:49.000Z",
            "LastObservedAt": "2024-12-06T19:58:49.000Z",
            "CreatedAt": "2024-12-06T19:58:49.000Z",
            "UpdatedAt": "2024-12-06T19:58:49.000Z",
            "Severity": {
                "Label": "HIGH",
                "Normalized": 70
            },
            "Title": "DNS Firewall ALERT generated for domain example1.com. from VPC vpc-example1",
            "Description": "DNS Firewall ALERT",
            "ProductFields": {
                "aws/route53resolver/dnsfirewall/queryName": "example1.com.",
                "aws/route53resolver/dnsfirewall/firewallRuleGroupId": "rslvr-frg-example1",
                "aws/route53resolver/dnsfirewall/queryType": "A",
                "aws/route53resolver/dnsfirewall/queryClass": "IN",
                "aws/route53resolver/dnsfirewall/firewallDomainListId": "rslvr-fdl-example1",
                "aws/route53resolver/dnsfirewall/transport": "UDP",
                "aws/route53resolver/dnsfirewall/firewallRuleAction": "ALERT",
                "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/amazon/route-53-resolver-dns-firewall-aws-list/00000000-0000-0000-0000-example1",
                "aws/securityhub/ProductName": "Route 53 Resolver DNS Firewall - AWS List",
                "aws/securityhub/CompanyName": "Amazon"
            },
            "Resources": [
                {
                    "Type": "Other",
                    "Id": "rslvr-in-example1",
                    "Partition": "aws",
                    "Region": "us-east-1",
                    "Details": {
                        "Other": {
                            "ResourceType": "ResolverEndpoint",
                            "EndpointId": "rslvr-in-example1"
                        }
                    }
                },
                {
                    "Type": "Other",
                    "Id": "rni-example1",
                    "Partition": "aws",
                    "Region": "us-east-1",
                    "Details": {
                        "Other": {
                            "NetworkInterfaceId": "rni-example1",
                            "ResourceType": "ResolverNetworkInterface"
                        }
                    }
                }
            ],
            "WorkflowState": "NEW",
            "Workflow": {
                "Status": "NEW"
            },
            "RecordState": "ACTIVE",
            "FindingProviderFields": {
                "Severity": {
                    "Label": "HIGH"
                },
                "Types": [
                    "TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation"
                ]
            },
            "ProcessedAt": "2024-12-11T19:33:35.494Z"
        }

启用和配置集成

要将 DNS 防火墙与 Security Hub CSPM 集成，必须先启用 Security Hub CSPM。有关启用 Security Hub CSPM 的信息，请参阅用户指南中的启用 Security Hub CSPM。AWS Security Hub

停止向 Security Hub CSPM 传送调查结果

要停止向 Security Hub CSPM 发送 DNS 防火墙调查结果，你可以使用 Security Hub CSPM 控制台或 Security Hub CSPM API。

有关说明，请参阅 AWS Security Hub 用户指南中的禁用集成调查发现流。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

基础结构安全性

监控