Envío de resultados desde Resolver DNS Firewall a Security Hub (CSPM) - Amazon Route 53
Cómo funcionan los hallazgos en Security Hub (CSPM)Resultado típico de DNS FirewallHabilitación y configuración de la integraciónDetener la entrega de los hallazgos a Security Hub (CSPM)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Envío de resultados desde Resolver DNS Firewall a Security Hub (CSPM)

AWS Security Hub CSPMle proporciona una visión completa del estado de su seguridad AWS y le ayuda a comparar su entorno con los estándares y las mejores prácticas del sector de la seguridad. Security Hub CSPM recopila datos de seguridad de todos Cuentas de AWS los productos de socios externos compatibles y los ayuda a analizar las tendencias de seguridad e identificar los problemas de seguridad más prioritarios. Servicios de AWS

Al integrar Resolver DNS Firewall con el Security Hub CSPM, puede enviar los resultados del DNS Firewall al Security Hub CSPM. Luego, Security Hub CSPM incluye esos hallazgos en su análisis de su postura de seguridad.

Cómo funcionan los hallazgos en Security Hub (CSPM)

En el CSPM de Security Hub, un resultado es un registro observable de una comprobación de seguridad o de una detección relacionada con la seguridad. Algunos hallazgos provienen de problemas detectados por otros socios Servicios de AWS o por terceros. Security Hub CSPM también tiene sus propios controles de seguridad que utiliza para detectar problemas de seguridad y generar hallazgos.

El CSPM de Security Hub proporciona herramientas para administrar resultados procedentes de todos estos orígenes. Puede ver y filtrar listas de resultados y ver los detalles de un resultado. Para obtener más información, consulte Revisar los detalles de búsqueda y el historial de búsquedas en Security Hub CSPM en la Guía del AWS Security Hub usuario. También puede actualizar los resultados automáticamente o enviarlos a una acción personalizada. Para obtener más información, consulte Modificación automática de los hallazgos del CSPM de Security Hub y adopción de medidas al respecto en la Guía del AWS Security Hub usuario.

Todos los resultados del CSPM de Security Hub utilizan un formato JSON estándar denominado AWS Security Finding Format (ASFF). El ASFF incluye detalles sobre el origen del problema de seguridad, los recursos afectados y el estado actual del resultado. Para obtener más información, consulte AWS Security Finding Format (ASFF) en la Guía del usuario de AWS Security Hub .

El DNS Firewall es uno de los Servicios de AWS que envía los resultados al Security Hub CSPM.

Tipos de resultados que envía DNS Firewall

DNS Firewall tiene las siguientes integraciones:

  • Listas de dominios gestionadas: datos de seguridad relacionados con consultas bloqueadas o sobre las que se ha alertado sobre los dominios asociados a las listas de dominios AWS gestionadas.

  • Listas de dominios personalizadas: resultados de seguridad relacionados con consultas bloqueadas o con alertas para dominios asociados a la lista de dominios del cliente.

  • DNS Firewall Advanced: resultados de seguridad relacionados con consultas bloqueadas o con alertas emitidas por DNS Firewall Advanced.

Security Hub CSPM ingiere los resultados del firewall de DNS en el formato de búsqueda de AWS seguridad (ASFF). En ASFF, el campo Types proporciona el tipo de resultado. Los resultados de DNS Firewall pueden tener los siguientes valores para Types.

  • TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation

Reintentarlo cuando el CSPM de Security Hub no está disponible

Si el CSPM de Security Hub no está disponible, DNS Firewall vuelve a intentar enviar los resultados hasta que los reciba.

Actualización de resultados existentes en el CSPM de Security Hub

DNS Firewall actualizará los resultados existentes si se vuelve a observar el mismo resultado.

Resultado típico de DNS Firewall

Security Hub CSPM ingiere los hallazgos del firewall de DNS en el formato de búsqueda de AWS seguridad (ASFF).

Este es un ejemplo de un resultado típico de DNS Firewall en ASFF.

{
            "SchemaVersion": "2018-10-08",
            "Id": "00000000-0000-0000-0000-example1",
            "ProductArn": "arn:aws:securityhub:us-east-1::product/amazon/route-53-resolver-dns-firewall-aws-list",
            "ProductName": "Route 53 Resolver DNS Firewall - AWS List",
            "CompanyName": "Amazon",
            "Region": "us-east-1",
            "GeneratorId": "arn:aws:route53resolver:us-east-1:000000000000:firewall-rule-group/rslvr-frg-example1",
            "AwsAccountId": "000000000000",
            "Types": [
                "TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation"
            ],
            "FirstObservedAt": "2024-12-06T19:58:49.000Z",
            "LastObservedAt": "2024-12-06T19:58:49.000Z",
            "CreatedAt": "2024-12-06T19:58:49.000Z",
            "UpdatedAt": "2024-12-06T19:58:49.000Z",
            "Severity": {
                "Label": "HIGH",
                "Normalized": 70
            },
            "Title": "DNS Firewall ALERT generated for domain example1.com. from VPC vpc-example1",
            "Description": "DNS Firewall ALERT",
            "ProductFields": {
                "aws/route53resolver/dnsfirewall/queryName": "example1.com.",
                "aws/route53resolver/dnsfirewall/firewallRuleGroupId": "rslvr-frg-example1",
                "aws/route53resolver/dnsfirewall/queryType": "A",
                "aws/route53resolver/dnsfirewall/queryClass": "IN",
                "aws/route53resolver/dnsfirewall/firewallDomainListId": "rslvr-fdl-example1",
                "aws/route53resolver/dnsfirewall/transport": "UDP",
                "aws/route53resolver/dnsfirewall/firewallRuleAction": "ALERT",
                "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/amazon/route-53-resolver-dns-firewall-aws-list/00000000-0000-0000-0000-example1",
                "aws/securityhub/ProductName": "Route 53 Resolver DNS Firewall - AWS List",
                "aws/securityhub/CompanyName": "Amazon"
            },
            "Resources": [
                {
                    "Type": "Other",
                    "Id": "rslvr-in-example1",
                    "Partition": "aws",
                    "Region": "us-east-1",
                    "Details": {
                        "Other": {
                            "ResourceType": "ResolverEndpoint",
                            "EndpointId": "rslvr-in-example1"
                        }
                    }
                },
                {
                    "Type": "Other",
                    "Id": "rni-example1",
                    "Partition": "aws",
                    "Region": "us-east-1",
                    "Details": {
                        "Other": {
                            "NetworkInterfaceId": "rni-example1",
                            "ResourceType": "ResolverNetworkInterface"
                        }
                    }
                }
            ],
            "WorkflowState": "NEW",
            "Workflow": {
                "Status": "NEW"
            },
            "RecordState": "ACTIVE",
            "FindingProviderFields": {
                "Severity": {
                    "Label": "HIGH"
                },
                "Types": [
                    "TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation"
                ]
            },
            "ProcessedAt": "2024-12-11T19:33:35.494Z"
        }

Habilitación y configuración de la integración

Para integrar el Firewall de DNS con el Security Hub CSPM, primero debe habilitar el Security Hub CSPM. Para obtener información sobre cómo habilitar el CSPM de Security Hub, consulte Habilitar el CSPM de Security Hub en la Guía del usuario.AWS Security Hub

Detener la entrega de los hallazgos a Security Hub (CSPM)

Para dejar de enviar las conclusiones del firewall DNS al Security Hub CSPM, puede usar la consola CSPM de Security Hub o la API CSPM de Security Hub.

Para obtener instrucciones, consulte Disabling the flow of findings from an integration en la Guía del usuario de AWS Security Hub .