Invio dei risultati da Resolver DNS Firewall al Security Hub CSPM - Amazon Route 53
Come funzionano i risultati in Security Hub CSPMRisultato tipico di DNS FirewallAbilitazione e configurazione dell'integrazioneInterruzione dell'invio dei risultati al Security Hub CSPM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Invio dei risultati da Resolver DNS Firewall al Security Hub CSPM

AWS Security Hub CSPMti offre una visione completa dello stato di sicurezza AWS e ti aiuta a controllare il tuo ambiente rispetto agli standard e alle migliori pratiche del settore della sicurezza. Security Hub CSPM raccoglie dati sulla sicurezza da tutti Account AWS i prodotti partner di terze parti e supporta e ti aiuta ad analizzare le tendenze della sicurezza e identificare i problemi di sicurezza con la massima priorità. Servizi AWS

Integrando Resolver DNS Firewall con Security Hub CSPM, puoi inviare i risultati da DNS Firewall al Security Hub CSPM. Security Hub CSPM include quindi tali risultati nella sua analisi del livello di sicurezza.

Come funzionano i risultati in Security Hub CSPM

In Security Hub CSPM, un risultato è una registrazione osservabile di un controllo di sicurezza o di un rilevamento relativo alla sicurezza. Alcuni risultati derivano da problemi rilevati da altri partner o da terze parti. Servizi AWS Security Hub CSPM dispone anche dei propri controlli di sicurezza che utilizza per rilevare problemi di sicurezza e generare risultati.

Security Hub CSPM fornisce strumenti per gestire i risultati provenienti da tutte queste fonti. È possibile visualizzare e filtrare gli elenchi dei risultati e visualizzare i dettagli di un risultato. Per informazioni, consulta Esame dei dettagli dei risultati e della cronologia delle ricerche in Security Hub CSPM nella Guida per l'AWS Security Hub utente. Puoi anche aggiornare automaticamente i risultati o inviarli a un'azione personalizzata. Per ulteriori informazioni, consulta Modificare automaticamente e intervenire sui risultati CSPM di Security Hub nella Guida per l'AWS Security Hub utente.

Tutti i risultati in Security Hub CSPM utilizzano un formato JSON standard chiamato AWS Security Finding Format (ASFF). L'ASFF include dettagli sull'origine del problema di sicurezza, sulle risorse interessate e sullo stato attuale del risultato. Per ulteriori informazioni, consulta AWS Security Finding Format (ASFF) nella Guida per l'utente di AWS Security Hub .

DNS Firewall è uno di quelli Servizi AWS che invia i risultati al Security Hub CSPM.

Tipi di risultati inviati da DNS Firewall

DNS Firewall include le seguenti integrazioni:

  • Elenchi di domini gestiti: risultati di sicurezza relativi alle query bloccate o segnalate per i domini associati agli elenchi di domini gestiti. AWS

  • Elenchi di domini personalizzati: risultati di sicurezza relativi alle query bloccate o segnalate per i domini associati all'elenco di domini del cliente.

  • DNS Firewall Advanced: risultati di sicurezza relativi alle query bloccate o segnalate da DNS Firewall Advanced.

Security Hub CSPM inserisce i risultati del firewall DNS nel AWS Security Finding Format (ASFF). In ASFF, il Types campo fornisce il tipo di esito. I risultati di DNS Firewall possono avere i seguenti valori per. Types

  • TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation

Riprovare quando Security Hub CSPM non è disponibile

Se Security Hub CSPM non è disponibile, DNS Firewall riprova a inviare i risultati finché non vengono ricevuti.

Aggiornamento dei risultati esistenti in Security Hub CSPM

DNS Firewall aggiornerà i risultati esistenti se lo stesso risultato viene nuovamente osservato.

Risultato tipico di DNS Firewall

Security Hub CSPM inserisce i risultati del firewall DNS nel AWS Security Finding Format (ASFF).

Ecco un esempio di un risultato tipico di DNS Firewall in ASFF.

{
            "SchemaVersion": "2018-10-08",
            "Id": "00000000-0000-0000-0000-example1",
            "ProductArn": "arn:aws:securityhub:us-east-1::product/amazon/route-53-resolver-dns-firewall-aws-list",
            "ProductName": "Route 53 Resolver DNS Firewall - AWS List",
            "CompanyName": "Amazon",
            "Region": "us-east-1",
            "GeneratorId": "arn:aws:route53resolver:us-east-1:000000000000:firewall-rule-group/rslvr-frg-example1",
            "AwsAccountId": "000000000000",
            "Types": [
                "TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation"
            ],
            "FirstObservedAt": "2024-12-06T19:58:49.000Z",
            "LastObservedAt": "2024-12-06T19:58:49.000Z",
            "CreatedAt": "2024-12-06T19:58:49.000Z",
            "UpdatedAt": "2024-12-06T19:58:49.000Z",
            "Severity": {
                "Label": "HIGH",
                "Normalized": 70
            },
            "Title": "DNS Firewall ALERT generated for domain example1.com. from VPC vpc-example1",
            "Description": "DNS Firewall ALERT",
            "ProductFields": {
                "aws/route53resolver/dnsfirewall/queryName": "example1.com.",
                "aws/route53resolver/dnsfirewall/firewallRuleGroupId": "rslvr-frg-example1",
                "aws/route53resolver/dnsfirewall/queryType": "A",
                "aws/route53resolver/dnsfirewall/queryClass": "IN",
                "aws/route53resolver/dnsfirewall/firewallDomainListId": "rslvr-fdl-example1",
                "aws/route53resolver/dnsfirewall/transport": "UDP",
                "aws/route53resolver/dnsfirewall/firewallRuleAction": "ALERT",
                "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/amazon/route-53-resolver-dns-firewall-aws-list/00000000-0000-0000-0000-example1",
                "aws/securityhub/ProductName": "Route 53 Resolver DNS Firewall - AWS List",
                "aws/securityhub/CompanyName": "Amazon"
            },
            "Resources": [
                {
                    "Type": "Other",
                    "Id": "rslvr-in-example1",
                    "Partition": "aws",
                    "Region": "us-east-1",
                    "Details": {
                        "Other": {
                            "ResourceType": "ResolverEndpoint",
                            "EndpointId": "rslvr-in-example1"
                        }
                    }
                },
                {
                    "Type": "Other",
                    "Id": "rni-example1",
                    "Partition": "aws",
                    "Region": "us-east-1",
                    "Details": {
                        "Other": {
                            "NetworkInterfaceId": "rni-example1",
                            "ResourceType": "ResolverNetworkInterface"
                        }
                    }
                }
            ],
            "WorkflowState": "NEW",
            "Workflow": {
                "Status": "NEW"
            },
            "RecordState": "ACTIVE",
            "FindingProviderFields": {
                "Severity": {
                    "Label": "HIGH"
                },
                "Types": [
                    "TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation"
                ]
            },
            "ProcessedAt": "2024-12-11T19:33:35.494Z"
        }

Abilitazione e configurazione dell'integrazione

Per integrare DNS Firewall con Security Hub CSPM, devi prima abilitare Security Hub CSPM. Per informazioni sull'attivazione di Security Hub CSPM, vedere Enabling Security Hub CSPM nella Guida per l'utente.AWS Security Hub

Interruzione dell'invio dei risultati al Security Hub CSPM

Per interrompere l'invio dei risultati del firewall DNS a Security Hub CSPM, puoi utilizzare la console CSPM di Security Hub o l'API CSPM di Security Hub.

Per istruzioni, consulta Disabilitazione del flusso di risultati da un'integrazione nella Guida per l'utente.AWS Security Hub