マネージドドメインリスト - Amazon Route 53

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

マネージドドメインリスト

マネージドドメインリストには、悪意のあるアクティビティやその他の潜在的な脅威に関連するドメイン名が含まれています。 は、Route 53 Resolver のお客様が DNS Firewall を使用する際にアウトバウンド DNS クエリを無料でチェックできるように、これらのリスト AWS を維持します。

絶えず変化する脅威の状況に遅れずについていくには、時間とコストがかかることがあります。マネージドドメインリストを使用すると、DNS Firewall を実装して使用する時間を節約できます。 は、新しい脆弱性や脅威が発生したときにリスト AWS を自動的に更新します。 AWS は、一般に公開される前に新しい脆弱性の通知を受け取ることが多いため、DNS Firewall は、新しい脅威が広く知られる前に緩和策を頻繁にデプロイできます。

マネージドドメインリストは、一般的なウェブの脅威からユーザーを保護するためのサポートを提供するように設計されており、アプリケーションに別のセキュリティレイヤーを追加します。 AWS Managed Domain Lists は、内部 AWS ソースと の両方からデータを取得しRecordedFuture、継続的に更新されます。ただし、 AWS マネージドドメインリストは、選択した AWS リソースによって Amazon GuardDuty決定される など、他のセキュリティコントロールの代替となるものではありません。

ベストプラクティスとして、本番稼働環境でマネージドドメインリストを使用する前に、ルールアクションを Alert に設定して、非本稼働環境でテストを行います。Amazon CloudWatch メトリクスと Route 53 Resolver DNS Firewall のサンプルリクエストまたは DNS Firewall ログを組み合わせてルールを評価します。ルールが希望通りであることを確認したら、必要に応じてアクション設定を変更します。

利用可能な AWS マネージドドメインリスト

このセクションでは、現在利用可能な マネージドドメインリストについて説明します。これらのリストがサポートされているリージョンにいる場合、ドメインリストの管理やルールのドメインリストの指定を行う際、コンソールに表示されます。ログでは、ドメインリストは firewall_domain_list_id field にログインします。

AWS は、Route 53 Resolver DNS Firewall のすべてのユーザーに対して、利用可能なリージョンで次のマネージドドメインリストを提供します。

  • AWSManagedDomainsMalwareDomainList — — マルウェアの送信、ホスティング、配布に関連するドメイン。

  • AWSManagedDomainsBotnetCommandandControl — スパムマルウェアに感染したコンピュータのネットワーク制御に関連するドメイン。

  • AWSManagedDomainsAggregateThreatList – マルウェア、ランサムウェア、ボットネット、スパイウェア、DNS トンネリングなど、複数の DNS 脅威カテゴリに関連付けられているドメイン。 AWSManagedDomainsAggregateThreatListには、ここにリストされている他の AWS マネージドドメインリストのすべてのドメインが含まれます。

  • AWSManagedDomainsAmazonGuardDutyThreatList – Amazon GuardDuty DNS セキュリティ検出結果に関連付けられたドメイン。ドメインは の GuardDuty脅威インテリジェンスシステムのみから取得され、外部のサードパーティーソースから取得されたドメインは含まれません。検出結果のドメインが関連しているソースの詳細については、 GuardDuty API リファレンスThreatIntelligence「詳細」を参照してください。検出結果ThreatIntelligenceDetailに「Amazon」を含む を持つドメインのみが AWS 、マネージドドメインリストに含まれます。

    サードパーティーパートナーからの脅威インテリジェンスの詳細については、「Amazon GuardDuty パートナー」を参照してください。

AWS マネージドドメインリストをダウンロードまたは参照することはできません。知的財産を保護するために、 AWS マネージドドメインリスト内の個々のドメイン仕様を表示または編集することはできません。この制限はまた、悪意のあるユーザーが具体的に公開されているリストを避けて脅威を作り出すことを防ぐのにも役立ちます。

マネージドドメインリストをテストするには

マネージドドメインリストのテスト用に、以下のドメインセットが用意されています。

AWSManagedDomainsBotnetCommandandControl
  • controldomain1.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain2.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain3.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com

AWSManagedDomainsMalwareDomainList
  • controldomain1.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain2.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain3.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com

AWSManagedDomainsAggregateThreatList および AWSManagedDomainsAmazonGuardDutyThreatList
  • controldomain1.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain2.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain3.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com

これらのドメインは、ブロックされなければ 1.2.3.4 に解決されます。マネージドドメインリストを VPC で使用すると、これらのドメインをクエリしたとき、(例えば NODATA で) ルール内のブロックアクションが設定されているレスポンスが返されます。

マネージドドメインリストの詳細については、AWS Support センターにお問い合わせください。

次の表に、 AWS マネージドドメインリストのリージョンの可用性を示します。

利用可能なマネージドドメインリストのリージョン
リージョン マネージドドメインリストを利用できますか?

アジアパシフィック (ムンバイ)

はい

アジアパシフィック (ソウル)

あり

アジアパシフィック (シンガポール)

あり

アジアパシフィック (シドニー)

あり

アジアパシフィック (東京)

はい

アジアパシフィック(大阪)リージョン

はい

アジアパシフィック (ジャカルタ)

はい

アジアパシフィック (ハイデラバード)

はい

アジアパシフィック (メルボルン)

はい

アジアパシフィック (香港)

はい

Canada (Central) Region

はい

カナダ西部 (カルガリー)

はい

Europe (Frankfurt) Region

はい

欧州 (アイルランド) リージョン

はい

Europe (London) Region

はい

欧州 (ミラノ)

はい

欧州 (パリ) リージョン

はい

欧州 (ストックホルム)

はい

欧州 (チューリッヒ)

はい

欧州 (スペイン)

はい

南米 (サンパウロ)

はい

米国東部(バージニア北部)

あり

米国東部 (オハイオ)

あり

米国西部 (北カリフォルニア)

あり

米国西部 (オレゴン)

はい

アフリカ (ケープタウン)

はい

中国 (北京)

はい

中国 (寧夏)

はい

AWS GovCloud (US)

はい

中東 (バーレーン)

はい

中東 (アラブ首長国連邦)

はい

イスラエル (テルアビブ)

はい
セキュリティに関するその他の考慮事項

AWS マネージドドメインリストは、一般的なウェブ脅威からユーザーを保護するように設計されています。ドキュメントに従って使用した場合、これらのリストはアプリケーションに別のセキュリティレイヤーを追加します。ただし、マネージドドメインリストは、選択した AWS リソースに伴うセキュリティコントロールに代わるものではありません。のリソースが適切に保護 AWS されていることを確認するには、「 責任共有モデル」のガイダンスを参照してください。

誤検出シナリオの軽減

マネージドドメインリストを使用してクエリをブロックするルールで誤検出のシナリオが発生した場合は、次の手順を実行します。

  1. Resolver ログで、誤検出の原因となっているルールグループとマネージドドメインリストを特定します。これを行うには、DNS Firewall がブロックしているが、通過を許可するクエリのログを見つけます。ログレコードには、ルールグループ、ルールアクション、マネージドリストが一覧表示されます。ログの詳細については、「Resolver クエリログに表示される値」を参照してください。

  2. ブロックしたクエリを明示的に許可するルールグループに新しいルールを作成します。ルールを作成するときに、許可するドメイン仕様のみを使用して、独自のドメインリストを定義できます。ルールグループおよびルールの作成 のルールグループおよびルールの管理に関するガイダンスに従ってください。

  3. ルールグループ内で新しいルールの優先度を設定して、そのルールをマネージドリストを使用しているルールの前に実行できるようにします。これを行うには、新しいルールの優先順位の数値を小さく設定します。

ルールグループを更新すると、ブロックルールが実行される前に、許可するドメイン名が新しいルールによって明示的に示されます。