Resolver DNS Firewall から Security Hub CSPM に検出結果を送信する - Amazon Route 53
Security Hub CSPM での検出結果の仕組みDNS Firewall からの一般的な検出結果統合の有効化と構成Security Hub CSPM への検出結果の配信の停止

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Resolver DNS Firewall から Security Hub CSPM に検出結果を送信する

AWS Security Hub CSPM は、 のセキュリティ状態を包括的に把握 AWS し、セキュリティ業界標準とベストプラクティスに照らして環境をチェックするのに役立ちます。Security Hub CSPM は AWS アカウント AWS のサービス、 全体、およびサポートされているサードパーティーパートナー製品からセキュリティデータを収集し、セキュリティの傾向を分析し、最も優先度の高いセキュリティ問題を特定するのに役立ちます。

Resolver DNS Firewall を Security Hub CSPM と統合することで、DNS Firewall から Security Hub CSPM に検出結果を送信できます。Security Hub CSPM は、セキュリティ体制の分析にこれらの検出結果を含めます。

Security Hub CSPM での検出結果の仕組み

Security Hub CSPM では、検出結果は、セキュリティチェックまたはセキュリティ関連の検出の監視可能なレコードです。一部の検出結果は、他の AWS のサービス またはサードパーティーパートナーによって検出された問題から発生します。Security Hub CSPM には、セキュリティの問題を検出して検出結果を生成するために使用される独自のセキュリティコントロールもあります。

Security Hub CSPM には、これらすべてのソースからの検出結果を管理するためのツールが用意されています。検出結果の一覧を表示およびフィルタリングして、検出結果の詳細を表示できます。詳細については、AWS Security Hub 「 ユーザーガイド」の「Security Hub CSPM での検出結果の詳細と検出結果履歴の確認」を参照してください。検出結果を自動的に更新したり、カスタムアクションに送信したりすることもできます。詳細については、「 AWS Security Hub ユーザーガイド」の「Security Hub CSPM の検出結果を自動的に変更してアクションを実行する」を参照してください。

Security Hub CSPM のすべての検出結果は、 AWS Security Finding Format (ASFF) と呼ばれる標準 JSON 形式を使用します。ASFF には、セキュリティ問題のソース、影響を受けるリソース、および検出結果の現在のステータスに関する詳細が含まれます。詳細については、AWS Security Hub ユーザーガイドAWS Security Finding 形式 (ASFF) を参照してください。

DNS Firewall は、Security Hub CSPM に結果 AWS のサービス を送信する の 1 つです。

DNS Firewall が送信する検出結果のタイプ

DNS Firewall には次の統合があります。

  • マネージドドメインリスト: AWS マネージドドメインリストに関連付けられたドメインに対してブロックまたはアラートが発生したクエリに関連するセキュリティ検出結果。

  • カスタムドメインリスト: 顧客のドメインリストに関連付けられたドメインに対してブロックまたはアラートが発生したクエリに関連するセキュリティ検出結果。

  • DNS Firewall Advanced: DNS Firewall Advanced によってブロックまたはアラートされたクエリに関連するセキュリティ検出結果。

Security Hub CSPM は、AWS Security Finding 形式 (ASFF) の DNS Firewall から検出結果を取り込みます。ASFF では、Types フィールドが検出結果タイプを提供します。DNS Firewall からの検出結果には、Types に対する次の値を指定できます。

  • TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation

Security Hub CSPM が使用できない場合の再試行

Security Hub CSPM が使用できない場合、DNS Firewall は結果を受信するまで結果の送信を再試行します。

Security Hub CSPM の既存の検出結果を更新する

同じ検出結果が再度観察された場合、DNS Firewall は既存の検出結果を更新します。

DNS Firewall からの一般的な検出結果

Security Hub CSPM は、AWS Security Finding 形式 (ASFF) で DNS Firewall の検出結果を取り込みます。

以下に、ASFF の DNS Firewall からの一般的な検出結果の例を示します。

{
            "SchemaVersion": "2018-10-08",
            "Id": "00000000-0000-0000-0000-example1",
            "ProductArn": "arn:aws:securityhub:us-east-1::product/amazon/route-53-resolver-dns-firewall-aws-list",
            "ProductName": "Route 53 Resolver DNS Firewall - AWS List",
            "CompanyName": "Amazon",
            "Region": "us-east-1",
            "GeneratorId": "arn:aws:route53resolver:us-east-1:000000000000:firewall-rule-group/rslvr-frg-example1",
            "AwsAccountId": "000000000000",
            "Types": [
                "TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation"
            ],
            "FirstObservedAt": "2024-12-06T19:58:49.000Z",
            "LastObservedAt": "2024-12-06T19:58:49.000Z",
            "CreatedAt": "2024-12-06T19:58:49.000Z",
            "UpdatedAt": "2024-12-06T19:58:49.000Z",
            "Severity": {
                "Label": "HIGH",
                "Normalized": 70
            },
            "Title": "DNS Firewall ALERT generated for domain example1.com. from VPC vpc-example1",
            "Description": "DNS Firewall ALERT",
            "ProductFields": {
                "aws/route53resolver/dnsfirewall/queryName": "example1.com.",
                "aws/route53resolver/dnsfirewall/firewallRuleGroupId": "rslvr-frg-example1",
                "aws/route53resolver/dnsfirewall/queryType": "A",
                "aws/route53resolver/dnsfirewall/queryClass": "IN",
                "aws/route53resolver/dnsfirewall/firewallDomainListId": "rslvr-fdl-example1",
                "aws/route53resolver/dnsfirewall/transport": "UDP",
                "aws/route53resolver/dnsfirewall/firewallRuleAction": "ALERT",
                "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/amazon/route-53-resolver-dns-firewall-aws-list/00000000-0000-0000-0000-example1",
                "aws/securityhub/ProductName": "Route 53 Resolver DNS Firewall - AWS List",
                "aws/securityhub/CompanyName": "Amazon"
            },
            "Resources": [
                {
                    "Type": "Other",
                    "Id": "rslvr-in-example1",
                    "Partition": "aws",
                    "Region": "us-east-1",
                    "Details": {
                        "Other": {
                            "ResourceType": "ResolverEndpoint",
                            "EndpointId": "rslvr-in-example1"
                        }
                    }
                },
                {
                    "Type": "Other",
                    "Id": "rni-example1",
                    "Partition": "aws",
                    "Region": "us-east-1",
                    "Details": {
                        "Other": {
                            "NetworkInterfaceId": "rni-example1",
                            "ResourceType": "ResolverNetworkInterface"
                        }
                    }
                }
            ],
            "WorkflowState": "NEW",
            "Workflow": {
                "Status": "NEW"
            },
            "RecordState": "ACTIVE",
            "FindingProviderFields": {
                "Severity": {
                    "Label": "HIGH"
                },
                "Types": [
                    "TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation"
                ]
            },
            "ProcessedAt": "2024-12-11T19:33:35.494Z"
        }

統合の有効化と構成

DNS Firewall を Security Hub CSPM と統合するには、まず Security Hub CSPM を有効にする必要があります。Security Hub CSPM の有効化については、AWS Security Hub 「 ユーザーガイド」の「Security Hub CSPM の有効化」を参照してください。

Security Hub CSPM への検出結果の配信の停止

Security Hub CSPM への DNS Firewall の検出結果の送信を停止するには、Security Hub CSPM コンソールまたは Security Hub CSPM API を使用できます。

その方法については、「AWS Security Hub ユーザーガイド」の「統合先からの検出結果のフローの無効化」を参照してください。