Resolver DNS 방화벽에서 Security Hub CSPM으로 결과 전송

AWS Security Hub CSPM는의 보안 상태에 대한 포괄적인 보기를 AWS 제공하고 보안 업계 표준 및 모범 사례를 기준으로 환경을 확인하는 데 도움이 됩니다. Security Hub CSPM은 여러 AWS 계정 AWS 서비스및 지원되는 타사 파트너 제품에서 보안 데이터를 수집하며, 보안 추세를 분석하고 우선순위가 가장 높은 보안 문제를 식별하는 데 도움이 됩니다.

Resolver DNS 방화벽을 Security Hub CSPM과 통합하여 DNS 방화벽의 조사 결과를 Security Hub CSPM으로 전송할 수 있습니다. 그런 다음 Security Hub CSPM은 이러한 결과를 보안 태세 분석에 포함합니다.

목차

• Security Hub CSPM에서 조사 결과가 작동하는 방식

  • DNS Firewall이 전송하는 조사 결과의 유형

  • Security Hub CSPM을 사용할 수 없는 경우 재시도

  • Security Hub CSPM에서 기존 조사 결과 업데이트

• DNS Firewall의 일반적인 조사 결과

• 통합 활성화 및 구성

• Security Hub CSPM으로 조사 결과 전송 중지

Security Hub CSPM에서 조사 결과가 작동하는 방식

Security Hub에서, 조사 결과는 보안 검사 또는 보안 관련 탐지의 관찰 가능한 레코드입니다. 일부 결과는 다른 AWS 서비스 또는 타사 파트너가 감지한 문제에서 비롯됩니다. Security Hub CSPM에는 보안 문제를 감지하고 결과를 생성하는 데 사용하는 자체 보안 제어 기능도 있습니다.

Security Hub CSPM은 이러한 모든 출처를 총망라하여 조사 결과를 관리할 도구를 제공합니다. 사용자는 조사 결과 목록을 조회하고 필터링할 수 있으며 주어진 조사 결과의 세부 정보를 조회할 수도 있습니다. 자세한 내용은 AWS Security Hub 사용 설명서의 Security Hub CSPM에서 결과 세부 정보 및 결과 기록 검토를 참조하세요. 조사 결과를 자동으로 업데이트하거나 사용자 지정 작업으로 보낼 수도 있습니다. 자세한 내용은 AWS Security Hub 사용 설명서의 Security Hub CSPM 조사 결과 자동 수정 및 조치를 참조하세요.

Security Hub CSPM의 모든 결과는 AWS Security Finding Format(ASFF)이라는 표준 JSON 형식을 사용합니다. ASFF에는 보안 문제의 출처, 영향을 받은 리소스와 결과의 현재 상태 등에 관한 세부 정보가 포함됩니다. 자세한 내용은 AWS Security Hub 사용 설명서의 AWS 보안 조사 결과 형식(ASFF)을 참조하세요.

DNS 방화벽은 Security Hub CSPM AWS 서비스 으로 조사 결과를 전송하는 중 하나입니다.

DNS Firewall이 전송하는 조사 결과의 유형

DNS Firewall에는 다음이 통합되어 있습니다.

• 관리형 도메인 목록: AWS 관리형 도메인 목록과 연결된 도메인에 대해에서 차단되거나 경고되는 쿼리와 관련된 보안 조사 결과입니다.

• 사용자 지정 도메인 목록: 고객의 도메인 목록과 연결된 도메인에 대한 쿼리가 차단되거나 알림이 표시된 경우, 이와 관련된 보안 조사 결과.

• DNS Firewall Advanced: DNS Firewall Advanced에의해 쿼리가 차단되거나 알림이 표시된 경우, 이와 관련된 보안 조사 결과.

Security Hub CSPM은 DNS 방화벽의 결과를 AWS Security Finding Format(ASFF)으로 수집합니다. ASFF의 경우, Types 필드가 결과 유형을 제공합니다. DNS Firewall의 조사 결과는 Types의 값이 다음과 같을 수 있습니다.

• TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation

Security Hub CSPM을 사용할 수 없는 경우 재시도

Security Hub CSPM을 사용할 수 없는 경우 DNS 방화벽은 결과를 수신할 때까지 결과 전송을 재시도합니다.

Security Hub CSPM에서 기존 조사 결과 업데이트

DNS Firewall은 동일한 조사 결과가 다시 관찰되면 기존 조사 결과를 업데이트합니다.

DNS Firewall의 일반적인 조사 결과

Security Hub CSPM은 AWS 보안 조사 결과 형식(ASFF)으로 DNS 방화벽 조사 결과를 수집합니다.

다음은 ASFF 형식의 일반적인 DNS Firewall 조사 결과에 대한 예시입니다.

{
            "SchemaVersion": "2018-10-08",
            "Id": "00000000-0000-0000-0000-example1",
            "ProductArn": "arn:aws:securityhub:us-east-1::product/amazon/route-53-resolver-dns-firewall-aws-list",
            "ProductName": "Route 53 Resolver DNS Firewall - AWS List",
            "CompanyName": "Amazon",
            "Region": "us-east-1",
            "GeneratorId": "arn:aws:route53resolver:us-east-1:000000000000:firewall-rule-group/rslvr-frg-example1",
            "AwsAccountId": "000000000000",
            "Types": [
                "TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation"
            ],
            "FirstObservedAt": "2024-12-06T19:58:49.000Z",
            "LastObservedAt": "2024-12-06T19:58:49.000Z",
            "CreatedAt": "2024-12-06T19:58:49.000Z",
            "UpdatedAt": "2024-12-06T19:58:49.000Z",
            "Severity": {
                "Label": "HIGH",
                "Normalized": 70
            },
            "Title": "DNS Firewall ALERT generated for domain example1.com. from VPC vpc-example1",
            "Description": "DNS Firewall ALERT",
            "ProductFields": {
                "aws/route53resolver/dnsfirewall/queryName": "example1.com.",
                "aws/route53resolver/dnsfirewall/firewallRuleGroupId": "rslvr-frg-example1",
                "aws/route53resolver/dnsfirewall/queryType": "A",
                "aws/route53resolver/dnsfirewall/queryClass": "IN",
                "aws/route53resolver/dnsfirewall/firewallDomainListId": "rslvr-fdl-example1",
                "aws/route53resolver/dnsfirewall/transport": "UDP",
                "aws/route53resolver/dnsfirewall/firewallRuleAction": "ALERT",
                "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/amazon/route-53-resolver-dns-firewall-aws-list/00000000-0000-0000-0000-example1",
                "aws/securityhub/ProductName": "Route 53 Resolver DNS Firewall - AWS List",
                "aws/securityhub/CompanyName": "Amazon"
            },
            "Resources": [
                {
                    "Type": "Other",
                    "Id": "rslvr-in-example1",
                    "Partition": "aws",
                    "Region": "us-east-1",
                    "Details": {
                        "Other": {
                            "ResourceType": "ResolverEndpoint",
                            "EndpointId": "rslvr-in-example1"
                        }
                    }
                },
                {
                    "Type": "Other",
                    "Id": "rni-example1",
                    "Partition": "aws",
                    "Region": "us-east-1",
                    "Details": {
                        "Other": {
                            "NetworkInterfaceId": "rni-example1",
                            "ResourceType": "ResolverNetworkInterface"
                        }
                    }
                }
            ],
            "WorkflowState": "NEW",
            "Workflow": {
                "Status": "NEW"
            },
            "RecordState": "ACTIVE",
            "FindingProviderFields": {
                "Severity": {
                    "Label": "HIGH"
                },
                "Types": [
                    "TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation"
                ]
            },
            "ProcessedAt": "2024-12-11T19:33:35.494Z"
        }

통합 활성화 및 구성

DNS 방화벽을 Security Hub CSPM과 통합하려면 먼저 Security Hub CSPM을 활성화해야 합니다. Security Hub CSPM 활성화에 대한 자세한 내용은 AWS Security Hub 사용 설명서의 Security Hub CSPM 활성화를 참조하세요.

Security Hub CSPM으로 조사 결과 전송 중지

Security Hub CSPM으로 DNS 방화벽 조사 결과 전송을 중지하려면 Security Hub CSPM 콘솔 또는 Security Hub CSPM API를 사용할 수 있습니다.

자세한 지침은 AWS Security Hub 사용 설명서의 통합에서 조사 결과의 흐름 비활성화를 참조하세요.