As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Listas de domínios gerenciados
As listas de domínios gerenciados contêm nomes de domínio associados a atividades maliciosas ou outras ameaças em potencial. AWS mantém essas listas para permitir que os clientes do Route 53 Resolver verifiquem DNS as consultas externas gratuitamente ao usar o DNS Firewall.
Manter se atualizado sobre o panorama de ameaças em constante alteração pode ser demorado e caro. As listas de domínios gerenciados podem economizar seu tempo ao implementar e usar o DNS Firewall. AWS atualiza automaticamente as listas quando surgem novas vulnerabilidades e ameaças. AWS geralmente é notificado sobre novas vulnerabilidades antes da divulgação pública, portanto, o DNS Firewall pode implantar mitigações para você com frequência antes que uma nova ameaça se torne amplamente conhecida.
As listas de domínios gerenciados destinam-se a ajudar a proteger você contra ameaças comuns da Web e elas adicionam mais uma camada de segurança para as suas aplicações. As listas de domínios AWS gerenciados obtêm seus dados tanto de AWS fontes internas quanto de fontes internas e são atualizadas continuamente. RecordedFuture
Como prática recomendada, antes de usar uma lista de domínios gerenciada na produção, teste-a em um ambiente que não seja de produção, com a ação da regra definida como Alert. Avalie a regra usando CloudWatch métricas da Amazon combinadas com amostras de solicitações ou registros do DNS Firewall do Resolver do Route 53 Resolver DNS Firewall. Quando você estiver satisfeito de que a regra faz o que você deseja, altere a configuração de ação, conforme necessário.
Listas de domínios AWS gerenciados disponíveis
Esta seção descreve as Listas de domínios gerenciados pela que estão disponíveis atualmente. Quando estiver em uma região compatível com essas listas de domínios, você as verá no console quando gerenciar listas de domínios e quando especificar a lista de domínios para uma regra. Nos logs, a lista de domínios é registrada dentro dofirewall_domain_list_id field.
AWS fornece as seguintes listas de domínios gerenciados, nas regiões em que estão disponíveis, para todos os usuários do Route 53 Resolver DNS Firewall.
-
AWSManagedDomainsMalwareDomainList: domínios associados ao envio de malware, hospedagem de malware ou distribuição de malware. -
AWSManagedDomainsBotnetCommandandControl: domínios associados ao controle de redes de computadores infectados com malware de spam. -
AWSManagedDomainsAggregateThreatList— Domínios associados a várias categorias de DNS ameaças, incluindo malware, ransomware, botnet, spyware e DNS tunelamento para ajudar a bloquear vários tipos de ameaças.AWSManagedDomainsAggregateThreatListinclui todos os domínios nas outras listas de domínios AWS gerenciados listadas aqui. -
AWSManagedDomainsAmazonGuardDutyThreatList— Domínios associados às descobertas de GuardDuty DNS segurança da Amazon. Os domínios são provenientes apenas dos sistemas de inteligência GuardDuty de ameaças da empresa e não contêm domínios provenientes de fontes externas de terceiros. Mais especificamente, atualmente essa lista bloqueará somente domínios que são gerados internamente e usados para as seguintes detecções emGuardDuty: Impact:/.Reputation, Impact:EC2/AbusedDomainRequest.Reputation, Impact:Runtime/ .Reputation, EC2 Impact:Runtime/ BitcoinDomainRequest .Reputation, EC2 Impact:Runtime/ MaliciousDomainRequest .Reputation e AbusedDomainRequest Impact:Runtime/ .Reputation. BitcoinDomainRequest MaliciousDomainRequestPara obter mais informações, consulte Como encontrar tipos no Guia GuardDuty do usuário da Amazon.
AWS As listas de domínios gerenciados não podem ser baixadas nem pesquisadas. Para proteger a propriedade intelectual, você não pode visualizar nem editar as especificações de domínio individuais em uma lista de domínios AWS gerenciados. Essa restrição também ajuda a impedir que usuários mal-intencionados criem ameaças que contornem especificamente as regras publicadas.
Para testar as listas de domínios gerenciados
Fornecemos o seguinte conjunto de domínios para testar as listas de domínios gerenciados:
- AWSManagedDomainsBotnetCommandandControl
-
controldomain1.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
controldomain2.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
controldomain3.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com
- AWSManagedDomainsMalwareDomainList
-
controldomain1.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
controldomain2.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
controldomain3.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com
- AWSManagedDomainsAggregateThreatListe AWSManagedDomainsAmazonGuardDutyThreatList
-
controldomain1.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
controldomain2.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
controldomain3.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com
Esses domínios serão resolvidos para 1.2.3.4 se eles não estiverem bloqueados. Se você estiver usando as Listas de Domínios Gerenciados em umVPC, a consulta desses domínios retornará a resposta para a qual uma ação de bloqueio na regra está definida (por exemploNODATA).
Para obter mais informações sobre listas de domínios gerenciados, entre em contato com a AWS Support Center
A tabela a seguir lista a disponibilidade da região para listas de domínios AWS gerenciados.
Disponibilidade da região da lista de domínios gerenciado | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Região | Listas de domínios gerenciados disponíveis? | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Ásia-Pacífico (Mumbai) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Ásia-Pacífico (Seul) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Ásia-Pacífico (Singapura) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Ásia-Pacífico (Sydney) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Ásia-Pacífico (Tóquio) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Região Ásia-Pacífico (Osaka) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Ásia-Pacífico (Jacarta) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Ásia-Pacífico (Hyderabad) |
Sim | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Ásia-Pacífico (Melbourne) |
Sim | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Ásia-Pacífico (Hong Kong) |
Sim | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Região Canadá (Central) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Oeste do Canadá (Calgary) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Região Europa (Frankfurt) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Região Europa (Irlanda) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Região Europa (Londres) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Europa (Milão) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Região Europa (Paris) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Europa (Estocolmo) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Europa (Zurique) |
Sim | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Europa (Espanha) |
Sim | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
América do Sul (São Paulo) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Leste dos EUA (Norte da Virgínia) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Leste dos EUA (Ohio) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Oeste dos EUA (N. da Califórnia) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Oeste dos EUA (Oregon) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
África (Cidade do Cabo) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
China (Pequim) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
China (Ningxia) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
AWS GovCloud (US) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Oriente Médio (Barém) |
Sim | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Oriente Médio (UAE) |
Sim | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Israel (Tel Aviv) |
Sim | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Considerações adicionais sobre segurança
AWS As listas de domínios gerenciados foram projetadas para ajudar a protegê-lo contra ameaças comuns na Web. Quando usadas de acordo com a documentação, essas listas adicionam outra camada de segurança para as aplicações. Porém, as listas de domínios gerenciados não se destinam a substituir outros controles de segurança, que são determinadas pelos recursos da AWS
que você seleciona. Para garantir que seus recursos AWS estejam protegidos adequadamente, consulte a orientação no Modelo de Responsabilidade Compartilhada
Como atenuar cenários falsos positivos
Se você estiver encontrando cenários falsos positivos em regras que usam Listas de domínios gerenciados pela para bloquear consultas, execute as seguintes etapas:
-
Nos logs do Resolver, identifique o grupo de regras e a lista de domínios gerenciados que estão causando o falso positivo. Para fazer isso, encontre o registro da consulta que o DNS Firewall está bloqueando, mas que você deseja permitir. O registro do log lista o grupo de regras, a ação da regra e a lista de domínios gerenciados. Para obter mais informações sobre logs, consulte (Valores que aparecem em logs de consultas do Resolver).
-
Crie uma nova regra no grupo de regras que permita explicitamente a consulta bloqueada. Ao criar a regra, você pode definir sua própria lista de domínios apenas com a especificação de domínio que deseja permitir. Siga as orientações para o gerenciamento de regras e grupo de regras em Criar um grupo de regras e regras.
-
Priorize a nova regra dentro do grupo de regras para que ela seja executada antes da regra que está usando a lista gerenciada. Para fazer isso, dê à nova regra uma configuração de prioridade numérica mais baixa.
Quando tiver atualizado o grupo de regras, a nova regra permitirá explicitamente o nome de domínio que pretende permitir antes da execução da regra de bloqueio.
