As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Listas de domínios gerenciados quando
As listas de domínios gerenciados contêm nomes de domínio associados a atividades maliciosas ou outras ameaças em potencial. AWSA mantém essas listas para permitir que os clientes do Route 53 Resolver verifiquem consultas de DNS de saída em relação a eles gratuitamente ao usar o Firewall DNS de DNS de saída em relação a eles gratuitamente ao usar o Firewall DNS de saída
Manter se atualizado sobre o panorama de ameaças em constante alteração pode ser demorado e caro. As listas de domínios gerenciados podem economizar seu tempo ao implementar e usar o Firewall DNS. AWSatualiza automaticamente as listas quando surgem novas vulnerabilidades e ameaças. AWSfrequentemente é notificada sobre novas vulnerabilidades antes da divulgação pública, assim sendo, frequentemente o DNS Firewall pode implantar mitigações para você mesmo, muitas vezes antes que uma nova ameaça seja amplamente conhecida.
As listas de domínios gerenciados foram projetadas para ajudar a proteger você contra ameaças comuns da Web e adicionam mais uma camada de segurança para as suas aplicações. As listas de domíniosAWS gerenciados podem obter dados deAWS fontes internas e também RecordedFuture
Como prática recomendada, antes de usar uma lista de domínios gerenciada na produção, teste-a em um ambiente que não seja de produção, com a ação da regra definida como Alert. Avalie a regra usando CloudWatch mémémémémémétricas da Amazon combinadas com solicitações de amostra do Firewall DNS do Route 53 Resolver ou logs do Firewall DNS DNS do Route 53 Resolver Quando você estiver satisfeito de que a regra faz o que você deseja, altere a configuração de ação, conforme necessário.
Listas de domínios gerenciados pela AWS disponíveis
Esta seção descreve as Listas de domínios gerenciados pela que estão disponíveis atualmente. Quando estiver em uma região compatível com essas listas de domínios, você as verá no console quando gerenciar listas de domínios e quando especificar a lista de domínios para uma regra. Nos logs, a lista de domínios é registrada dentro dofirewall_domain_list_id field.
A AWS fornece as seguintes listas de domínios gerenciados, nas regiões em que estão disponíveis, para todos os usuários do Firewall DNS do Route 53 Resolver.
-
AWSManagedDomainsMalwareDomainList: domínios associados ao envio de malware, hospedagem de malware ou distribuição de malware. -
AWSManagedDomainsBotnetCommandandControl: domínios associados ao controle de redes de computadores infectados com malware de spam. -
AWSManagedAggregateThreatList: domínios associados a várias categorias de ameaças de DNS, incluindo malware, ransomware, botnet, spyware e tunelamento de DNS, para ajudar a bloquear vários tipos de ameaças.
AWSAs listas de domínios gerenciados não podem ser baixadas ou navegadas por elas. Para proteger a propriedade intelectual, não é possível visualizar ou editar as especificações de domínio individuais em uma lista de domínios gerenciados da AWS. Essa restrição também ajuda a impedir que usuários mal-intencionados projetem ameaças que ignorem especificamente regras publicadas.
Para testar as listas de domínios gerenciados
Fornecemos o seguinte conjunto de domínios para testar as listas de domínios gerenciados:
- AWSManagedDomainsBotnetCommandandControl
-
1.amazonaws.com da .amazonaws.com.
domínio 1.amazonaws.com da .amazonaws.com da.
domínio 1.amazonaws.com da .amazonaws.com da.
- AWSManagedDomainsMalwareDomainList
-
1.amazonaws.com, 1.amazonaws.com.
1.amazonaws.com. A 1.amazonaws.com da.
1.amazonaws.com. A 1.amazonaws.com da.
- AWSManagedDomainsAggregateThreatList
-
1.amazonaws.com da .amazonaws.com.
domínio 1.amazonaws.com da .amazonaws.com.
domínio 1.amazonaws.com da .amazonaws.com da.
Esses domínios serão resolvidos para 1.2.3.4 se não estiverem bloqueados. Se você estiver usando as listas de domínios gerenciados em uma VPC, a consulta desses domínios retornará a resposta para a qual uma ação de bloqueio na regra está definida (por exemplo, NODATA).
Para obter mais informações sobre listas de domínios gerenciados, entre em contato com a AWS Support Center
A tabela a seguir lista a disponibilidade por região para as listas de domínios gerenciados da AWS.
Disponibilidade da região da lista de domínios gerenciados | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Região | Listas de domínios gerenciados disponíveis? | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Ásia-Pacífico (Mumbai) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Ásia-Pacífico (Seul) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Ásia-Pacífico (Singapura) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Ásia-Pacífico (Sydney) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Ásia-Pacífico (Tóquio) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Região Ásia-Pacífico (Osaka) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Região do Canadá (Central) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Região Europa (Frankfurt) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Região Europa (Irlanda) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Região Europa (Londres) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Europa (Milão) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Região Europa (Paris) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Europa (Estocolmo) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
América do Sul (São Paulo) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Leste dos EUA (N. da Virgínia) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Leste dos EUA (Ohio) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Oeste dos EUA (N. da Califórnia) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Oeste dos EUA (Oregon) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Ásia-Pacífico (Jacarta) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
África (Cidade do Cabo) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
China (Pequim) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
China (Ningxia) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
AWS GovCloud (US) |
Sim |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Ásia-Pacífico (Hong Kong) |
Sim | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Oriente Médio (Bahrein) |
Sim | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Considerações adicionais sobre segurança
Listas de domínios gerenciadas pela AWS são projetadas para protegê-lo contra ameaças comuns da Web. Quando usadas de acordo com a documentação, essas listas adicionam outra camada de segurança para as aplicações. Porém, as listas de domínios gerenciados não se destinam a substituir outros controles de segurança, que são determinadas pelos recursos da AWS que você seleciona. Para garantir que seus recursos na AWS sejam protegidos adequadamente, consulte as orientações em Modelo de responsabilidade compartilhada
Como atenuar cenários falsos positivos
Se você estiver encontrando cenários falsos positivos em regras que usam Listas de domínios gerenciados pela para bloquear consultas, execute as seguintes etapas:
-
Nos logs do Resolver, identifique o grupo de regras e a lista de domínios gerenciados que estão causando o falso positivo. Faça isso localizando o log para a consulta que o Firewall DNS está bloqueando, mas que você deseja permitir. O registro do log lista o grupo de regras, a ação da regra e a lista de domínios gerenciados. Para obter mais informações sobre logs, consulte (Valores que aparecem em logs de consultas do Resolver).
-
Crie uma nova regra no grupo de regras que permita explicitamente a consulta bloqueada. Ao criar a regra, você pode definir sua própria lista de domínios apenas com a especificação de domínio que deseja permitir. Siga as orientações para o gerenciamento de regras e grupo de regras em Criar um grupo de regras e regras.
-
Priorize a nova regra dentro do grupo de regras para que ela seja executada antes da regra que está usando a lista gerenciada. Para fazer isso, dê à nova regra uma configuração de prioridade numérica mais baixa.
Quando tiver atualizado o grupo de regras, a nova regra permitirá explicitamente o nome de domínio que pretende permitir antes da execução da regra de bloqueio.
