Verwaltete Domainlisten - Amazon Route 53

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwaltete Domainlisten

Verwaltete Domainlisten enthalten Domainnamen, die mit böswilligen Aktivitäten oder anderen potenziellen Bedrohungen in Verbindung stehen. AWS verwaltet diese Listen, damit Route 53 Resolver-Kunden ausgehende DNS Anfragen kostenlos gegen sie überprüfen können, wenn sie die Firewall verwendenDNS.

Sich über die sich ständig ändernde Bedrohungslandschaft auf dem Laufenden zu halten, kann zeitaufwändig und teuer sein. Mit verwalteten Domänenlisten können Sie Zeit sparen, wenn Sie die Firewall implementieren und verwendenDNS. AWS aktualisiert die Listen automatisch, wenn neue Sicherheitslücken und Bedrohungen auftauchen. AWS wird häufig vor der Veröffentlichung über neue Sicherheitslücken informiert, sodass die DNS Firewall für Sie Gegenmaßnahmen ergreifen kann, bevor eine neue Bedrohung allgemein bekannt wird.

Verwaltete Domainlisten können vor gängigen Internet-Bedrohungen schützen und fügen eine weitere Sicherheitsebene für Ihre Anwendungen hinzu. Die AWS verwalteten Domainlisten beziehen ihre Daten sowohl aus internen AWS Quellen als RecordedFutureauch aus internen Quellen und werden ständig aktualisiert. AWS Verwaltete Domänenlisten sind jedoch nicht als Ersatz für andere Sicherheitskontrollen gedacht Amazon GuardDuty, z. B. solche, die von den ausgewählten AWS Ressourcen bestimmt werden.

Als bewährte Methode sollten Sie eine verwaltete Domainliste in einer Nicht-Produktionsumgebung testen, bevor Sie sie in der Produktion verwenden, wobei die Regelaktion auf Alert festgelegt ist. Evaluieren Sie die Regel anhand von CloudWatch Amazon-Metriken in Kombination mit von Route 53 Resolver DNS Firewall gesammelten Anfragen oder DNS Firewall-Protokollen. Wenn Sie überzeugt sind, dass die Regel das tut, was Sie wollen, ändern Sie die Aktionseinstellung nach Bedarf.

Verfügbare AWS verwaltete Domainlisten

In diesem Abschnitt werden die derzeit verfügbaren Listen der verwalteten Domains beschrieben. Wenn Sie sich in einer Region befinden, in der diese Listen unterstützt werden, werden sie in der Konsole angezeigt, wenn Sie Domainlisten verwalten und wenn Sie die Domainliste für eine Regel angeben. In den Protokollen wird die Domainliste innerhalb der firewall_domain_list_id field protokolliert.

AWS bietet die folgenden verwalteten Domänenlisten in den Regionen, in denen sie verfügbar sind, für alle Benutzer der Route 53 Resolver DNS Firewall.

  • AWSManagedDomainsMalwareDomainList – – Domains, die mit dem Senden von Malware, Hosting von Malware oder dem Verteilen von Malware in Verbindung gebracht werden.

  • AWSManagedDomainsBotnetCommandandControl – Domains, die mit der Kontrolle von Computernetzwerken verbunden sind, die mit Spam-Malware infiziert sind.

  • AWSManagedDomainsAggregateThreatList— Domänen, die mehreren DNS Bedrohungskategorien zugeordnet sind, darunter Malware, Ransomware, Botnet, Spyware und DNS Tunneling, um verschiedene Arten von Bedrohungen zu blockieren. AWSManagedDomainsAggregateThreatListumfasst alle Domänen in den anderen hier AWS aufgelisteten verwalteten Domänenlisten.

  • AWSManagedDomainsAmazonGuardDutyThreatList— Domains, die mit GuardDuty DNS Sicherheitsergebnissen von Amazon verknüpft sind. Die Domains stammen ausschließlich aus den GuardDuty Bedrohungsinformationssystemen von und enthalten keine Domains, die aus externen Quellen Dritter stammen. Insbesondere blockiert diese Liste derzeit nur Domains, die intern generiert und für folgende Erkennungen verwendet wurdenGuardDuty: Impact: EC2/AbusedDomainRequest.Reputation, Impact:EC2/BitcoinDomainRequest.Reputation, Impact:EC2/MaliciousDomainRequest.Reputation, Impact:Runtime/AbusedDomainRequest.Reputation, Impact:Runtime/BitcoinDomainRequest.Reputation, and Impact:Runtime/MaliciousDomainRequest .Reputation.

    Weitere Informationen finden Sie im GuardDuty Amazon-Benutzerhandbuch unter Typen suchen.

AWS Verwaltete Domainlisten können nicht heruntergeladen oder durchsucht werden. Um geistiges Eigentum zu schützen, können Sie die einzelnen Domainspezifikationen in AWS verwalteten Domainlisten nicht anzeigen oder bearbeiten. Diese Einschränkung trägt auch dazu bei, böswillige Benutzer daran zu hindern, Bedrohungen zu entwickeln, die speziell zur Umgehung veröffentlichter Listen dienen.

Um die Listen der verwalteten Domänen zu testen

Zum Testen der verwalteten Domainlisten stehen folgende Domains zur Verfügung:

AWSManagedDomainsBotnetCommandandControl

  • controldomain1.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain2.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain3.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com

AWSManagedDomainsMalwareDomainList

  • controldomain1.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain2.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain3.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com

AWSManagedDomainsAggregateThreatListund AWSManagedDomainsAmazonGuardDutyThreatList

  • controldomain1.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain2.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain3.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com

Diese Domains werden in 1.2.3.4 aufgelöst, wenn sie nicht blockiert werden. Wenn Sie die verwalteten Domänenlisten in einer verwendenVPC, wird bei der Abfrage dieser Domänen die Antwort zurückgegeben, auf die eine Blockaktion in der Regel festgelegt ist (z. B.NODATA).

Weitere Informationen zu verwalteten Domainlisten erhalten Sie vom AWS Support -Center.

In der folgenden Tabelle sind die verfügbaren Regionen für AWS verwaltete Domainlisten aufgeführt.

Verfügbarkeit verwalteter Domainlisten nach Region
Region Sind verwaltete Domainlisten verfügbar?

Asien-Pazifik (Mumbai)

Ja

Asien-Pazifik (Seoul)

Ja
Asien-Pazifik (Singapore)

Ja

Asien-Pazifik (Sydney)

Ja

Asien-Pazifik (Tokyo)

Ja

Region Asien-Pazifik (Osaka)

Ja

Asien-Pazifik (Jakarta)

Ja

Asien-Pazifik (Hyderabad)

 Ja

Asien-Pazifik (Melbourne)

 Ja

Asien-Pazifik (Hongkong)

 Ja

Region Kanada (Zentral)

Ja

Kanada West (Calgary)

Ja

Region Europa (Frankfurt)

Ja

Region Europa (Irland)

Ja

Region Europa (London)

Ja

Europa (Milan)

Ja

Region Europa (Paris)

Ja

Europa (Stockholm)

Ja

Europa (Zürich)

 Ja

Europa (Spain)

 Ja

Südamerika (São Paulo)

Ja

USA Ost (Nord-Virginia)

Ja

USA Ost (Ohio)

Ja

USA West (Nordkalifornien)

Ja

USA West (Oregon)

Ja

Afrika (Kapstadt)

Ja

China (Peking)

Ja

China (Ningxia)

Ja

AWS GovCloud (US)

Ja

Naher Osten (Bahrain)

 Ja

Naher Osten (UAE)

 Ja

Israel (Tel Aviv)

 Ja
Zusätzliche Sicherheitsüberlegungen

AWS Verwaltete Domainlisten sollen Sie vor gängigen Internet-Bedrohungen schützen. Bei Verwendung gemäß der Dokumentation fügen diese Listen eine weitere Sicherheitsebene für Ihre Anwendungen hinzu. Verwaltete Domainlisten sind jedoch nicht als Ersatz für andere Sicherheitskontrollen gedacht, die durch die von Ihnen ausgewählten AWS -Ressourcen bestimmt werden. Wie Sie sicherstellen können, dass Ihre Ressourcen ordnungsgemäß geschützt AWS sind, finden Sie unter Modell der gemeinsamen Verantwortung.

Beseitigung von False-Positive-Szenarien

Wenn Sie in Regeln, die verwaltete Domainlisten zum Blockieren von Abfragen verwenden, auf falsch positive Szenarien stoßen, führen Sie die folgenden Schritte aus:

  1. Identifizieren Sie in den Resolver-Protokollen die Regelgruppe und die Liste der verwalteten Domains, die den Fehlalarm verursachen. Dazu suchen Sie das Protokoll für die Abfrage, die die DNS Firewall blockiert, die Sie aber durchlassen möchten. Der Protokolldatensatz listet die Regelgruppe, die Regelaktion und die verwalteten Liste auf. Weitere Informationen über Protokolle finden Sie unter Werte in DNS-Abfrageprotokollen.

  2. Erstellen Sie eine neue Regel in der Regelgruppe, die die blockierte Abfrage explizit zulässt. Wenn Sie die Regel erstellen, können Sie Ihre eigene Domainliste nur mit der Domainspezifikation definieren, die Sie zulassen möchten. Folgen Sie den Anweisungen zur Regelgruppen- und Regelverwaltung unter Erstellen einer Regelgruppe und -regeln.

  3. Priorisieren Sie die neue Regel innerhalb der Regelgruppe, sodass sie vor der Regel ausgeführt wird, die die verwalteten Liste verwendet. Geben Sie dazu der neuen Regel eine niedrigere numerische Prioritätseinstellung.

Wenn Sie Ihre Regelgruppe aktualisiert haben, lässt die neue Regel explizit den Domainnamen zu, den Sie zulassen möchten, bevor die Blockierungsregel ausgeführt wird.