Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Daftar Domain Terkelola
Daftar Domain Terkelola berisi nama domain yang terkait dengan aktivitas berbahaya atau potensi ancaman lainnya. AWS memelihara daftar ini untuk memungkinkan pelanggan Route 53 Resolver untuk memeriksa DNS kueri keluar terhadap mereka secara gratis saat menggunakan Firewall. DNS
Terus memantau kondisi terbaru terkait lanskap ancaman yang terus berubah dapat memakan waktu dan biaya yang besar. Daftar Domain Terkelola dapat menghemat waktu Anda saat menerapkan dan menggunakan DNS Firewall. AWS secara otomatis memperbarui daftar ketika kerentanan dan ancaman baru muncul. AWS sering diberitahu tentang kerentanan baru sebelum pengungkapan publik, sehingga DNS Firewall dapat menyebarkan mitigasi untuk Anda sering sebelum ancaman baru diketahui secara luas.
Daftar domain terkelola dirancang untuk membantu melindungi Anda dari ancaman web umum dan menambahkan lapisan keamanan lain untuk aplikasi Anda. Daftar Domain AWS Terkelola sumber data mereka dari kedua AWS sumber internal maupun RecordedFuture
Sebagai praktik terbaik, sebelum menggunakan Daftar Domain Terkelola dalam produksi, ujilah di lingkungan non-produksi, dengan tindakan aturan disetel keAlert. Evaluasi aturan menggunakan CloudWatch metrik Amazon yang dikombinasikan dengan permintaan sampel Route 53 Resolver DNS Firewall atau log Firewall. DNS Saat Anda puas bahwa aturan melakukan apa yang Anda inginkan, ubah setelan tindakan sesuai kebutuhan.
Daftar Domain AWS Terkelola yang Tersedia
Bagian ini menjelaskan Daftar Domain Terkelola yang saat ini tersedia. Saat berada di Wilayah tempat daftar ini didukung, Anda melihatnya di konsol saat mengelola daftar domain dan saat menentukan daftar domain untuk aturan. Dalam log, daftar domain dicatat dalam firewall_domain_list_id field.
AWS menyediakan Daftar Domain Terkelola berikut, di Wilayah yang tersedia, untuk semua pengguna Route 53 Resolver DNS Firewall.
-
AWSManagedDomainsMalwareDomainList– – Domain yang terkait dengan pengiriman malware, meng-host malware, atau mendistribusikan malware. -
AWSManagedDomainsBotnetCommandandControl– Domain yang terkait dengan pengendalian jaringan komputer yang terinfeksi malware spamming. -
AWSManagedDomainsAggregateThreatListDomain yang terkait dengan beberapa kategori DNS ancaman termasuk malware, ransomware, botnet, spyware, dan DNS tunneling untuk membantu memblokir berbagai jenis ancaman.AWSManagedDomainsAggregateThreatListmencakup semua domain dalam Daftar Domain AWS Terkelola lainnya yang tercantum di sini. -
AWSManagedDomainsAmazonGuardDutyThreatList— Domain yang terkait dengan temuan GuardDuty DNS keamanan Amazon. Domain bersumber dari sistem intelijen ancaman GuardDuty saja, dan tidak mengandung domain yang bersumber dari sumber pihak ketiga eksternal. Lebih khusus lagi, saat ini daftar ini hanya akan memblokir domain yang dibuat secara internal dan digunakan untuk deteksi berikut diGuardDuty: Impact: .Reputation. EC2/AbusedDomainRequest.Reputation, Impact:EC2/BitcoinDomainRequest.Reputation, Impact:EC2/MaliciousDomainRequest.Reputation, Impact:Runtime/AbusedDomainRequest.Reputation, Impact:Runtime/BitcoinDomainRequest.Reputation, and Impact:Runtime/MaliciousDomainRequestUntuk informasi selengkapnya, lihat Menemukan jenis di Panduan GuardDuty Pengguna Amazon.
AWS Daftar Domain Terkelola tidak dapat diunduh atau dijelajahi. Untuk melindungi kekayaan intelektual, Anda tidak dapat melihat atau mengedit spesifikasi domain individual dalam Daftar Domain AWS Terkelola. Pembatasan ini juga membantu mencegah pengguna jahat merancang ancaman yang secara khusus menghindari daftar yang dipublikasikan.
Untuk menguji daftar Domain Terkelola
Kami menyediakan kumpulan domain berikut untuk menguji Daftar Domain Terkelola:
- AWSManagedDomainsBotnetCommandandControl
-
controldomain1.botnetlist.firewall. route53resolver.us-east-1.amazonaws.com
controldomain2.botnetlist.firewall. route53resolver.us-east-1.amazonaws.com
controldomain3.botnetlist.firewall. route53resolver.us-east-1.amazonaws.com
- AWSManagedDomainsMalwareDomainList
-
controldomain1.malwarelist.firewall. route53resolver.us-east-1.amazonaws.com
controldomain2.malwarelist.firewall. route53resolver.us-east-1.amazonaws.com
controldomain3.malwarelist.firewall. route53resolver.us-east-1.amazonaws.com
- AWSManagedDomainsAggregateThreatListdan AWSManagedDomainsAmazonGuardDutyThreatList
-
controldomain1.aggregatelist.firewall. route53resolver.us-east-1.amazonaws.com
controldomain2.aggregatelist.firewall. route53resolver.us-east-1.amazonaws.com
controldomain3.aggregatelist.firewall. route53resolver.us-east-1.amazonaws.com
Domain ini akan diselesaikan ke 1.2.3.4 jika tidak diblokir. Jika Anda menggunakan Daftar Domain Terkelola di aVPC, kueri untuk domain ini akan menampilkan respons bahwa tindakan pemblokiran dalam aturan disetel (misalnyaNODATA).
Untuk informasi selengkapnya tentang Daftar Domain Terkelola, hubungi AWS Support Pusat
Tabel berikut mencantumkan ketersediaan Wilayah untuk Daftar Domain AWS Terkelola.
| Wilayah | Daftar Domain Terkelola tersedia? |
|---|---|
|
Asia Pasifik (Mumbai) |
Ya |
|
Asia Pasifik (Seoul) |
Ya |
| Asia Pacific (Singapore) |
Ya |
|
Asia Pasifik (Sydney) |
Ya |
|
Asia Pasifik (Tokyo) |
Ya |
|
Wilayah Asia Pasifik (Osaka) |
Ya |
|
Asia Pasifik (Jakarta) |
Ya |
|
Asia Pasifik (Hyderabad) |
Ya |
|
Asia Pasifik (Melbourne) |
Ya |
|
Asia Pasifik (Hong Kong) |
Ya |
|
Wilayah Kanada (Pusat) |
Ya |
|
Kanada Barat (Calgary) |
Ya |
|
Wilayah Eropa (Frankfurt) |
Ya |
|
Wilayah Eropa (Irlandia) |
Ya |
|
Wilayah Eropa (London) |
Ya |
|
Eropa (Milan) |
Ya |
|
Wilayah Eropa (Paris) |
Ya |
|
Eropa (Stockholm) |
Ya |
|
Eropa (Zürich) |
Ya |
|
Eropa (Spanyol) |
Ya |
|
Amerika Selatan (Sao Paulo) |
Ya |
|
AS Timur (Virginia Utara) |
Ya |
|
AS Timur (Ohio) |
Ya |
|
AS Barat (California Utara) |
Ya |
|
AS Barat (Oregon) |
Ya |
|
Afrika (Cape Town) |
Ya |
|
Tiongkok (Beijing) |
Ya |
|
Tiongkok (Ningxia) |
Ya |
|
AWS GovCloud (US) |
Ya |
|
Timur Tengah (Bahrain) |
Ya |
|
Timur Tengah (UAE) |
Ya |
|
Israel (Tel Aviv) |
Ya |
Pertimbangan keamanan tambahan
AWS Daftar Domain Terkelola dirancang untuk membantu melindungi Anda dari ancaman web umum. Ketika digunakan sesuai dengan dokumentasi, daftar ini menambahkan lapisan keamanan lain untuk aplikasi Anda. Namun, Daftar Domain Terkelola tidak dimaksudkan sebagai pengganti kontrol keamanan lainnya, yang ditentukan oleh AWS
sumber daya yang Anda pilih. Untuk memastikan bahwa sumber daya Anda AWS dilindungi dengan benar, lihat panduan di Model Tanggung Jawab Bersama
Mengurangi skenario positif palsu
Jika Anda menghadapi skenario positif palsu dalam aturan yang menggunakan Daftar Domain Terkelola untuk memblokir kueri, lakukan langkah-langkah berikut:
-
Dalam log Resolver, identifikasi grup aturan dan daftar domain terkelola yang menyebabkan positif palsu. Anda melakukan ini dengan menemukan log untuk kueri yang diblokir DNS Firewall, tetapi Anda ingin mengizinkannya. Catatan log mencantumkan grup aturan, tindakan aturan, dan daftar terkelola. Untuk informasi lebih lanjut tentang log, lihat Nilai-nilai yang muncul di log kueri Resolver.
-
Buat aturan baru di grup aturan yang secara eksplisit mengizinkan kueri yang diblokir. Saat Anda membuat aturan, Anda dapat menentukan daftar domain Anda sendiri hanya dengan spesifikasi domain yang ingin Anda izinkan. Ikuti panduan untuk grup aturan dan manajemen aturan di Membuat grup aturan dan aturan.
-
Prioritaskan aturan baru di dalam grup aturan sehingga berjalan sebelum aturan yang menggunakan daftar terkelola. Untuk melakukan ini, berikan aturan baru pengaturan prioritas numerik yang lebih rendah.
Saat Anda telah memperbarui grup aturan, aturan baru akan secara eksplisit mengizinkan nama domain yang ingin Anda izinkan sebelum aturan pemblokiran berjalan.
