Listas de domínios gerenciados - Amazon Route 53

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Listas de domínios gerenciados

As listas de domínios gerenciados contêm nomes de domínio associados a atividades maliciosas ou outras ameaças em potencial. AWS mantém essas listas para permitir que os clientes do Route 53 Resolver verifiquem DNS as consultas externas com eles gratuitamente ao usar o DNS Firewall.

Manter se atualizado sobre o panorama de ameaças em constante alteração pode ser demorado e caro. As listas de domínios gerenciados podem economizar seu tempo ao implementar e usar o DNS Firewall. AWS atualiza automaticamente as listas quando surgem novas vulnerabilidades e ameaças. AWS geralmente é notificado sobre novas vulnerabilidades antes da divulgação pública, portanto, o DNS Firewall pode implantar mitigações para você com frequência antes que uma nova ameaça se torne amplamente conhecida.

As listas de domínios gerenciados destinam-se a ajudar a proteger você contra ameaças comuns da Web e elas adicionam mais uma camada de segurança para as suas aplicações. As listas de domínios AWS gerenciados obtêm seus dados tanto de AWS fontes internas quanto de fontes internas e são atualizadas continuamente. RecordedFuture No entanto, as listas de domínios AWS gerenciados não substituem outros controles de segurança Amazon GuardDuty, como os determinados pelos AWS recursos que você seleciona.

Como prática recomendada, antes de usar uma lista de domínios gerenciada na produção, teste-a em um ambiente que não seja de produção, com a ação da regra definida como Alert. Avalie a regra usando CloudWatch métricas da Amazon combinadas com amostras de solicitações ou registros do DNS Firewall do Resolver do Route 53 Resolver DNS Firewall. Quando você estiver satisfeito de que a regra faz o que você deseja, altere a configuração de ação, conforme necessário.

Listas de domínios AWS gerenciados disponíveis

Esta seção descreve as Listas de domínios gerenciados pela que estão disponíveis atualmente. Quando estiver em uma região compatível com essas listas de domínios, você as verá no console quando gerenciar listas de domínios e quando especificar a lista de domínios para uma regra. Nos logs, a lista de domínios é registrada dentro dofirewall_domain_list_id field.

AWS fornece as seguintes listas de domínios gerenciados, nas regiões em que estão disponíveis, para todos os usuários do Route 53 Resolver DNS Firewall.

  • AWSManagedDomainsMalwareDomainList: domínios associados ao envio de malware, hospedagem de malware ou distribuição de malware.

  • AWSManagedDomainsBotnetCommandandControl: domínios associados ao controle de redes de computadores infectados com malware de spam.

  • AWSManagedDomainsAggregateThreatList— Domínios associados a várias categorias de DNS ameaças, incluindo malware, ransomware, botnet, spyware e DNS tunelamento para ajudar a bloquear vários tipos de ameaças. AWSManagedDomainsAggregateThreatListinclui todos os domínios nas outras listas de domínios AWS gerenciados listadas aqui.

  • AWSManagedDomainsAmazonGuardDutyThreatList— Domínios associados às descobertas de GuardDuty DNS segurança da Amazon. Os domínios são provenientes apenas dos sistemas de inteligência GuardDuty de ameaças da empresa e não contêm domínios provenientes de fontes externas de terceiros. Mais especificamente, atualmente essa lista bloqueará apenas domínios que são gerados internamente e usados para as seguintes detecções emGuardDuty: Impact: .Reputation. EC2/AbusedDomainRequest.Reputation, Impact:EC2/BitcoinDomainRequest.Reputation, Impact:EC2/MaliciousDomainRequest.Reputation, Impact:Runtime/AbusedDomainRequest.Reputation, Impact:Runtime/BitcoinDomainRequest.Reputation, and Impact:Runtime/MaliciousDomainRequest

    Para obter mais informações, consulte Como encontrar tipos no Guia GuardDuty do usuário da Amazon.

AWS As listas de domínios gerenciados não podem ser baixadas nem pesquisadas. Para proteger a propriedade intelectual, você não pode visualizar nem editar as especificações de domínio individuais em uma lista de domínios AWS gerenciados. Essa restrição também ajuda a impedir que usuários mal-intencionados criem ameaças que contornem especificamente as regras publicadas.

Para testar as listas de domínios gerenciados

Fornecemos o seguinte conjunto de domínios para testar as listas de domínios gerenciados:

AWSManagedDomainsBotnetCommandandControl

  • controldomain1.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain2.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain3.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com

AWSManagedDomainsMalwareDomainList

  • controldomain1.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain2.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain3.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com

AWSManagedDomainsAggregateThreatListe AWSManagedDomainsAmazonGuardDutyThreatList

  • controldomain1.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain2.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain3.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com

Esses domínios serão resolvidos para 1.2.3.4 se eles não estiverem bloqueados. Se você estiver usando as Listas de Domínios Gerenciados em umVPC, a consulta desses domínios retornará a resposta para a qual uma ação de bloqueio na regra está definida (por exemploNODATA).

Para obter mais informações sobre listas de domínios gerenciados, entre em contato com a AWS Support Center.

A tabela a seguir lista a disponibilidade da região para listas de domínios AWS gerenciados.

Disponibilidade da região da lista de domínios gerenciado
Região Listas de domínios gerenciados disponíveis?

Ásia-Pacífico (Mumbai)

Sim

Ásia-Pacífico (Seul)

Sim
Ásia-Pacífico (Singapura)

Sim

Ásia-Pacífico (Sydney)

Sim

Ásia-Pacífico (Tóquio)

Sim

Região Ásia-Pacífico (Osaka)

Sim

Ásia-Pacífico (Jacarta)

Sim

Ásia-Pacífico (Hyderabad)

 Sim

Ásia-Pacífico (Melbourne)

 Sim

Ásia-Pacífico (Hong Kong)

 Sim

Região Canadá (Central)

Sim

Oeste do Canadá (Calgary)

Sim

Região Europa (Frankfurt)

Sim

Região Europa (Irlanda)

Sim

Região Europa (Londres)

Sim

Europa (Milão)

Sim

Região Europa (Paris)

Sim

Europa (Estocolmo)

Sim

Europa (Zurique)

 Sim

Europa (Espanha)

 Sim

América do Sul (São Paulo)

Sim

Leste dos EUA (Norte da Virgínia)

Sim

Leste dos EUA (Ohio)

Sim

Oeste dos EUA (N. da Califórnia)

Sim

Oeste dos EUA (Oregon)

Sim

África (Cidade do Cabo)

Sim

China (Pequim)

Sim

China (Ningxia)

Sim

AWS GovCloud (US)

Sim

Oriente Médio (Barém)

 Sim

Oriente Médio (UAE)

 Sim

Israel (Tel Aviv)

 Sim
Considerações adicionais sobre segurança

AWS As listas de domínios gerenciados foram projetadas para ajudar a protegê-lo contra ameaças comuns na Web. Quando usadas de acordo com a documentação, essas listas adicionam outra camada de segurança para as aplicações. Porém, as listas de domínios gerenciados não se destinam a substituir outros controles de segurança, que são determinadas pelos recursos da AWS que você seleciona. Para garantir que seus recursos AWS estejam protegidos adequadamente, consulte a orientação no Modelo de Responsabilidade Compartilhada.

Como atenuar cenários falsos positivos

Se você estiver encontrando cenários falsos positivos em regras que usam Listas de domínios gerenciados pela para bloquear consultas, execute as seguintes etapas:

  1. Nos logs do Resolver, identifique o grupo de regras e a lista de domínios gerenciados que estão causando o falso positivo. Para fazer isso, encontre o registro da consulta que o DNS Firewall está bloqueando, mas que você deseja permitir. O registro do log lista o grupo de regras, a ação da regra e a lista de domínios gerenciados. Para obter mais informações sobre logs, consulte (Valores que aparecem em logs de consultas do Resolver).

  2. Crie uma nova regra no grupo de regras que permita explicitamente a consulta bloqueada. Ao criar a regra, você pode definir sua própria lista de domínios apenas com a especificação de domínio que deseja permitir. Siga as orientações para o gerenciamento de regras e grupo de regras em Criar um grupo de regras e regras.

  3. Priorize a nova regra dentro do grupo de regras para que ela seja executada antes da regra que está usando a lista gerenciada. Para fazer isso, dê à nova regra uma configuração de prioridade numérica mais baixa.

Quando tiver atualizado o grupo de regras, a nova regra permitirá explicitamente o nome de domínio que pretende permitir antes da execução da regra de bloqueio.