本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 将结果从 Resolver DNS 防火墙发送到 Security Hub CSPM
[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)为您提供安全状态的全面视图, AWS 并帮助您根据安全行业标准和最佳实践检查您的环境。Security Hub CSPM 从 AWS 账户 AWS 服务、和支持的第三方合作伙伴产品中收集安全数据,并帮助您分析安全趋势并识别优先级最高的安全问题。
通过将 Resolver DNS 防火墙与 Security Hub CSPM 集成,你可以将发现结果从 DNS 防火墙发送到 Security Hub CSPM。然后,Security Hub CSPM 将这些发现纳入其对您的安全态势的分析中。
**Contents**
+ [
## Security Hub CSPM 中的发现是如何运作的
](#securityhub-integration-sending-findings)
+ [
### DNS Firewall 发送的调查发现类型
](#securityhub-integration-finding-types)
+ [
### 在 Security Hub CSPM 不可用时重试
](#securityhub-integration-retry-send)
+ [
### 更新 Security Hub CSPM 中的现有调查发现
](#securityhub-integration-finding-updates)
+ [
## 来自 DNS Firewall 的典型调查发现
](#securityhub-integration-finding-example)
+ [
## 启用和配置集成
](#securityhub-integration-enable)
+ [
## 停止向 Security Hub CSPM 传送调查结果
](#securityhub-integration-disable)
## Security Hub CSPM 中的发现是如何运作的
在 Security Hub CSPM 中,调查发现是安全检查或安全相关检测的可观测记录。有些发现来自其他合作伙伴 AWS 服务 或第三方合作伙伴发现的问题。Security Hub CSPM 也有自己的安全控制措施,用于检测安全问题并生成调查结果。
Security Hub CSPM 提供了用于管理来自所有这些来源的调查发现的工具。您可以查看和筛选调查发现列表,并查看调查发现的详细信息。有关信息,请参阅《*AWS Security Hub 用户*指南》中的 “在 Sec [urity Hub CSPM 中查看查找结果详情和查找历史记录](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-viewing.html)”。您还可以自动更新调查发现或将其发送到自定义操作。有关更多信息,请参阅《*AWS Security Hub 用户*指南》中的[自动修改 Security Hub CSPM 发现结果并对其采取措施](https://docs.aws.amazon.com/securityhub/latest/userguide/automations.html)。
Security Hub CSPM 中的所有发现都使用一种称为 AWS 安全调查结果格式 (ASFF) 的标准 JSON 格式。ASFF 包含有关安全问题根源、受影响资源以及调查发现当前状态的详细信息。有关更多信息,请参阅《AWS Security Hub 用户指南》**中的 [AWS 安全调查发现格式(ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)。
DNS 防火墙是向 Securit AWS 服务 y Hub CSPM 发送发现结果的防火墙之一。
### DNS Firewall 发送的调查发现类型
DNS Firewall 具有以下集成:
+ **托管域列表**:与托 AWS 管域列表关联的域名被阻止或提醒的查询相关的安全发现。
+ **自定义域列表**:对于与客户域列表关联的域,与阻止或发出提醒的查询相关的安全调查发现。
+ **DNS Firewall Advanced**:与由 DNS Firewall Advanced 阻止或发出提醒的查询相关的安全调查发现。
Security Hub CSPM 以安全调查结果[格式 (ASFF) 提取来自 DNS 防火墙的AWS 调查](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)结果。在 ASFF 中,`Types` 字段提供调查发现类型。来自 DNS Firewall 的调查发现可能具有 `Types` 的以下值。
+ `TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation`
### 在 Security Hub CSPM 不可用时重试
如果 Security Hub CSPM 不可用,DNS Firewall 会重试发送发现结果,直到收到结果。
### 更新 Security Hub CSPM 中的现有调查发现
如果再次观察到相同的调查发现,DNS Firewall 将更新现有调查发现。
## 来自 DNS Firewall 的典型调查发现
Security Hub CSPM 以安全调查结果[格式 (](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)ASFF) 提AWS 取 DNS 防火墙调查结果。
下面是来自 DNS Firewall 的典型调查发现(采用 ASFF 格式)示例。
```
{
"SchemaVersion": "2018-10-08",
"Id": "00000000-0000-0000-0000-example1",
"ProductArn": "arn:aws:securityhub:us-east-1::product/amazon/route-53-resolver-dns-firewall-aws-list",
"ProductName": "Route 53 Resolver DNS Firewall - AWS List",
"CompanyName": "Amazon",
"Region": "us-east-1",
"GeneratorId": "arn:aws:route53resolver:us-east-1:000000000000:firewall-rule-group/rslvr-frg-example1",
"AwsAccountId": "000000000000",
"Types": [
"TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation"
],
"FirstObservedAt": "2024-12-06T19:58:49.000Z",
"LastObservedAt": "2024-12-06T19:58:49.000Z",
"CreatedAt": "2024-12-06T19:58:49.000Z",
"UpdatedAt": "2024-12-06T19:58:49.000Z",
"Severity": {
"Label": "HIGH",
"Normalized": 70
},
"Title": "DNS Firewall ALERT generated for domain example1.com. from VPC vpc-example1",
"Description": "DNS Firewall ALERT",
"ProductFields": {
"aws/route53resolver/dnsfirewall/queryName": "example1.com.",
"aws/route53resolver/dnsfirewall/firewallRuleGroupId": "rslvr-frg-example1",
"aws/route53resolver/dnsfirewall/queryType": "A",
"aws/route53resolver/dnsfirewall/queryClass": "IN",
"aws/route53resolver/dnsfirewall/firewallDomainListId": "rslvr-fdl-example1",
"aws/route53resolver/dnsfirewall/transport": "UDP",
"aws/route53resolver/dnsfirewall/firewallRuleAction": "ALERT",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/amazon/route-53-resolver-dns-firewall-aws-list/00000000-0000-0000-0000-example1",
"aws/securityhub/ProductName": "Route 53 Resolver DNS Firewall - AWS List",
"aws/securityhub/CompanyName": "Amazon"
},
"Resources": [
{
"Type": "Other",
"Id": "rslvr-in-example1",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"Other": {
"ResourceType": "ResolverEndpoint",
"EndpointId": "rslvr-in-example1"
}
}
},
{
"Type": "Other",
"Id": "rni-example1",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"Other": {
"NetworkInterfaceId": "rni-example1",
"ResourceType": "ResolverNetworkInterface"
}
}
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "HIGH"
},
"Types": [
"TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation"
]
},
"ProcessedAt": "2024-12-11T19:33:35.494Z"
}
```
## 启用和配置集成
要将 DNS 防火墙与 Security Hub CSPM 集成,必须先启用 Security Hub CSPM。*有关启用 Security Hub CSPM 的信息,请参阅用户指南中的[启用 Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)。AWS Security Hub *
## 停止向 Security Hub CSPM 传送调查结果
要停止向 Security Hub CSPM 发送 DNS 防火墙调查结果,你可以使用 Security Hub CSPM 控制台或 Security Hub CSPM API。
有关说明,请参阅 *AWS Security Hub 用户指南*中的[禁用集成调查发现流](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-providers.html#securityhub-integration-disable)。