EC2 インスタンスが疑わしいドメインをリクエスト
Incident Management が一般に使用できるようになりました。 Incident Management が広範に使用できるようになりました。
<  Back to rules search

EC2 インスタンスが疑わしいドメインをリクエスト

route53

Classification:

attack

Set up the route53 integration.

概要

目標

リクエストされたドメインに疑わしい TLD があるかを検知します。

戦略

Route 53 ログを調査して、DNS 質問 (@dns.question.name) の TLD が Spamhaus の最も悪用されたトップレベルドメインリストにある上位 5 つの TLD のいずれかに一致しているかどうかを特定します。

トリアージと対応

  1. どのインスタンスが DNS リクエストに関連付けられているかを判別します。
  2. リクエストされたドメイン名 (dns.question.name) を許可するかどうかを決定します。許可しない場合は、調査を実施して、ドメインをリクエストしたものを特定し、AWS メタデータ認証情報が攻撃者によってアクセスされたかどうかを判断します。