Verschaffen Sie sich mit Route 53 Global Resolver einen Überblick über die DNS-Aktivitäten - Amazon Route 53
Welche Informationen werden in DNS-Protokollen erfasstOCSF-Format für die Sicherheitsintegration

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschaffen Sie sich mit Route 53 Global Resolver einen Überblick über die DNS-Aktivitäten

Route 53 Global Resolver bietet umfassende Funktionen zur Protokollierung von DNS-Abfragen, um die Aktivität von Client-Geräten zu überwachen und Sicherheitsbedrohungen zu identifizieren. Aktivieren Sie die DNS-Abfrageprotokollierung in Route 53 Global Resolver, um zu sehen, auf welche Websites Client-Geräte zugreifen, um potenzielle Sicherheitsbedrohungen zu identifizieren und DNS-Auflösungsmuster zu analysieren. In den Protokollen werden umfassende Informationen zu jeder Abfrage erfasst, einschließlich der angewendeten Sicherheitsrichtlinien.

Welche Informationen werden in DNS-Protokollen erfasst

Jeder DNS-Abfrageprotokolleintrag enthält detaillierte Informationen zur Aktivität auf Client-Geräten und zur Durchsetzung von Sicherheitsrichtlinien:

  • Abfrageinformationen — Domänenname, Abfragetyp, Abfrageklasse und verwendetes Protokoll

  • Informationen zum Client-Gerät — Quell-IP-Adresse, DNS-Ansicht und Authentifizierungsmethode

  • Antwortinformationen — Antwortcode, Antwortdatensätze und Antwortzeit

  • Sicherheitsaktionen — Übereinstimmungen mit Firewallregeln, Ergebnisse der Bedrohungserkennung und ergriffene Maßnahmen

  • Metadaten — Zeitstempel, globale Resolver-ID, Region und Ablaufverfolgungsinformationen

OCSF-Format für die Sicherheitsintegration

DNS-Abfrageprotokolle verwenden das Open Cybersecurity Schema Framework (OCSF), das ein standardisiertes Format für Daten zu Sicherheitsereignissen bietet. Dieses Format ermöglicht:

  • Standardisierte Analyse — Konsistentes Schema für verschiedene Sicherheitstools

  • Verbesserte Interoperabilität — Einfache Integration mit SIEM- und Analyseplattformen

  • Verbesserte Korrelation — Fähigkeit, DNS-Ereignisse mit anderen Sicherheitsdaten zu korrelieren

  • Zukünftige Kompatibilität — Support für sich ändernde Sicherheitsanalyseanforderungen

Beispiele für das OCSF-Protokollformat

Route 53 Global Resolver DNS-Abfrageprotokolle folgen der OCSF-Schemastruktur und bieten detaillierte Informationen zu jeder DNS-Abfrage, Antwort und Sicherheitsaktion. Die folgenden Beispiele zeigen das Protokollformat für zulässige und abgelehnte Abfragen.

Route 53 Global Resolver DNS-Protokoll — Beispiel für erlaubten Zugriff

Dieses Beispiel zeigt eine DNS-Abfrage, die durch Firewallregeln zugelassen wurde. Das Protokoll enthält Abfragedetails, Antwortinformationen und Anreicherungsdaten mit Route 53 Global Resolver-spezifischen Identifikatoren.

{  
    "action_id": 1,  
    "action_name": "Allowed",  
    "activity_id": 6,  
    "activity_name": "Traffic",  
    "category_name": "Network Activity",  
    "category_uid": 4,  
    "class_name": "DNS Activity",  
    "class_uid": 4003,  
    "cloud": {  
        "provider": "AWS",  
        "region": "us-east-1",  
        "account": {  
            "uid": "123456789012"  
        }  
    },  
    "connection_info": {  
        "direction": "Inbound",  
        "direction_id": 1,  
        "protocol_name": "udp",  
        "protocol_num": 17,  
        "protocol_ver": "",  
        "uid": "db21d1739ddb423a"  
    },  
    "duration": 1,  
    "end_time": 1761358379996,  
    "answers": [{  
        "rdata": "3.3.3.3",  
        "type": "A",  
        "class": "IN",  
        "ttl": 300  
    },   
    {  
        "rdata": "3.3.3.4",  
        "type": "A",  
        "class": "IN",  
        "ttl": 300  
    }],  
    "src_endpoint": {  
        "ip": "3.3.3.1",  
        "port": 56576  
    },  
    "enrichments": [{  
        "name": "global-resolver",  
        "value": "gr-a1b2c3d4fexample",  
        "data": {  
            "dns_view_id": "dnsv-a1b2c3d4fexample",  
            "firewall_rule_id": "fr-a1b2c3d4fexample",  
            "token_id": "t-a1b2c3d4fexample",  
            "token_name": "device-123456",  
            "token_expiration": "1789419206",  
        }  
    }],  
    "message": "",  
    "metadata": {  
        "version": "1.2.0",  
        "product": {  
            "name": "Global Resolver",  
            "vendor_name": "AWS",  
            "feature": {  
                "name": "DNS"  
            }  
        }  
    },  
    "query": {  
        "hostname": "example.com.",  
        "class": "IN",  
        "type": "A",  
        "opcode": "Query",  
        "opcode_id": 0  
    },  
    "query_time": 1761358379995,  
    "rcode": "NOERROR",  
    "rcode_id": 0,  
    "response_time": 1761358379995,  
    "severity": "Informational",  
    "severity_id": 1,  
    "src_endpoint": {  
        "ip": "3.3.3.3",  
        "port": 28276  
    },  
    "start_time": 1761358379995,  
    "status": "Success",  
    "status_id": 1,  
    "time": 1761358379995,  
    "type_name": "DNS Activity: Traffic",  
    "type_uid": 400306  
}

Route 53 Global Resolver DNS-Protokoll — Beispiel für Zugriff verweigert

Dieses Beispiel zeigt eine DNS-Abfrage, die durch Firewallregeln blockiert wurde. Das Protokoll enthält die Ablehnungsaktion, ein leeres Antwortfeld und den REFUSED-Antwortcode, der angibt, dass die Abfrage nicht verarbeitet wurde.

{  
    "action_id": 2,  
    "action_name": "Denied",  
    "activity_id": 6,  
    "activity_name": "Traffic",  
    "category_name": "Network Activity",  
    "category_uid": 4,  
    "class_name": "DNS Activity",  
    "class_uid": 4003,  
    "cloud": {  
        "provider": "AWS",  
        "region": "us-west-2",  
        "account": {  
            "uid": "123456789012"  
        }  
    },  
    "connection_info": {  
        "direction": "Inbound",  
        "direction_id": 1,  
        "protocol_name": "tcp",  
        "protocol_num": 6,  
        "protocol_ver_id": 4,  
        "uid": "9fdc6fbc09794d5e"  
    },  
    "duration": 1,  
    "end_time": 1761358379996,  
    "answers": [],  
    "src_endpoint": {  
        "ip": "3.3.3.3",  
        "port": 28276  
    },  
    "enrichments": [  
        {  
            "name": "global-resolver",  
            "value": "gr-a1b2c3d4fexample",  
            "data": {  
                "dns_view_id": "dnsv-a1b2c3d4fexample",  
                "firewall_rule_id": "fr-a1b2c3d4fexample",  
                "token_id": "t-a1b2c3d4fexample",  
                "token_name": "device-123456",  
                "token_expiration": "1789419206",  
            }  
        }  
    ],  
    "message": "",  
    "metadata": {  
        "version": "1.2.0",  
        "product": {  
            "name": "Global Resolver",  
            "vendor_name": "AWS",  
            "feature": {  
                "name": "DNS"  
            }  
        }  
    },  
    "query": {  
        "hostname": "example.com.",  
        "class": "IN",  
        "type": "A",  
        "opcode": "Query",  
        "opcode_id": 0  
    },  
    "query_time": 1761358379995,  
    "rcode": "REFUSED",  
    "rcode_id": 5,  
    "response_time": 1761358379995,  
    "severity": "Informational",  
    "severity_id": 1,  
    "start_time": 1761358379995,  
    "status": "Failure",  
    "status_id": 1,  
    "time": 1761358379995,  
    "type_name": "DNS Activity: Traffic",  
    "type_uid": 400306  
}