Referencia detallada de eventos de DNS Firewall de Route 53 Resolver - Amazon Route 53
Detalles de un evento de alerta de DNS FirewallDetalles de un evento de bloqueo de DNS Firewall

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Referencia detallada de eventos de DNS Firewall de Route 53 Resolver

Todos los eventos de los AWS servicios tienen un conjunto común de campos que contienen metadatos sobre el evento, como el AWS servicio que es el origen del evento, la hora en que se generó el evento, la cuenta y la región en las que tuvo lugar el evento, etc. Para ver las definiciones de estos campos generales, consulte Referencia de estructura de eventos en la Guía del usuario de Amazon EventBridge .

Además, cada evento tiene un campo detail que contiene datos específicos de ese evento en particular. La siguiente referencia define los campos de detalle para los distintos eventos de DNS Firewall.

Cuando se utilice EventBridge para seleccionar y administrar eventos del firewall de DNS, es útil tener en cuenta lo siguiente:

  • El campo source para todos los eventos de DNS Firewall está establecido en aws.route53resolver.

  • El campo detail-type especifica el tipo de evento.

    Por ejemplo, DNS Firewall Block o DNS Firewall Alert.

  • El campo detail contiene los datos específicos de ese evento en particular.

Para obtener más información sobre cómo construir patrones de eventos que permitan que las reglas coincidan con los eventos de DNS Firewall, consulte Patrones de eventos en la Guía del usuario de Amazon EventBridge .

Para obtener más información sobre los eventos y cómo EventBridge los procesa, consulte Amazon EventBridge los eventos en la Guía del Amazon EventBridge usuario.

Detalles de un evento de alerta de DNS Firewall

A continuación, se muestran los campos de detalle de los detalles del evento de estado de alerta.

Los campos source y detail-type se incluyen porque contienen valores específicos para los eventos de Route 53.

{...,
 "detail-type": "DNS Firewall Alert",
  "source": "aws.route53resolver",
 ...,
 "detail": {
      "account-id": "string",
      "last-observed-at": "string",
      "query-name": "string",
      "query-type": "string",
      "query-class": "string",
      "transport": "string",
      "firewall-rule-action": "string",
      "firewall-rule-group-id": "string",
      "firewall-domain-list-id": "string",
      "firewall-protection": "string",
      "resources": [{
         "resource-type": "string",
         "instance-details": {
             "id": "string",
       }
     },
     { 
         "resource-type": "string",
         "resolver-endpoint-details": {
         "id": "string"
       }
     }
 ]
detail-type

Identifica el tipo de evento.

Para este evento, este valor es DNS Firewall Alert.

source

Identifica el servicio que generó el evento. Para los eventos del DNS Firewall, este valor es aws.route53resolver.

detail

Un objeto JSON que contiene información sobre el evento. El servicio que genera el evento determina el contenido de este campo.

Para este evento, estos datos incluyen lo siguiente:

account-id

El ID de la persona Cuenta de AWS que creó la VPC.

last-observed-at

La marca de tiempo del momento en que se realizó la Alert/Block consulta en la VPC.

query-name

El nombre de dominio (example.com) o nombre del subdominio (www.example.com) que se especificó en la consulta.

query-type

El tipo de registro DNS que se ha especificado en la solicitud o CUALQUIERA. Para obtener información acerca de los tipos que admite Route 53, consulte Tipos de registros de DNS admitidos.

query-class

La clase de consulta.

transport

El protocolo utilizado para enviar la consulta de DNS.

firewall-rule-action

La acción especificada por la regla que coincidió con el nombre de dominio de la consulta. ALERT o BLOCK.

firewall-rule-group-id

El ID del grupo de reglas de DNS Firewall de que coincidió con el nombre de dominio de la consulta. Para obtener más información sobre los grupos de reglas de firewall, consulte Reglas y grupos de reglas de DNS Firewall de DNS Firewall.

firewall-domain-list-id

La lista de dominios utilizada por la regla que coincidió con el nombre de dominio de la consulta.

firewall-protection

La protección avanzada del firewall de DNS: DGA, DICTIONARY_DGA o DNS_TUNNELING. Para obtener más información sobre DNS Firewall, consulte DNS Firewall Advanced de Route 53 Resolver.

resourcese

Contiene los tipos de recursos y más detalles sobre ellos.

resource-type

Especifica el tipo de recurso, como un punto de conexión de Resolver o una instancia de VPC.

resource-type-detail

Detalles adicionales sobre el recurso.

ejemplo Evento de alerta de DNS Firewall

El siguiente es un evento de alerta de ejemplo.

{
 "version": "1.0",
 "id": "8e5622f9-d81c-4d81-612a-9319e7ee2506",
 "detail-type": "DNS Firewall Alert",
 "source": "aws.route53resolver",
 "account": "123456789012",
 "time": "2023-05-30T21:52:17Z",
 "region": "us-west-2",
 "resources": [],
 "detail": {
 "account-id": "123456789012",
 "last-observed-at": "2023-05-30T20:15:15.900Z",
 "query-name": "15.3.4.32.in-addr.arpa.",
 "query-type": "A",
 "query-class": "IN",
 "transport": "UDP",
 "firewall-rule-action": "ALERT",
 "firewall-rule-group-id": "rslvr-frg-01234567890abcdef",
 "firewall-domain-list-id": "rslvr-fdl-01234567890abcdef",
 "firewall-protection": "DGA",
 "resources": [{
      "resource-type": "instance",
      "instance-details": {
         "id": "i-05746eb48123455e0",
       }
     },
     { 
      "resource-type": "resolver-endpoint",
      "resolver-endpoint-details": {
         "id": "i-05746eb48123455e0"
       }
     }
 ],
"src-addr": "4.5.64.102",
"src-port": "56067",
"vpc-id": "vpc-7example"
 }
}

Detalles de un evento de bloqueo de DNS Firewall

A continuación se event name muestran los campos de detalles de.

Los campos source y detail-type se incluyen porque contienen valores específicos para los eventos de Route 53.

{...,
 "detail-type": "DNS Firewall Block",
  "source": "aws.route53resolver",
 ...,
 "detail": {
      "account-id": "string",
      "last-observed-at": "string",
      "query-name": "string",
      "query-type": "string",
      "query-class": "string",
      "transport": "string",
      "firewall-rule-action": "string",
      "firewall-rule-group-id": "string",
      "firewall-domain-list-id": "string",
      "firewall-protection": "string",
      "resources": [{
         "resource-type": "string",
         "instance-details": {
             "id": "string",
       }
     },
     { 
         "resource-type": "string",
         "resolver-endpoint-details": {
         "id": "string"
       }
     }
 ]
detail-type

Identifica el tipo de evento.

Para este evento, este valor es DNS Firewall Alert.

source

Identifica el servicio que generó el evento. Para los eventos del DNS Firewall, este valor es aws.route53resolver.

detail

Un objeto JSON que contiene información sobre el evento. El servicio que genera el evento determina el contenido de este campo.

Para este evento, estos datos incluyen lo siguiente:

account-id

El ID de la persona Cuenta de AWS que creó la VPC.

last-observed-at

La marca de tiempo del momento en que se realizó la Alert/Block consulta en la VPC.

query-name

El nombre de dominio (example.com) o nombre del subdominio (www.example.com) que se especificó en la consulta.

query-type

El tipo de registro DNS que se ha especificado en la solicitud o CUALQUIERA. Para obtener información acerca de los tipos que admite Route 53, consulte Tipos de registros de DNS admitidos.

query-class

La clase de consulta.

transport

El protocolo utilizado para enviar la consulta de DNS.

firewall-rule-action

La acción especificada por la regla que coincidió con el nombre de dominio de la consulta. ALERT o BLOCK.

firewall-rule-group-id

El ID del grupo de reglas de DNS Firewall de que coincidió con el nombre de dominio de la consulta. Para obtener más información sobre los grupos de reglas de firewall, consulte Reglas y grupos de reglas de DNS Firewall de DNS Firewall.

firewall-domain-list-id

La lista de dominios utilizada por la regla que coincidió con el nombre de dominio de la consulta.

firewall-protection

La protección avanzada del firewall de DNS: DGA, DICTIONARY_DGA o DNS_TUNNELING. Para obtener más información sobre DNS Firewall, consulte DNS Firewall Advanced de Route 53 Resolver.

resourcese

Contiene los tipos de recursos y más detalles sobre ellos.

resource-type

Especifica el tipo de recurso, como un punto de conexión de Resolver o una instancia de VPC.

resource-type-detail

Detalles adicionales sobre el recurso.

ejemplo Evento de ejemplo de

El siguiente es un evento de bloqueo de ejemplo.

{
 "version": "1.0",
 "id": "8e5622f9-d81c-4d81-612a-9319e7ee2506",
 "detail-type": "DNS Firewall Block",
 "source": "aws.route53resolver",
 "account": "123456789012",
 "time": "2023-05-30T21:52:17Z",
 "region": "us-west-2",
 "resources": [],
 "detail": {
 "account-id": "123456789012",
 "last-observed-at": "2023-05-30T20:15:15.900Z",
 "query-name": "15.3.4.32.in-addr.arpa.",
 "query-type": "A",
 "query-class": "IN",
 "transport": "UDP",
 "firewall-rule-action": "BLOCK",
 "firewall-rule-group-id": "rslvr-frg-01234567890abcdef",
 "firewall-domain-list-id": "rslvr-fdl-01234567890abcdef",
 "firewall-protection": "DNS_TUNNELING",
 "resources": [{
      "resource-type": "instance",
      "instance-details": {
         "id": "i-05746eb48123455e0"
       }
     },
     { 
      "resource-type": "resolver-endpoint",
      "resolver-endpoint-details": {
         "id": "i-05746eb48123455e0",
       }
     }
 ],
"src-addr": "4.5.64.102",
"src-port": "56067",
"vpc-id": "vpc-7example"
 }
}