Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Obtenga visibilidad de la actividad de DNS con Route 53 Global Resolver
Route 53 Global Resolver ofrece capacidades integrales de registro de consultas de DNS para monitorear la actividad de los dispositivos del cliente e identificar las amenazas de seguridad. Habilite el registro de consultas de DNS en Route 53 Global Resolver para ver a qué sitios web acceden los dispositivos cliente, identificar posibles amenazas de seguridad y analizar los patrones de resolución de DNS. Los registros recopilan información completa sobre cada consulta, incluidas las políticas de seguridad que se aplicaron.
¿Qué información se captura en los registros de DNS
Cada entrada del registro de consultas de DNS proporciona información detallada sobre la actividad de los dispositivos del cliente y la aplicación de las políticas de seguridad:
-
Información de consulta: nombre de dominio, tipo de consulta, clase de consulta y protocolo utilizado
-
Información del dispositivo del cliente: dirección IP de origen, vista de DNS y método de autenticación
-
Información de respuesta: código de respuesta, registros de respuestas y tiempo de respuesta
-
Acciones de seguridad: coincidencias de las reglas del firewall, resultados de la detección de amenazas y medidas adoptadas
-
Metadatos: fecha y hora, identificador de resolución global, región e información de rastreo
Formato OCSF para la integración de la seguridad
Los registros de consultas del DNS utilizan el Open Cybersecurity Schema Framework (OCSF), que proporciona un formato estandarizado para los datos de eventos de seguridad. Este formato permite:
-
Análisis estandarizado: esquema coherente en diferentes herramientas de seguridad
-
Interoperabilidad mejorada: fácil integración con SIEM y plataformas de análisis
-
Correlación mejorada: capacidad de correlacionar los eventos del DNS con otros datos de seguridad
-
Compatibilidad futura: Support para los requisitos de análisis de seguridad en evolución
Ejemplos de formatos de registro OCSF
Los registros de consultas de DNS de Route 53 Global Resolver siguen la estructura del esquema OCSF y proporcionan información detallada sobre cada consulta, respuesta y acción de seguridad de DNS. Los siguientes ejemplos muestran el formato de registro de las consultas permitidas y denegadas.
Registro DNS de Route 53 Global Resolver: ejemplo de acceso permitido
En este ejemplo, se muestra una consulta de DNS que se permitió mediante reglas de firewall. El registro incluye detalles de consultas, información de respuesta y datos de enriquecimiento con identificadores específicos de Route 53 Global Resolver.
{ "action_id": 1, "action_name": "Allowed", "activity_id": 6, "activity_name": "Traffic", "category_name": "Network Activity", "category_uid": 4, "class_name": "DNS Activity", "class_uid": 4003, "cloud": { "provider": "AWS", "region": "us-east-1", "account": { "uid": "123456789012" } }, "connection_info": { "direction": "Inbound", "direction_id": 1, "protocol_name": "udp", "protocol_num": 17, "protocol_ver": "", "uid": "db21d1739ddb423a" }, "duration": 1, "end_time": 1761358379996, "answers": [{ "rdata": "3.3.3.3", "type": "A", "class": "IN", "ttl": 300 }, { "rdata": "3.3.3.4", "type": "A", "class": "IN", "ttl": 300 }], "src_endpoint": { "ip": "3.3.3.1", "port": 56576 }, "enrichments": [{ "name": "global-resolver", "value": "gr-a1b2c3d4fexample", "data": { "dns_view_id": "dnsv-a1b2c3d4fexample", "firewall_rule_id": "fr-a1b2c3d4fexample", "token_id": "t-a1b2c3d4fexample", "token_name": "device-123456", "token_expiration": "1789419206", } }], "message": "", "metadata": { "version": "1.2.0", "product": { "name": "Global Resolver", "vendor_name": "AWS", "feature": { "name": "DNS" } } }, "query": { "hostname": "example.com.", "class": "IN", "type": "A", "opcode": "Query", "opcode_id": 0 }, "query_time": 1761358379995, "rcode": "NOERROR", "rcode_id": 0, "response_time": 1761358379995, "severity": "Informational", "severity_id": 1, "src_endpoint": { "ip": "3.3.3.3", "port": 28276 }, "start_time": 1761358379995, "status": "Success", "status_id": 1, "time": 1761358379995, "type_name": "DNS Activity: Traffic", "type_uid": 400306 }
Registro DNS de Route 53 Global Resolver: ejemplo de acceso denegado
En este ejemplo, se muestra una consulta de DNS que estaba bloqueada por las reglas del firewall. El registro incluye la acción de denegación, una matriz de respuestas vacía y el código de respuesta REFUSED que indica que la consulta no se ha procesado.
{ "action_id": 2, "action_name": "Denied", "activity_id": 6, "activity_name": "Traffic", "category_name": "Network Activity", "category_uid": 4, "class_name": "DNS Activity", "class_uid": 4003, "cloud": { "provider": "AWS", "region": "us-west-2", "account": { "uid": "123456789012" } }, "connection_info": { "direction": "Inbound", "direction_id": 1, "protocol_name": "tcp", "protocol_num": 6, "protocol_ver_id": 4, "uid": "9fdc6fbc09794d5e" }, "duration": 1, "end_time": 1761358379996, "answers": [], "src_endpoint": { "ip": "3.3.3.3", "port": 28276 }, "enrichments": [ { "name": "global-resolver", "value": "gr-a1b2c3d4fexample", "data": { "dns_view_id": "dnsv-a1b2c3d4fexample", "firewall_rule_id": "fr-a1b2c3d4fexample", "token_id": "t-a1b2c3d4fexample", "token_name": "device-123456", "token_expiration": "1789419206", } } ], "message": "", "metadata": { "version": "1.2.0", "product": { "name": "Global Resolver", "vendor_name": "AWS", "feature": { "name": "DNS" } } }, "query": { "hostname": "example.com.", "class": "IN", "type": "A", "opcode": "Query", "opcode_id": 0 }, "query_time": 1761358379995, "rcode": "REFUSED", "rcode_id": 5, "response_time": 1761358379995, "severity": "Informational", "severity_id": 1, "start_time": 1761358379995, "status": "Failure", "status_id": 1, "time": 1761358379995, "type_name": "DNS Activity: Traffic", "type_uid": 400306 }
