Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gagnez en visibilité sur l'activité DNS avec Route 53 Global Resolver
Route 53 Global Resolver fournit des fonctionnalités complètes d'enregistrement des requêtes DNS pour surveiller l'activité des appareils clients et identifier les menaces de sécurité. Activez la journalisation des requêtes DNS dans Route 53 Global Resolver pour voir à quels sites Web les appareils clients accèdent, identifier les menaces de sécurité potentielles et analyser les modèles de résolution DNS. Les journaux capturent des informations complètes sur chaque requête, y compris les politiques de sécurité appliquées.
Quelles informations sont capturées dans les journaux DNS
Chaque entrée du journal des requêtes DNS fournit des informations détaillées sur l'activité de l'appareil client et l'application des politiques de sécurité :
-
Informations sur les requêtes : nom de domaine, type de requête, classe de requête et protocole utilisés
-
Informations sur le périphérique client : adresse IP source, vue DNS et méthode d'authentification
-
Informations de réponse : code de réponse, enregistrements de réponses et temps de réponse
-
Actions de sécurité - Correspondance des règles du pare-feu, résultats de détection des menaces et mesures prises
-
Métadonnées : horodatage, identifiant global du résolveur, région et informations de suivi
Format OCSF pour l'intégration de la sécurité
Les journaux de requêtes DNS utilisent l'Open Cybersecurity Schema Framework (OCSF), qui fournit un format standardisé pour les données relatives aux événements de sécurité. Ce format permet de :
-
Analyse standardisée - Schéma cohérent entre les différents outils de sécurité
-
Interopérabilité améliorée - Intégration facile avec les plateformes SIEM et d'analyse
-
Corrélation améliorée - Possibilité de corréler les événements DNS avec d'autres données de sécurité
-
Compatibilité future - Support à l'évolution des exigences en matière d'analyse de sécurité
Exemples de format de journal OCSF
Les journaux de requêtes DNS de Route 53 Global Resolver suivent la structure du schéma OCSF et fournissent des informations détaillées sur chaque requête, réponse et action de sécurité DNS. Les exemples suivants montrent le format du journal pour les requêtes autorisées et refusées.
Journal DNS de Route 53 Global Resolver - Exemple d'accès autorisé
Cet exemple montre une requête DNS autorisée par le biais de règles de pare-feu. Le journal inclut les détails des requêtes, les informations de réponse et les données d'enrichissement avec des identifiants spécifiques à Route 53 Global Resolver.
{ "action_id": 1, "action_name": "Allowed", "activity_id": 6, "activity_name": "Traffic", "category_name": "Network Activity", "category_uid": 4, "class_name": "DNS Activity", "class_uid": 4003, "cloud": { "provider": "AWS", "region": "us-east-1", "account": { "uid": "123456789012" } }, "connection_info": { "direction": "Inbound", "direction_id": 1, "protocol_name": "udp", "protocol_num": 17, "protocol_ver": "", "uid": "db21d1739ddb423a" }, "duration": 1, "end_time": 1761358379996, "answers": [{ "rdata": "3.3.3.3", "type": "A", "class": "IN", "ttl": 300 }, { "rdata": "3.3.3.4", "type": "A", "class": "IN", "ttl": 300 }], "src_endpoint": { "ip": "3.3.3.1", "port": 56576 }, "enrichments": [{ "name": "global-resolver", "value": "gr-a1b2c3d4fexample", "data": { "dns_view_id": "dnsv-a1b2c3d4fexample", "firewall_rule_id": "fr-a1b2c3d4fexample", "token_id": "t-a1b2c3d4fexample", "token_name": "device-123456", "token_expiration": "1789419206", } }], "message": "", "metadata": { "version": "1.2.0", "product": { "name": "Global Resolver", "vendor_name": "AWS", "feature": { "name": "DNS" } } }, "query": { "hostname": "example.com.", "class": "IN", "type": "A", "opcode": "Query", "opcode_id": 0 }, "query_time": 1761358379995, "rcode": "NOERROR", "rcode_id": 0, "response_time": 1761358379995, "severity": "Informational", "severity_id": 1, "src_endpoint": { "ip": "3.3.3.3", "port": 28276 }, "start_time": 1761358379995, "status": "Success", "status_id": 1, "time": 1761358379995, "type_name": "DNS Activity: Traffic", "type_uid": 400306 }
Journal DNS de Route 53 Global Resolver - Exemple d'accès refusé
Cet exemple montre une requête DNS bloquée par les règles de pare-feu. Le journal inclut l'action de refus, le tableau de réponses vide et le code de réponse REFUSED indiquant que la requête n'a pas été traitée.
{ "action_id": 2, "action_name": "Denied", "activity_id": 6, "activity_name": "Traffic", "category_name": "Network Activity", "category_uid": 4, "class_name": "DNS Activity", "class_uid": 4003, "cloud": { "provider": "AWS", "region": "us-west-2", "account": { "uid": "123456789012" } }, "connection_info": { "direction": "Inbound", "direction_id": 1, "protocol_name": "tcp", "protocol_num": 6, "protocol_ver_id": 4, "uid": "9fdc6fbc09794d5e" }, "duration": 1, "end_time": 1761358379996, "answers": [], "src_endpoint": { "ip": "3.3.3.3", "port": 28276 }, "enrichments": [ { "name": "global-resolver", "value": "gr-a1b2c3d4fexample", "data": { "dns_view_id": "dnsv-a1b2c3d4fexample", "firewall_rule_id": "fr-a1b2c3d4fexample", "token_id": "t-a1b2c3d4fexample", "token_name": "device-123456", "token_expiration": "1789419206", } } ], "message": "", "metadata": { "version": "1.2.0", "product": { "name": "Global Resolver", "vendor_name": "AWS", "feature": { "name": "DNS" } } }, "query": { "hostname": "example.com.", "class": "IN", "type": "A", "opcode": "Query", "opcode_id": 0 }, "query_time": 1761358379995, "rcode": "REFUSED", "rcode_id": 5, "response_time": 1761358379995, "severity": "Informational", "severity_id": 1, "start_time": 1761358379995, "status": "Failure", "status_id": 1, "time": 1761358379995, "type_name": "DNS Activity: Traffic", "type_uid": 400306 }
