Dapatkan visibilitas ke aktivitas DNS dengan Route 53 Global Resolver - Amazon Route 53
Informasi apa yang ditangkap dalam log DNSFormat OCSF untuk integrasi keamanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Dapatkan visibilitas ke aktivitas DNS dengan Route 53 Global Resolver

Route 53 Global Resolver menyediakan kemampuan pencatatan kueri DNS yang komprehensif untuk memantau aktivitas perangkat klien dan mengidentifikasi ancaman keamanan. Aktifkan pencatatan kueri DNS di Route 53 Global Resolver untuk melihat situs web apa yang diakses perangkat klien, mengidentifikasi potensi ancaman keamanan, dan menganalisis pola resolusi DNS. Log menangkap informasi komprehensif tentang setiap kueri, termasuk kebijakan keamanan yang diterapkan.

Informasi apa yang ditangkap dalam log DNS

Setiap entri log kueri DNS memberikan informasi terperinci tentang aktivitas perangkat klien dan penegakan kebijakan keamanan:

  • Informasi kueri - Nama domain, jenis kueri, kelas kueri, dan protokol yang digunakan

  • Informasi perangkat klien - Alamat IP sumber, tampilan DNS, dan metode otentikasi

  • Informasi respons - Kode respons, catatan jawaban, dan waktu respons

  • Tindakan keamanan - Pencocokan aturan Firewall, hasil deteksi ancaman, dan tindakan yang diambil

  • Metadata - Timestamp, ID penyelesai global, Wilayah, dan informasi jejak

Format OCSF untuk integrasi keamanan

Log kueri DNS menggunakan Open Cybersecurity Schema Framework (OCSF), yang menyediakan format standar untuk data peristiwa keamanan. Format ini memungkinkan:

  • Analisis standar - Skema yang konsisten di berbagai alat keamanan

  • Peningkatan interoperabilitas - Integrasi mudah dengan SIEM dan platform analitik

  • Korelasi yang ditingkatkan - Kemampuan untuk mengkorelasikan peristiwa DNS dengan data keamanan lainnya

  • Kompatibilitas masa depan - Dukungan untuk persyaratan analisis keamanan yang terus berkembang

Contoh format log OCSF

Route 53 Global Resolver DNS log query mengikuti struktur skema OCSF, memberikan informasi rinci tentang setiap query DNS, respon, dan tindakan keamanan. Contoh berikut menunjukkan format log untuk kueri yang diizinkan dan ditolak.

Route 53 Global Resolver DNS log - Akses contoh yang diizinkan

Contoh ini menunjukkan kueri DNS yang diizinkan melalui aturan firewall. Log mencakup detail kueri, informasi respons, dan data pengayaan dengan pengidentifikasi khusus Route 53 Global Resolver.

{  
    "action_id": 1,  
    "action_name": "Allowed",  
    "activity_id": 6,  
    "activity_name": "Traffic",  
    "category_name": "Network Activity",  
    "category_uid": 4,  
    "class_name": "DNS Activity",  
    "class_uid": 4003,  
    "cloud": {  
        "provider": "AWS",  
        "region": "us-east-1",  
        "account": {  
            "uid": "123456789012"  
        }  
    },  
    "connection_info": {  
        "direction": "Inbound",  
        "direction_id": 1,  
        "protocol_name": "udp",  
        "protocol_num": 17,  
        "protocol_ver": "",  
        "uid": "db21d1739ddb423a"  
    },  
    "duration": 1,  
    "end_time": 1761358379996,  
    "answers": [{  
        "rdata": "3.3.3.3",  
        "type": "A",  
        "class": "IN",  
        "ttl": 300  
    },   
    {  
        "rdata": "3.3.3.4",  
        "type": "A",  
        "class": "IN",  
        "ttl": 300  
    }],  
    "src_endpoint": {  
        "ip": "3.3.3.1",  
        "port": 56576  
    },  
    "enrichments": [{  
        "name": "global-resolver",  
        "value": "gr-a1b2c3d4fexample",  
        "data": {  
            "dns_view_id": "dnsv-a1b2c3d4fexample",  
            "firewall_rule_id": "fr-a1b2c3d4fexample",  
            "token_id": "t-a1b2c3d4fexample",  
            "token_name": "device-123456",  
            "token_expiration": "1789419206",  
        }  
    }],  
    "message": "",  
    "metadata": {  
        "version": "1.2.0",  
        "product": {  
            "name": "Global Resolver",  
            "vendor_name": "AWS",  
            "feature": {  
                "name": "DNS"  
            }  
        }  
    },  
    "query": {  
        "hostname": "example.com.",  
        "class": "IN",  
        "type": "A",  
        "opcode": "Query",  
        "opcode_id": 0  
    },  
    "query_time": 1761358379995,  
    "rcode": "NOERROR",  
    "rcode_id": 0,  
    "response_time": 1761358379995,  
    "severity": "Informational",  
    "severity_id": 1,  
    "src_endpoint": {  
        "ip": "3.3.3.3",  
        "port": 28276  
    },  
    "start_time": 1761358379995,  
    "status": "Success",  
    "status_id": 1,  
    "time": 1761358379995,  
    "type_name": "DNS Activity: Traffic",  
    "type_uid": 400306  
}

Route 53 Log DNS Resolver Global - Contoh akses ditolak

Contoh ini menunjukkan kueri DNS yang diblokir oleh aturan firewall. Log mencakup tindakan penolakan, larik jawaban kosong, dan kode respons REFUSED yang menunjukkan kueri tidak diproses.

{  
    "action_id": 2,  
    "action_name": "Denied",  
    "activity_id": 6,  
    "activity_name": "Traffic",  
    "category_name": "Network Activity",  
    "category_uid": 4,  
    "class_name": "DNS Activity",  
    "class_uid": 4003,  
    "cloud": {  
        "provider": "AWS",  
        "region": "us-west-2",  
        "account": {  
            "uid": "123456789012"  
        }  
    },  
    "connection_info": {  
        "direction": "Inbound",  
        "direction_id": 1,  
        "protocol_name": "tcp",  
        "protocol_num": 6,  
        "protocol_ver_id": 4,  
        "uid": "9fdc6fbc09794d5e"  
    },  
    "duration": 1,  
    "end_time": 1761358379996,  
    "answers": [],  
    "src_endpoint": {  
        "ip": "3.3.3.3",  
        "port": 28276  
    },  
    "enrichments": [  
        {  
            "name": "global-resolver",  
            "value": "gr-a1b2c3d4fexample",  
            "data": {  
                "dns_view_id": "dnsv-a1b2c3d4fexample",  
                "firewall_rule_id": "fr-a1b2c3d4fexample",  
                "token_id": "t-a1b2c3d4fexample",  
                "token_name": "device-123456",  
                "token_expiration": "1789419206",  
            }  
        }  
    ],  
    "message": "",  
    "metadata": {  
        "version": "1.2.0",  
        "product": {  
            "name": "Global Resolver",  
            "vendor_name": "AWS",  
            "feature": {  
                "name": "DNS"  
            }  
        }  
    },  
    "query": {  
        "hostname": "example.com.",  
        "class": "IN",  
        "type": "A",  
        "opcode": "Query",  
        "opcode_id": 0  
    },  
    "query_time": 1761358379995,  
    "rcode": "REFUSED",  
    "rcode_id": 5,  
    "response_time": 1761358379995,  
    "severity": "Informational",  
    "severity_id": 1,  
    "start_time": 1761358379995,  
    "status": "Failure",  
    "status_id": 1,  
    "time": 1761358379995,  
    "type_name": "DNS Activity: Traffic",  
    "type_uid": 400306  
}