Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Ottieni visibilità sull'attività DNS con Route 53 Global Resolver
Route 53 Global Resolver offre funzionalità complete di registrazione delle query DNS per monitorare l'attività dei dispositivi client e identificare le minacce alla sicurezza. Abilita la registrazione delle query DNS in Route 53 Global Resolver per vedere a quali siti Web accedono i dispositivi client, identificare potenziali minacce alla sicurezza e analizzare i modelli di risoluzione DNS. I log acquisiscono informazioni complete su ogni query, incluse le politiche di sicurezza applicate.
Quali informazioni vengono acquisite nei log DNS
Ogni voce del registro delle query DNS fornisce informazioni dettagliate sull'attività dei dispositivi client e sull'applicazione delle politiche di sicurezza:
-
Informazioni sulla query: nome di dominio, tipo di query, classe di query e protocollo utilizzati
-
Informazioni sul dispositivo client: indirizzo IP di origine, visualizzazione DNS e metodo di autenticazione
-
Informazioni sulla risposta: codice di risposta, record di risposta e tempo di risposta
-
Azioni di sicurezza: corrispondenza delle regole del firewall, risultati del rilevamento delle minacce e azioni intraprese
-
Metadati: timestamp, ID globale del resolver, regione e informazioni di traccia
Formato OCSF per l'integrazione della sicurezza
I log delle query DNS utilizzano l'Open Cybersecurity Schema Framework (OCSF), che fornisce un formato standardizzato per i dati degli eventi di sicurezza. Questo formato consente:
-
Analisi standardizzata: schema coerente tra diversi strumenti di sicurezza
-
Interoperabilità migliorata: facile integrazione con SIEM e piattaforme di analisi
-
Correlazione migliorata: capacità di correlare gli eventi DNS con altri dati di sicurezza
-
Compatibilità futura: supporto per l'evoluzione dei requisiti di analisi della sicurezza
Esempi di formato di registro OCSF
I log delle query DNS di Route 53 Global Resolver seguono la struttura dello schema OCSF, fornendo informazioni dettagliate su ogni query, risposta e azione di sicurezza DNS. Gli esempi seguenti mostrano il formato di registro per le query consentite e rifiutate.
Registro DNS di Route 53 Global Resolver - Esempio di accesso consentito
Questo esempio mostra una query DNS consentita tramite le regole del firewall. Il registro include dettagli sulle query, informazioni di risposta e dati di arricchimento con identificatori specifici di Route 53 Global Resolver.
{ "action_id": 1, "action_name": "Allowed", "activity_id": 6, "activity_name": "Traffic", "category_name": "Network Activity", "category_uid": 4, "class_name": "DNS Activity", "class_uid": 4003, "cloud": { "provider": "AWS", "region": "us-east-1", "account": { "uid": "123456789012" } }, "connection_info": { "direction": "Inbound", "direction_id": 1, "protocol_name": "udp", "protocol_num": 17, "protocol_ver": "", "uid": "db21d1739ddb423a" }, "duration": 1, "end_time": 1761358379996, "answers": [{ "rdata": "3.3.3.3", "type": "A", "class": "IN", "ttl": 300 }, { "rdata": "3.3.3.4", "type": "A", "class": "IN", "ttl": 300 }], "src_endpoint": { "ip": "3.3.3.1", "port": 56576 }, "enrichments": [{ "name": "global-resolver", "value": "gr-a1b2c3d4fexample", "data": { "dns_view_id": "dnsv-a1b2c3d4fexample", "firewall_rule_id": "fr-a1b2c3d4fexample", "token_id": "t-a1b2c3d4fexample", "token_name": "device-123456", "token_expiration": "1789419206", } }], "message": "", "metadata": { "version": "1.2.0", "product": { "name": "Global Resolver", "vendor_name": "AWS", "feature": { "name": "DNS" } } }, "query": { "hostname": "example.com.", "class": "IN", "type": "A", "opcode": "Query", "opcode_id": 0 }, "query_time": 1761358379995, "rcode": "NOERROR", "rcode_id": 0, "response_time": 1761358379995, "severity": "Informational", "severity_id": 1, "src_endpoint": { "ip": "3.3.3.3", "port": 28276 }, "start_time": 1761358379995, "status": "Success", "status_id": 1, "time": 1761358379995, "type_name": "DNS Activity: Traffic", "type_uid": 400306 }
Log DNS di Route 53 Global Resolver - Esempio di accesso negato
Questo esempio mostra una query DNS bloccata dalle regole del firewall. Il registro include l'azione di rifiuto, l'array di risposte vuoto e il codice di risposta REFUSED che indica che la query non è stata elaborata.
{ "action_id": 2, "action_name": "Denied", "activity_id": 6, "activity_name": "Traffic", "category_name": "Network Activity", "category_uid": 4, "class_name": "DNS Activity", "class_uid": 4003, "cloud": { "provider": "AWS", "region": "us-west-2", "account": { "uid": "123456789012" } }, "connection_info": { "direction": "Inbound", "direction_id": 1, "protocol_name": "tcp", "protocol_num": 6, "protocol_ver_id": 4, "uid": "9fdc6fbc09794d5e" }, "duration": 1, "end_time": 1761358379996, "answers": [], "src_endpoint": { "ip": "3.3.3.3", "port": 28276 }, "enrichments": [ { "name": "global-resolver", "value": "gr-a1b2c3d4fexample", "data": { "dns_view_id": "dnsv-a1b2c3d4fexample", "firewall_rule_id": "fr-a1b2c3d4fexample", "token_id": "t-a1b2c3d4fexample", "token_name": "device-123456", "token_expiration": "1789419206", } } ], "message": "", "metadata": { "version": "1.2.0", "product": { "name": "Global Resolver", "vendor_name": "AWS", "feature": { "name": "DNS" } } }, "query": { "hostname": "example.com.", "class": "IN", "type": "A", "opcode": "Query", "opcode_id": 0 }, "query_time": 1761358379995, "rcode": "REFUSED", "rcode_id": 5, "response_time": 1761358379995, "severity": "Informational", "severity_id": 1, "start_time": 1761358379995, "status": "Failure", "status_id": 1, "time": 1761358379995, "type_name": "DNS Activity: Traffic", "type_uid": 400306 }
