Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Ottieni visibilità sull'attività DNS con Route 53 Global Resolver
Route 53 Global Resolver offre funzionalità complete di registrazione delle query DNS per monitorare l'attività dei dispositivi client e identificare le minacce alla sicurezza. Abilita la registrazione delle query DNS in Route 53 Global Resolver per vedere a quali siti Web accedono i dispositivi client, identificare potenziali minacce alla sicurezza e analizzare i modelli di risoluzione DNS. I log acquisiscono informazioni complete su ogni query, incluse le politiche di sicurezza applicate.
## Quali informazioni vengono acquisite nei log DNS
Ogni voce del registro delle query DNS fornisce informazioni dettagliate sull'attività dei dispositivi client e sull'applicazione delle politiche di sicurezza:
+ **Informazioni sulla query**: nome di dominio, tipo di query, classe di query e protocollo utilizzati
+ **Informazioni sul dispositivo client**: indirizzo IP di origine, visualizzazione DNS e metodo di autenticazione
+ **Informazioni sulla risposta**: codice di risposta, record di risposta e tempo di risposta
+ **Azioni di sicurezza**: corrispondenza delle regole del firewall, risultati del rilevamento delle minacce e azioni intraprese
+ **Metadati**: timestamp, ID globale del resolver, regione e informazioni di traccia
## Formato OCSF per l'integrazione della sicurezza
I log delle query DNS utilizzano l'Open Cybersecurity Schema Framework (OCSF), che fornisce un formato standardizzato per i dati degli eventi di sicurezza. Questo formato consente:
+ **Analisi standardizzata**: schema coerente tra diversi strumenti di sicurezza
+ **Interoperabilità migliorata**: facile integrazione con SIEM e piattaforme di analisi
+ **Correlazione migliorata**: capacità di correlare gli eventi DNS con altri dati di sicurezza
+ **Compatibilità futura:** supporto per l'evoluzione dei requisiti di analisi della sicurezza
### Esempi di formato di registro OCSF
I log delle query DNS di Route 53 Global Resolver seguono la struttura dello schema OCSF, fornendo informazioni dettagliate su ogni query, risposta e azione di sicurezza DNS. Gli esempi seguenti mostrano il formato di registro per le query consentite e rifiutate.
#### Registro DNS di Route 53 Global Resolver - Esempio di accesso consentito
Questo esempio mostra una query DNS consentita tramite le regole del firewall. Il registro include dettagli sulle query, informazioni di risposta e dati di arricchimento con identificatori specifici di Route 53 Global Resolver.
```
{
"action_id": 1,
"action_name": "Allowed",
"activity_id": 6,
"activity_name": "Traffic",
"category_name": "Network Activity",
"category_uid": 4,
"class_name": "DNS Activity",
"class_uid": 4003,
"cloud": {
"provider": "AWS",
"region": "us-east-1",
"account": {
"uid": "123456789012"
}
},
"connection_info": {
"direction": "Inbound",
"direction_id": 1,
"protocol_name": "udp",
"protocol_num": 17,
"protocol_ver": "",
"uid": "db21d1739ddb423a"
},
"duration": 1,
"end_time": 1761358379996,
"answers": [{
"rdata": "3.3.3.3",
"type": "A",
"class": "IN",
"ttl": 300
},
{
"rdata": "3.3.3.4",
"type": "A",
"class": "IN",
"ttl": 300
}],
"src_endpoint": {
"ip": "3.3.3.1",
"port": 56576
},
"enrichments": [{
"name": "global-resolver",
"value": "gr-a1b2c3d4fexample",
"data": {
"dns_view_id": "dnsv-a1b2c3d4fexample",
"firewall_rule_id": "fr-a1b2c3d4fexample",
"token_id": "t-a1b2c3d4fexample",
"token_name": "device-123456",
"token_expiration": "1789419206",
"access_source_cidr": "3.3.3.0/24",
}
}],
"message": "",
"metadata": {
"version": "1.2.0",
"product": {
"name": "Global Resolver",
"vendor_name": "AWS",
"feature": {
"name": "DNS"
}
}
},
"query": {
"hostname": "example.com.",
"class": "IN",
"type": "A",
"opcode": "Query",
"opcode_id": 0
},
"query_time": 1761358379995,
"rcode": "NOERROR",
"rcode_id": 0,
"response_time": 1761358379995,
"severity": "Informational",
"severity_id": 1,
"src_endpoint": {
"ip": "3.3.3.3",
"port": 28276
},
"start_time": 1761358379995,
"status": "Success",
"status_id": 1,
"time": 1761358379995,
"type_name": "DNS Activity: Traffic",
"type_uid": 400306
}
```
#### Log DNS di Route 53 Global Resolver - Esempio di accesso negato
Questo esempio mostra una query DNS bloccata dalle regole del firewall. Il registro include l'azione di rifiuto, l'array di risposte vuoto e il codice di risposta REFUSED che indica che la query non è stata elaborata.
```
{
"action_id": 2,
"action_name": "Denied",
"activity_id": 6,
"activity_name": "Traffic",
"category_name": "Network Activity",
"category_uid": 4,
"class_name": "DNS Activity",
"class_uid": 4003,
"cloud": {
"provider": "AWS",
"region": "us-west-2",
"account": {
"uid": "123456789012"
}
},
"connection_info": {
"direction": "Inbound",
"direction_id": 1,
"protocol_name": "tcp",
"protocol_num": 6,
"protocol_ver_id": 4,
"uid": "9fdc6fbc09794d5e"
},
"duration": 1,
"end_time": 1761358379996,
"answers": [],
"src_endpoint": {
"ip": "3.3.3.3",
"port": 28276
},
"enrichments": [
{
"name": "global-resolver",
"value": "gr-a1b2c3d4fexample",
"data": {
"dns_view_id": "dnsv-a1b2c3d4fexample",
"firewall_rule_id": "fr-a1b2c3d4fexample",
"token_id": "t-a1b2c3d4fexample",
"token_name": "device-123456",
"token_expiration": "1789419206",
"access_source_cidr": "3.3.3.0/24",
}
}
],
"message": "",
"metadata": {
"version": "1.2.0",
"product": {
"name": "Global Resolver",
"vendor_name": "AWS",
"feature": {
"name": "DNS"
}
}
},
"query": {
"hostname": "example.com.",
"class": "IN",
"type": "A",
"opcode": "Query",
"opcode_id": 0
},
"query_time": 1761358379995,
"rcode": "REFUSED",
"rcode_id": 5,
"response_time": 1761358379995,
"severity": "Informational",
"severity_id": 1,
"start_time": 1761358379995,
"status": "Failure",
"status_id": 1,
"time": 1761358379995,
"type_name": "DNS Activity: Traffic",
"type_uid": 400306
}
```