翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Route 53 Global Resolver を使用して DNS アクティビティを可視化する
Route 53 Global Resolver は、クライアントデバイスのアクティビティをモニタリングし、セキュリティの脅威を特定するための包括的な DNS クエリログ記録機能を提供します。Route 53 Global Resolver で DNS クエリログ記録を有効にして、クライアントデバイスがどのウェブサイトにアクセスするかを確認し、潜在的なセキュリティ脅威を特定し、DNS 解決パターンを分析します。ログは、どのセキュリティポリシーが適用されたかなど、各クエリに関する包括的な情報をキャプチャします。
DNS ログにキャプチャされる情報
各 DNS クエリログエントリは、クライアントデバイスのアクティビティとセキュリティポリシーの適用に関する詳細情報を提供します。
-
クエリ情報 - ドメイン名、クエリタイプ、クエリクラス、および使用されるプロトコル
-
クライアントデバイス情報 - ソース IP アドレス、DNS ビュー、認証方法
-
応答情報 - 応答コード、応答レコード、応答時間
-
セキュリティアクション - ファイアウォールルールの一致、脅威検出結果、実行されたアクション
-
メタデータ - タイムスタンプ、グローバルリゾルバー ID、リージョン、トレース情報
セキュリティ統合用の OCSF 形式
DNS クエリログは、セキュリティイベントデータの標準化された形式を提供する Open Cybersecurity Schema Framework (OCSF) を使用します。この形式により、以下が可能になります。
-
標準化された分析 - さまざまなセキュリティツールにまたがる一貫したスキーマ
-
相互運用性の向上 - SIEM および分析プラットフォームとの簡単な統合
-
相関の強化 - DNS イベントを他のセキュリティデータと相関させる機能
-
将来の互換性 - 進化するセキュリティ分析要件のサポート
OCSF ログ形式の例
Route 53 Global Resolver DNS クエリログは OCSF スキーマ構造に従い、各 DNS クエリ、レスポンス、セキュリティアクションに関する詳細情報を提供します。次の例は、許可されたクエリと拒否されたクエリのログ形式を示しています。
Route 53 グローバルリゾルバー DNS ログ - アクセス許可の例
この例では、ファイアウォールルールを通じて許可された DNS クエリを示しています。ログには、Route 53 Global Resolver 固有の識別子を含むクエリの詳細、レスポンス情報、エンリッチメントデータが含まれます。
{ "action_id": 1, "action_name": "Allowed", "activity_id": 6, "activity_name": "Traffic", "category_name": "Network Activity", "category_uid": 4, "class_name": "DNS Activity", "class_uid": 4003, "cloud": { "provider": "AWS", "region": "us-east-1", "account": { "uid": "123456789012" } }, "connection_info": { "direction": "Inbound", "direction_id": 1, "protocol_name": "udp", "protocol_num": 17, "protocol_ver": "", "uid": "db21d1739ddb423a" }, "duration": 1, "end_time": 1761358379996, "answers": [{ "rdata": "3.3.3.3", "type": "A", "class": "IN", "ttl": 300 }, { "rdata": "3.3.3.4", "type": "A", "class": "IN", "ttl": 300 }], "src_endpoint": { "ip": "3.3.3.1", "port": 56576 }, "enrichments": [{ "name": "global-resolver", "value": "gr-a1b2c3d4fexample", "data": { "dns_view_id": "dnsv-a1b2c3d4fexample", "firewall_rule_id": "fr-a1b2c3d4fexample", "token_id": "t-a1b2c3d4fexample", "token_name": "device-123456", "token_expiration": "1789419206", } }], "message": "", "metadata": { "version": "1.2.0", "product": { "name": "Global Resolver", "vendor_name": "AWS", "feature": { "name": "DNS" } } }, "query": { "hostname": "example.com.", "class": "IN", "type": "A", "opcode": "Query", "opcode_id": 0 }, "query_time": 1761358379995, "rcode": "NOERROR", "rcode_id": 0, "response_time": 1761358379995, "severity": "Informational", "severity_id": 1, "src_endpoint": { "ip": "3.3.3.3", "port": 28276 }, "start_time": 1761358379995, "status": "Success", "status_id": 1, "time": 1761358379995, "type_name": "DNS Activity: Traffic", "type_uid": 400306 }
Route 53 Global Resolver DNS ログ - アクセス拒否の例
この例では、ファイアウォールルールによってブロックされた DNS クエリを示しています。ログには、拒否アクション、空の回答配列、およびクエリが処理されなかったことを示す REFUSED レスポンスコードが含まれます。
{ "action_id": 2, "action_name": "Denied", "activity_id": 6, "activity_name": "Traffic", "category_name": "Network Activity", "category_uid": 4, "class_name": "DNS Activity", "class_uid": 4003, "cloud": { "provider": "AWS", "region": "us-west-2", "account": { "uid": "123456789012" } }, "connection_info": { "direction": "Inbound", "direction_id": 1, "protocol_name": "tcp", "protocol_num": 6, "protocol_ver_id": 4, "uid": "9fdc6fbc09794d5e" }, "duration": 1, "end_time": 1761358379996, "answers": [], "src_endpoint": { "ip": "3.3.3.3", "port": 28276 }, "enrichments": [ { "name": "global-resolver", "value": "gr-a1b2c3d4fexample", "data": { "dns_view_id": "dnsv-a1b2c3d4fexample", "firewall_rule_id": "fr-a1b2c3d4fexample", "token_id": "t-a1b2c3d4fexample", "token_name": "device-123456", "token_expiration": "1789419206", } } ], "message": "", "metadata": { "version": "1.2.0", "product": { "name": "Global Resolver", "vendor_name": "AWS", "feature": { "name": "DNS" } } }, "query": { "hostname": "example.com.", "class": "IN", "type": "A", "opcode": "Query", "opcode_id": 0 }, "query_time": 1761358379995, "rcode": "REFUSED", "rcode_id": 5, "response_time": 1761358379995, "severity": "Informational", "severity_id": 1, "start_time": 1761358379995, "status": "Failure", "status_id": 1, "time": 1761358379995, "type_name": "DNS Activity: Traffic", "type_uid": 400306 }
