기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Route 53 Global Resolver를 사용하여 DNS 활동에 대한 가시성 확보
Route 53 Global Resolver는 클라이언트 디바이스 활동을 모니터링하고 보안 위협을 식별하기 위한 포괄적인 DNS 쿼리 로깅 기능을 제공합니다. Route 53 Global Resolver에서 DNS 쿼리 로깅을 활성화하여 클라이언트 디바이스가 액세스하는 웹 사이트를 확인하고, 잠재적 보안 위협을 식별하고, DNS 확인 패턴을 분석합니다. 로그는 적용된 보안 정책을 포함하여 각 쿼리에 대한 포괄적인 정보를 캡처합니다.
DNS 로그에 캡처되는 정보
각 DNS 쿼리 로그 항목은 클라이언트 디바이스 활동 및 보안 정책 적용에 대한 세부 정보를 제공합니다.
-
쿼리 정보 - 도메인 이름, 쿼리 유형, 쿼리 클래스 및 사용된 프로토콜
-
클라이언트 디바이스 정보 - 소스 IP 주소, DNS 보기 및 인증 방법
-
응답 정보 - 응답 코드, 응답 레코드 및 응답 시간
-
보안 작업 - 방화벽 규칙 일치, 위협 탐지 결과 및 취해진 조치
-
메타데이터 - 타임스탬프, 글로벌 해석기 ID, 리전 및 추적 정보
보안 통합을 위한 OCSF 형식
DNS 쿼리 로그는 보안 이벤트 데이터에 대해 표준화된 형식을 제공하는 Open Cybersecurity Schema Framework(OCSF)를 사용합니다. 이 형식은 다음을 활성화합니다.
-
표준화된 분석 - 다양한 보안 도구에서 일관된 스키마
-
상호 운용성 개선 - SIEM 및 분석 플랫폼과의 간편한 통합
-
향상된 상관 관계 - DNS 이벤트를 다른 보안 데이터와 상관시킬 수 있는 기능
-
향후 호환성 - 진화하는 보안 분석 요구 사항 지원
OCSF 로그 형식 예제
Route 53 Global Resolver DNS 쿼리 로그는 OCSF 스키마 구조를 따르며 각 DNS 쿼리, 응답 및 보안 작업에 대한 자세한 정보를 제공합니다. 다음 예제에서는 허용된 쿼리와 거부된 쿼리의 로그 형식을 보여줍니다.
Route 53 Global Resolver DNS 로그 - 액세스 허용 예제
이 예제는 방화벽 규칙을 통해 허용된 DNS 쿼리를 보여줍니다. 로그에는 쿼리 세부 정보, 응답 정보 및 Route 53 Global Resolver별 식별자가 포함된 보강 데이터가 포함됩니다.
{ "action_id": 1, "action_name": "Allowed", "activity_id": 6, "activity_name": "Traffic", "category_name": "Network Activity", "category_uid": 4, "class_name": "DNS Activity", "class_uid": 4003, "cloud": { "provider": "AWS", "region": "us-east-1", "account": { "uid": "123456789012" } }, "connection_info": { "direction": "Inbound", "direction_id": 1, "protocol_name": "udp", "protocol_num": 17, "protocol_ver": "", "uid": "db21d1739ddb423a" }, "duration": 1, "end_time": 1761358379996, "answers": [{ "rdata": "3.3.3.3", "type": "A", "class": "IN", "ttl": 300 }, { "rdata": "3.3.3.4", "type": "A", "class": "IN", "ttl": 300 }], "src_endpoint": { "ip": "3.3.3.1", "port": 56576 }, "enrichments": [{ "name": "global-resolver", "value": "gr-a1b2c3d4fexample", "data": { "dns_view_id": "dnsv-a1b2c3d4fexample", "firewall_rule_id": "fr-a1b2c3d4fexample", "token_id": "t-a1b2c3d4fexample", "token_name": "device-123456", "token_expiration": "1789419206", } }], "message": "", "metadata": { "version": "1.2.0", "product": { "name": "Global Resolver", "vendor_name": "AWS", "feature": { "name": "DNS" } } }, "query": { "hostname": "example.com.", "class": "IN", "type": "A", "opcode": "Query", "opcode_id": 0 }, "query_time": 1761358379995, "rcode": "NOERROR", "rcode_id": 0, "response_time": 1761358379995, "severity": "Informational", "severity_id": 1, "src_endpoint": { "ip": "3.3.3.3", "port": 28276 }, "start_time": 1761358379995, "status": "Success", "status_id": 1, "time": 1761358379995, "type_name": "DNS Activity: Traffic", "type_uid": 400306 }
Route 53 Global Resolver DNS 로그 - 액세스 거부 예제
이 예제는 방화벽 규칙에 의해 차단된 DNS 쿼리를 보여줍니다. 로그에는 거부 작업, 빈 응답 배열, 쿼리가 처리되지 않았음을 나타내는 REFUSED 응답 코드가 포함됩니다.
{ "action_id": 2, "action_name": "Denied", "activity_id": 6, "activity_name": "Traffic", "category_name": "Network Activity", "category_uid": 4, "class_name": "DNS Activity", "class_uid": 4003, "cloud": { "provider": "AWS", "region": "us-west-2", "account": { "uid": "123456789012" } }, "connection_info": { "direction": "Inbound", "direction_id": 1, "protocol_name": "tcp", "protocol_num": 6, "protocol_ver_id": 4, "uid": "9fdc6fbc09794d5e" }, "duration": 1, "end_time": 1761358379996, "answers": [], "src_endpoint": { "ip": "3.3.3.3", "port": 28276 }, "enrichments": [ { "name": "global-resolver", "value": "gr-a1b2c3d4fexample", "data": { "dns_view_id": "dnsv-a1b2c3d4fexample", "firewall_rule_id": "fr-a1b2c3d4fexample", "token_id": "t-a1b2c3d4fexample", "token_name": "device-123456", "token_expiration": "1789419206", } } ], "message": "", "metadata": { "version": "1.2.0", "product": { "name": "Global Resolver", "vendor_name": "AWS", "feature": { "name": "DNS" } } }, "query": { "hostname": "example.com.", "class": "IN", "type": "A", "opcode": "Query", "opcode_id": 0 }, "query_time": 1761358379995, "rcode": "REFUSED", "rcode_id": 5, "response_time": 1761358379995, "severity": "Informational", "severity_id": 1, "start_time": 1761358379995, "status": "Failure", "status_id": 1, "time": 1761358379995, "type_name": "DNS Activity: Traffic", "type_uid": 400306 }
