As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Obtenha visibilidade da atividade de DNS com o Route 53 Global Resolver
O Route 53 Global Resolver fornece recursos abrangentes de registro de consultas de DNS para monitorar a atividade do dispositivo cliente e identificar ameaças à segurança. Ative o registro de consultas de DNS no Route 53 Global Resolver para ver quais sites os dispositivos clientes acessam, identificar possíveis ameaças à segurança e analisar padrões de resolução de DNS. Os registros capturam informações abrangentes sobre cada consulta, incluindo quais políticas de segurança foram aplicadas.
Quais informações são capturadas nos registros de DNS
Cada entrada do registro de consultas DNS fornece informações detalhadas sobre a atividade do dispositivo cliente e a aplicação da política de segurança:
-
Informações de consulta - nome de domínio, tipo de consulta, classe de consulta e protocolo usados
-
Informações do dispositivo cliente - endereço IP de origem, visualização de DNS e método de autenticação
-
Informações de resposta - Código de resposta, registros de resposta e tempo de resposta
-
Ações de segurança - correspondências de regras de firewall, resultados de detecção de ameaças e ações tomadas
-
Metadados: registro de data e hora, ID global do resolvedor, região e informações de rastreamento
Formato OCSF para integração de segurança
Os registros de consulta de DNS usam o Open Cybersecurity Schema Framework (OCSF), que fornece um formato padronizado para dados de eventos de segurança. Esse formato permite:
-
Análise padronizada - Esquema consistente em diferentes ferramentas de segurança
-
Interoperabilidade aprimorada - Fácil integração com plataformas de SIEM e análise
-
Correlação aprimorada - Capacidade de correlacionar eventos de DNS com outros dados de segurança
-
Compatibilidade futura - Support para requisitos de análise de segurança em evolução
Exemplos de formato de log OCSF
Os registros de consulta DNS do Route 53 Global Resolver seguem a estrutura do esquema OCSF, fornecendo informações detalhadas sobre cada consulta, resposta e ação de segurança de DNS. Os exemplos a seguir mostram o formato de log para consultas permitidas e negadas.
Registro DNS do Route 53 Global Resolver - Exemplo de acesso permitido
Este exemplo mostra uma consulta de DNS que foi permitida por meio de regras de firewall. O registro inclui detalhes da consulta, informações de resposta e dados de enriquecimento com identificadores específicos do Route 53 Global Resolver.
{ "action_id": 1, "action_name": "Allowed", "activity_id": 6, "activity_name": "Traffic", "category_name": "Network Activity", "category_uid": 4, "class_name": "DNS Activity", "class_uid": 4003, "cloud": { "provider": "AWS", "region": "us-east-1", "account": { "uid": "123456789012" } }, "connection_info": { "direction": "Inbound", "direction_id": 1, "protocol_name": "udp", "protocol_num": 17, "protocol_ver": "", "uid": "db21d1739ddb423a" }, "duration": 1, "end_time": 1761358379996, "answers": [{ "rdata": "3.3.3.3", "type": "A", "class": "IN", "ttl": 300 }, { "rdata": "3.3.3.4", "type": "A", "class": "IN", "ttl": 300 }], "src_endpoint": { "ip": "3.3.3.1", "port": 56576 }, "enrichments": [{ "name": "global-resolver", "value": "gr-a1b2c3d4fexample", "data": { "dns_view_id": "dnsv-a1b2c3d4fexample", "firewall_rule_id": "fr-a1b2c3d4fexample", "token_id": "t-a1b2c3d4fexample", "token_name": "device-123456", "token_expiration": "1789419206", } }], "message": "", "metadata": { "version": "1.2.0", "product": { "name": "Global Resolver", "vendor_name": "AWS", "feature": { "name": "DNS" } } }, "query": { "hostname": "example.com.", "class": "IN", "type": "A", "opcode": "Query", "opcode_id": 0 }, "query_time": 1761358379995, "rcode": "NOERROR", "rcode_id": 0, "response_time": 1761358379995, "severity": "Informational", "severity_id": 1, "src_endpoint": { "ip": "3.3.3.3", "port": 28276 }, "start_time": 1761358379995, "status": "Success", "status_id": 1, "time": 1761358379995, "type_name": "DNS Activity: Traffic", "type_uid": 400306 }
Registro DNS do Route 53 Global Resolver - exemplo de acesso negado
Este exemplo mostra uma consulta de DNS que foi bloqueada pelas regras de firewall. O registro inclui a ação de negação, a matriz de respostas vazias e o código de resposta REFUSED indicando que a consulta não foi processada.
{ "action_id": 2, "action_name": "Denied", "activity_id": 6, "activity_name": "Traffic", "category_name": "Network Activity", "category_uid": 4, "class_name": "DNS Activity", "class_uid": 4003, "cloud": { "provider": "AWS", "region": "us-west-2", "account": { "uid": "123456789012" } }, "connection_info": { "direction": "Inbound", "direction_id": 1, "protocol_name": "tcp", "protocol_num": 6, "protocol_ver_id": 4, "uid": "9fdc6fbc09794d5e" }, "duration": 1, "end_time": 1761358379996, "answers": [], "src_endpoint": { "ip": "3.3.3.3", "port": 28276 }, "enrichments": [ { "name": "global-resolver", "value": "gr-a1b2c3d4fexample", "data": { "dns_view_id": "dnsv-a1b2c3d4fexample", "firewall_rule_id": "fr-a1b2c3d4fexample", "token_id": "t-a1b2c3d4fexample", "token_name": "device-123456", "token_expiration": "1789419206", } } ], "message": "", "metadata": { "version": "1.2.0", "product": { "name": "Global Resolver", "vendor_name": "AWS", "feature": { "name": "DNS" } } }, "query": { "hostname": "example.com.", "class": "IN", "type": "A", "opcode": "Query", "opcode_id": 0 }, "query_time": 1761358379995, "rcode": "REFUSED", "rcode_id": 5, "response_time": 1761358379995, "severity": "Informational", "severity_id": 1, "start_time": 1761358379995, "status": "Failure", "status_id": 1, "time": 1761358379995, "type_name": "DNS Activity: Traffic", "type_uid": 400306 }
