As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Obtenha visibilidade da atividade de DNS com o Route 53 Global Resolver
O Route 53 Global Resolver fornece recursos abrangentes de registro de consultas de DNS para monitorar a atividade do dispositivo cliente e identificar ameaças à segurança. Ative o registro de consultas de DNS no Route 53 Global Resolver para ver quais sites os dispositivos clientes acessam, identificar possíveis ameaças à segurança e analisar padrões de resolução de DNS. Os registros capturam informações abrangentes sobre cada consulta, incluindo quais políticas de segurança foram aplicadas.
## Quais informações são capturadas nos registros de DNS
Cada entrada do registro de consultas DNS fornece informações detalhadas sobre a atividade do dispositivo cliente e a aplicação da política de segurança:
+ **Informações de consulta** - nome de domínio, tipo de consulta, classe de consulta e protocolo usados
+ **Informações do dispositivo cliente** - endereço IP de origem, visualização de DNS e método de autenticação
+ **Informações de resposta** - Código de resposta, registros de resposta e tempo de resposta
+ **Ações de segurança** - correspondências de regras de firewall, resultados de detecção de ameaças e ações tomadas
+ **Metadados**: registro de data e hora, ID global do resolvedor, região e informações de rastreamento
## Formato OCSF para integração de segurança
Os registros de consulta de DNS usam o Open Cybersecurity Schema Framework (OCSF), que fornece um formato padronizado para dados de eventos de segurança. Esse formato permite:
+ **Análise padronizada** - Esquema consistente em diferentes ferramentas de segurança
+ **Interoperabilidade aprimorada** - Fácil integração com plataformas de SIEM e análise
+ **Correlação aprimorada** - Capacidade de correlacionar eventos de DNS com outros dados de segurança
+ **Compatibilidade futura** - Support para requisitos de análise de segurança em evolução
### Exemplos de formato de log OCSF
Os registros de consulta DNS do Route 53 Global Resolver seguem a estrutura do esquema OCSF, fornecendo informações detalhadas sobre cada consulta, resposta e ação de segurança de DNS. Os exemplos a seguir mostram o formato de log para consultas permitidas e negadas.
#### Registro DNS do Route 53 Global Resolver - Exemplo de acesso permitido
Este exemplo mostra uma consulta de DNS que foi permitida por meio de regras de firewall. O registro inclui detalhes da consulta, informações de resposta e dados de enriquecimento com identificadores específicos do Route 53 Global Resolver.
```
{
"action_id": 1,
"action_name": "Allowed",
"activity_id": 6,
"activity_name": "Traffic",
"category_name": "Network Activity",
"category_uid": 4,
"class_name": "DNS Activity",
"class_uid": 4003,
"cloud": {
"provider": "AWS",
"region": "us-east-1",
"account": {
"uid": "123456789012"
}
},
"connection_info": {
"direction": "Inbound",
"direction_id": 1,
"protocol_name": "udp",
"protocol_num": 17,
"protocol_ver": "",
"uid": "db21d1739ddb423a"
},
"duration": 1,
"end_time": 1761358379996,
"answers": [{
"rdata": "3.3.3.3",
"type": "A",
"class": "IN",
"ttl": 300
},
{
"rdata": "3.3.3.4",
"type": "A",
"class": "IN",
"ttl": 300
}],
"src_endpoint": {
"ip": "3.3.3.1",
"port": 56576
},
"enrichments": [{
"name": "global-resolver",
"value": "gr-a1b2c3d4fexample",
"data": {
"dns_view_id": "dnsv-a1b2c3d4fexample",
"firewall_rule_id": "fr-a1b2c3d4fexample",
"token_id": "t-a1b2c3d4fexample",
"token_name": "device-123456",
"token_expiration": "1789419206",
"access_source_cidr": "3.3.3.0/24",
}
}],
"message": "",
"metadata": {
"version": "1.2.0",
"product": {
"name": "Global Resolver",
"vendor_name": "AWS",
"feature": {
"name": "DNS"
}
}
},
"query": {
"hostname": "example.com.",
"class": "IN",
"type": "A",
"opcode": "Query",
"opcode_id": 0
},
"query_time": 1761358379995,
"rcode": "NOERROR",
"rcode_id": 0,
"response_time": 1761358379995,
"severity": "Informational",
"severity_id": 1,
"src_endpoint": {
"ip": "3.3.3.3",
"port": 28276
},
"start_time": 1761358379995,
"status": "Success",
"status_id": 1,
"time": 1761358379995,
"type_name": "DNS Activity: Traffic",
"type_uid": 400306
}
```
#### Registro DNS do Route 53 Global Resolver - exemplo de acesso negado
Este exemplo mostra uma consulta de DNS que foi bloqueada pelas regras de firewall. O registro inclui a ação de negação, a matriz de respostas vazias e o código de resposta REFUSED indicando que a consulta não foi processada.
```
{
"action_id": 2,
"action_name": "Denied",
"activity_id": 6,
"activity_name": "Traffic",
"category_name": "Network Activity",
"category_uid": 4,
"class_name": "DNS Activity",
"class_uid": 4003,
"cloud": {
"provider": "AWS",
"region": "us-west-2",
"account": {
"uid": "123456789012"
}
},
"connection_info": {
"direction": "Inbound",
"direction_id": 1,
"protocol_name": "tcp",
"protocol_num": 6,
"protocol_ver_id": 4,
"uid": "9fdc6fbc09794d5e"
},
"duration": 1,
"end_time": 1761358379996,
"answers": [],
"src_endpoint": {
"ip": "3.3.3.3",
"port": 28276
},
"enrichments": [
{
"name": "global-resolver",
"value": "gr-a1b2c3d4fexample",
"data": {
"dns_view_id": "dnsv-a1b2c3d4fexample",
"firewall_rule_id": "fr-a1b2c3d4fexample",
"token_id": "t-a1b2c3d4fexample",
"token_name": "device-123456",
"token_expiration": "1789419206",
"access_source_cidr": "3.3.3.0/24",
}
}
],
"message": "",
"metadata": {
"version": "1.2.0",
"product": {
"name": "Global Resolver",
"vendor_name": "AWS",
"feature": {
"name": "DNS"
}
}
},
"query": {
"hostname": "example.com.",
"class": "IN",
"type": "A",
"opcode": "Query",
"opcode_id": 0
},
"query_time": 1761358379995,
"rcode": "REFUSED",
"rcode_id": 5,
"response_time": 1761358379995,
"severity": "Informational",
"severity_id": 1,
"start_time": 1761358379995,
"status": "Failure",
"status_id": 1,
"time": 1761358379995,
"type_name": "DNS Activity: Traffic",
"type_uid": 400306
}
```