Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Überwachung der DNS-Aktivität und -Leistung mit Route 53 Global Resolver
Route 53 Global Resolver bietet umfassende Einblicke in die DNS-Aktivitäten in Ihrem Unternehmen und ermöglicht es Ihnen, Sicherheitsbedrohungen zu identifizieren, das Verhalten von Client-Geräten zu analysieren und die Einhaltung von Vorschriften sicherzustellen. In diesem Kapitel werden sowohl die verfügbaren Überwachungstools als auch detaillierte Verfahren für die Einrichtung der DNS-Überwachung, die Konfiguration von Protokollierungszielen und die Analyse von DNS-Daten zur Untersuchung von Bedrohungen und zur Leistungsoptimierung beschrieben.
AWS stellt diese Überwachungstools zur Verfügung, mit denen Sie einen sicheren und zuverlässigen DNS-Dienst aufrechterhalten können:
+ *Amazon CloudWatch* verfolgt DNS-Abfragevolumen, Antwortzeiten und Sicherheitsereignisse in Echtzeit. Erstellen Sie Dashboards, um die DNS-Leistung standortübergreifend zu überwachen, und richten Sie Alarme ein, um Sie zu benachrichtigen, wenn das Abfragevolumen steigt oder sich die von Ihnen angegebenen Antwortzeiten verlängern. Für Route 53 Global Resolver können Sie das Abfragevolumen, die Antwortzeiten und die Filteraktivität überwachen. Weitere Informationen finden Sie im [ CloudWatch Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
+ Mit *Amazon CloudWatch Logs* können Sie Ihre Protokolldateien von Amazon EC2 EC2-Instances und anderen Quellen überwachen CloudTrail, speichern und darauf zugreifen. Route 53 Global Resolver kann CloudWatch DNS-Abfrageprotokolle zur Überwachung und Analyse in Echtzeit direkt an Logs übermitteln. Sie können Ihre Protokolldaten auch in einem sehr robusten Speicher archivieren. Weitere Informationen finden Sie im [Amazon CloudWatch Logs-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).
+ *Amazon EventBridge* kann verwendet werden, um Ihre AWS Services zu automatisieren und automatisch auf Systemereignisse wie Probleme mit der Anwendungsverfügbarkeit oder Ressourcenänderungen zu reagieren. Ereignisse im AWS Rahmen von Services werden nahezu EventBridge in Echtzeit zugestellt. Sie können einfache Regeln schreiben, um anzugeben, welche Ereignisse für Sie interessant sind und welche automatisierten Aktionen ausgeführt werden sollen, wenn ein Ereignis mit einer Regel übereinstimmt. Weitere Informationen finden Sie im [ EventBridge Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
+ *AWS CloudTrail*erfasst API-Aufrufe und zugehörige Ereignisse, die von oder im Namen Ihres AWS Kontos getätigt wurden, und übermittelt die Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Aufrufe erfolgten. Weitere Informationen finden Sie im [AWS CloudTrail -Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**Topics**
+ [Gewinnen Sie DNS-Sichtbarkeit](gr-gain-visibility-into-dns-activity.md)
+ [Konfigurieren der DNS-Überwachung](gr-configure-dns-monitoring.md)
# Verschaffen Sie sich mit Route 53 Global Resolver einen Überblick über die DNS-Aktivitäten
Route 53 Global Resolver bietet umfassende Funktionen zur Protokollierung von DNS-Abfragen, um die Aktivität von Client-Geräten zu überwachen und Sicherheitsbedrohungen zu identifizieren. Aktivieren Sie die DNS-Abfrageprotokollierung in Route 53 Global Resolver, um zu sehen, auf welche Websites Client-Geräte zugreifen, um potenzielle Sicherheitsbedrohungen zu identifizieren und DNS-Auflösungsmuster zu analysieren. In den Protokollen werden umfassende Informationen zu jeder Abfrage erfasst, einschließlich der angewendeten Sicherheitsrichtlinien.
## Welche Informationen werden in DNS-Protokollen erfasst
Jeder DNS-Abfrageprotokolleintrag enthält detaillierte Informationen zur Aktivität auf Client-Geräten und zur Durchsetzung von Sicherheitsrichtlinien:
+ **Abfrageinformationen** — Domänenname, Abfragetyp, Abfrageklasse und verwendetes Protokoll
+ **Informationen zum Client-Gerät** — Quell-IP-Adresse, DNS-Ansicht und Authentifizierungsmethode
+ **Antwortinformationen** — Antwortcode, Antwortdatensätze und Antwortzeit
+ **Sicherheitsaktionen** — Übereinstimmungen mit Firewallregeln, Ergebnisse der Bedrohungserkennung und ergriffene Maßnahmen
+ **Metadaten** — Zeitstempel, globale Resolver-ID, Region und Ablaufverfolgungsinformationen
## OCSF-Format für die Sicherheitsintegration
DNS-Abfrageprotokolle verwenden das Open Cybersecurity Schema Framework (OCSF), das ein standardisiertes Format für Daten zu Sicherheitsereignissen bietet. Dieses Format ermöglicht:
+ **Standardisierte Analyse** — Konsistentes Schema für verschiedene Sicherheitstools
+ **Verbesserte Interoperabilität** — Einfache Integration mit SIEM- und Analyseplattformen
+ **Verbesserte Korrelation** — Fähigkeit, DNS-Ereignisse mit anderen Sicherheitsdaten zu korrelieren
+ **Zukünftige Kompatibilität** — Support für sich ändernde Sicherheitsanalyseanforderungen
### Beispiele für das OCSF-Protokollformat
Route 53 Global Resolver DNS-Abfrageprotokolle folgen der OCSF-Schemastruktur und bieten detaillierte Informationen zu jeder DNS-Abfrage, Antwort und Sicherheitsaktion. Die folgenden Beispiele zeigen das Protokollformat für zulässige und abgelehnte Abfragen.
#### Route 53 Global Resolver DNS-Protokoll — Beispiel für erlaubten Zugriff
Dieses Beispiel zeigt eine DNS-Abfrage, die durch Firewallregeln zugelassen wurde. Das Protokoll enthält Abfragedetails, Antwortinformationen und Anreicherungsdaten mit Route 53 Global Resolver-spezifischen Identifikatoren.
```
{
"action_id": 1,
"action_name": "Allowed",
"activity_id": 6,
"activity_name": "Traffic",
"category_name": "Network Activity",
"category_uid": 4,
"class_name": "DNS Activity",
"class_uid": 4003,
"cloud": {
"provider": "AWS",
"region": "us-east-1",
"account": {
"uid": "123456789012"
}
},
"connection_info": {
"direction": "Inbound",
"direction_id": 1,
"protocol_name": "udp",
"protocol_num": 17,
"protocol_ver": "",
"uid": "db21d1739ddb423a"
},
"duration": 1,
"end_time": 1761358379996,
"answers": [{
"rdata": "3.3.3.3",
"type": "A",
"class": "IN",
"ttl": 300
},
{
"rdata": "3.3.3.4",
"type": "A",
"class": "IN",
"ttl": 300
}],
"src_endpoint": {
"ip": "3.3.3.1",
"port": 56576
},
"enrichments": [{
"name": "global-resolver",
"value": "gr-a1b2c3d4fexample",
"data": {
"dns_view_id": "dnsv-a1b2c3d4fexample",
"firewall_rule_id": "fr-a1b2c3d4fexample",
"token_id": "t-a1b2c3d4fexample",
"token_name": "device-123456",
"token_expiration": "1789419206",
"access_source_cidr": "3.3.3.0/24",
}
}],
"message": "",
"metadata": {
"version": "1.2.0",
"product": {
"name": "Global Resolver",
"vendor_name": "AWS",
"feature": {
"name": "DNS"
}
}
},
"query": {
"hostname": "example.com.",
"class": "IN",
"type": "A",
"opcode": "Query",
"opcode_id": 0
},
"query_time": 1761358379995,
"rcode": "NOERROR",
"rcode_id": 0,
"response_time": 1761358379995,
"severity": "Informational",
"severity_id": 1,
"src_endpoint": {
"ip": "3.3.3.3",
"port": 28276
},
"start_time": 1761358379995,
"status": "Success",
"status_id": 1,
"time": 1761358379995,
"type_name": "DNS Activity: Traffic",
"type_uid": 400306
}
```
#### Route 53 Global Resolver DNS-Protokoll — Beispiel für Zugriff verweigert
Dieses Beispiel zeigt eine DNS-Abfrage, die durch Firewallregeln blockiert wurde. Das Protokoll enthält die Ablehnungsaktion, ein leeres Antwortfeld und den REFUSED-Antwortcode, der angibt, dass die Abfrage nicht verarbeitet wurde.
```
{
"action_id": 2,
"action_name": "Denied",
"activity_id": 6,
"activity_name": "Traffic",
"category_name": "Network Activity",
"category_uid": 4,
"class_name": "DNS Activity",
"class_uid": 4003,
"cloud": {
"provider": "AWS",
"region": "us-west-2",
"account": {
"uid": "123456789012"
}
},
"connection_info": {
"direction": "Inbound",
"direction_id": 1,
"protocol_name": "tcp",
"protocol_num": 6,
"protocol_ver_id": 4,
"uid": "9fdc6fbc09794d5e"
},
"duration": 1,
"end_time": 1761358379996,
"answers": [],
"src_endpoint": {
"ip": "3.3.3.3",
"port": 28276
},
"enrichments": [
{
"name": "global-resolver",
"value": "gr-a1b2c3d4fexample",
"data": {
"dns_view_id": "dnsv-a1b2c3d4fexample",
"firewall_rule_id": "fr-a1b2c3d4fexample",
"token_id": "t-a1b2c3d4fexample",
"token_name": "device-123456",
"token_expiration": "1789419206",
"access_source_cidr": "3.3.3.0/24",
}
}
],
"message": "",
"metadata": {
"version": "1.2.0",
"product": {
"name": "Global Resolver",
"vendor_name": "AWS",
"feature": {
"name": "DNS"
}
}
},
"query": {
"hostname": "example.com.",
"class": "IN",
"type": "A",
"opcode": "Query",
"opcode_id": 0
},
"query_time": 1761358379995,
"rcode": "REFUSED",
"rcode_id": 5,
"response_time": 1761358379995,
"severity": "Informational",
"severity_id": 1,
"start_time": 1761358379995,
"status": "Failure",
"status_id": 1,
"time": 1761358379995,
"type_name": "DNS Activity: Traffic",
"type_uid": 400306
}
```
# Konfigurieren Sie die DNS-Überwachung und -Protokollierung mit Route 53 Global Resolver
Konfigurieren Sie die DNS-Überwachung in Route 53 Global Resolver, um detaillierte Informationen zu DNS-Abfragen, Antworten und Sicherheitsaktionen zu erfassen. In diesem Abschnitt werden die Schritte zum Einrichten von Protokollierungszielen und zum Konfigurieren von Überwachungstools beschrieben.
## Einstellung der Observability-Region
Bevor Sie die DNS-Protokollierung konfigurieren, müssen Sie eine Observability-Region festlegen, in der Protokolle und Metriken gespeichert werden. Diese Region legt fest, wo Ihre Überwachungsdaten verarbeitet und gespeichert werden.
1. Öffnen Sie die Route 53 Global Resolver-Konsole unter [https://console.aws.amazon.com/route53globalresolver/](https://console.aws.amazon.com/route53globalresolver/).
1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).
1. Wählen Sie im Abschnitt **Observability-Region** die Option Region **festlegen** aus.
1. Wählen Sie die AWS Region aus, in der Sie die Monitoring-Daten speichern möchten, und wählen Sie dann **Region festlegen** aus.
Nachdem Sie die Observability-Region festgelegt haben, können Sie die Ziele für die Protokollzustellung in dieser Region konfigurieren.