Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Supervisión de la actividad y el rendimiento del DNS con Route 53 Global Resolver
Route 53 Global Resolver proporciona una visibilidad completa de la actividad del DNS en toda su organización, lo que le permite identificar las amenazas de seguridad, analizar el comportamiento de los dispositivos del cliente y mantener el cumplimiento. En este capítulo se describen las herramientas de supervisión disponibles y los procedimientos detallados para configurar la supervisión del DNS, configurar los destinos de registro y analizar los datos del DNS a fin de investigar las amenazas y optimizar el rendimiento.
AWS proporciona las siguientes herramientas de supervisión para ayudarle a mantener un servicio de DNS seguro y fiable:
+ *Amazon CloudWatch* rastrea los volúmenes de consultas de DNS, los tiempos de respuesta y los eventos de seguridad en tiempo real. Cree paneles para monitorear el rendimiento del DNS en todas las ubicaciones y configure alarmas que le notifiquen cuando el volumen de consultas aumente o los tiempos de respuesta aumenten según lo especificado. Para Route 53 Global Resolver, puede supervisar los volúmenes de consultas, los tiempos de respuesta y la actividad de filtrado. Para obtener más información, consulta la [Guía del CloudWatch usuario de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
+ *Amazon CloudWatch Logs* le permite supervisar, almacenar y acceder a sus archivos de registro desde instancias de Amazon EC2 y otras fuentes. CloudTrail Route 53 Global Resolver puede entregar los registros de consultas de DNS directamente a CloudWatch los registros para su monitoreo y análisis en tiempo real. También se pueden archivar los datos del registro en un almacenamiento de larga duración. Para obtener más información, consulta la [Guía del usuario CloudWatch de Amazon Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).
+ *Amazon* se EventBridge puede utilizar para automatizar sus AWS servicios y responder automáticamente a los eventos del sistema, como los problemas de disponibilidad de las aplicaciones o los cambios de recursos. Los eventos de AWS los servicios se entregan EventBridge prácticamente en tiempo real. Puede crear reglas sencillas para indicar qué eventos le resultan de interés, así como qué acciones automatizadas se van a realizar cuando un evento cumple una de las reglas. Para obtener más información, consulta la [Guía EventBridge del usuario de Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
+ *AWS CloudTrail*captura las llamadas a la API y los eventos relacionados realizados por su AWS cuenta o en su nombre y entrega los archivos de registro a un bucket de Amazon S3 que especifique. Puede identificar qué usuarios y cuentas llamaron AWS, la dirección IP de origen desde la que se realizaron las llamadas y cuándo se produjeron. Para obtener más información, consulte la [Guía del usuario de AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**Topics**
+ [Obtenga visibilidad sobre el DNS](gr-gain-visibility-into-dns-activity.md)
+ [Configuración de la supervisión de DNS](gr-configure-dns-monitoring.md)
# Obtenga visibilidad de la actividad de DNS con Route 53 Global Resolver
Route 53 Global Resolver ofrece capacidades integrales de registro de consultas de DNS para monitorear la actividad de los dispositivos del cliente e identificar las amenazas de seguridad. Habilite el registro de consultas de DNS en Route 53 Global Resolver para ver a qué sitios web acceden los dispositivos cliente, identificar posibles amenazas de seguridad y analizar los patrones de resolución de DNS. Los registros recopilan información completa sobre cada consulta, incluidas las políticas de seguridad que se aplicaron.
## ¿Qué información se captura en los registros de DNS
Cada entrada del registro de consultas de DNS proporciona información detallada sobre la actividad de los dispositivos del cliente y la aplicación de las políticas de seguridad:
+ **Información de consulta**: nombre de dominio, tipo de consulta, clase de consulta y protocolo utilizado
+ **Información del dispositivo del cliente**: dirección IP de origen, vista de DNS y método de autenticación
+ **Información de respuesta**: código de respuesta, registros de respuestas y tiempo de respuesta
+ **Acciones de seguridad**: coincidencias de las reglas del firewall, resultados de la detección de amenazas y medidas adoptadas
+ **Metadatos**: fecha y hora, identificador de resolución global, región e información de rastreo
## Formato OCSF para la integración de la seguridad
Los registros de consultas del DNS utilizan el Open Cybersecurity Schema Framework (OCSF), que proporciona un formato estandarizado para los datos de eventos de seguridad. Este formato permite:
+ **Análisis estandarizado**: esquema coherente en diferentes herramientas de seguridad
+ **Interoperabilidad mejorada**: fácil integración con SIEM y plataformas de análisis
+ **Correlación mejorada**: capacidad de correlacionar los eventos del DNS con otros datos de seguridad
+ **Compatibilidad futura:** Support para los requisitos de análisis de seguridad en evolución
### Ejemplos de formatos de registro OCSF
Los registros de consultas de DNS de Route 53 Global Resolver siguen la estructura del esquema OCSF y proporcionan información detallada sobre cada consulta, respuesta y acción de seguridad de DNS. Los siguientes ejemplos muestran el formato de registro de las consultas permitidas y denegadas.
#### Registro DNS de Route 53 Global Resolver: ejemplo de acceso permitido
En este ejemplo, se muestra una consulta de DNS que se permitió mediante reglas de firewall. El registro incluye detalles de consultas, información de respuesta y datos de enriquecimiento con identificadores específicos de Route 53 Global Resolver.
```
{
"action_id": 1,
"action_name": "Allowed",
"activity_id": 6,
"activity_name": "Traffic",
"category_name": "Network Activity",
"category_uid": 4,
"class_name": "DNS Activity",
"class_uid": 4003,
"cloud": {
"provider": "AWS",
"region": "us-east-1",
"account": {
"uid": "123456789012"
}
},
"connection_info": {
"direction": "Inbound",
"direction_id": 1,
"protocol_name": "udp",
"protocol_num": 17,
"protocol_ver": "",
"uid": "db21d1739ddb423a"
},
"duration": 1,
"end_time": 1761358379996,
"answers": [{
"rdata": "3.3.3.3",
"type": "A",
"class": "IN",
"ttl": 300
},
{
"rdata": "3.3.3.4",
"type": "A",
"class": "IN",
"ttl": 300
}],
"src_endpoint": {
"ip": "3.3.3.1",
"port": 56576
},
"enrichments": [{
"name": "global-resolver",
"value": "gr-a1b2c3d4fexample",
"data": {
"dns_view_id": "dnsv-a1b2c3d4fexample",
"firewall_rule_id": "fr-a1b2c3d4fexample",
"token_id": "t-a1b2c3d4fexample",
"token_name": "device-123456",
"token_expiration": "1789419206",
"access_source_cidr": "3.3.3.0/24",
}
}],
"message": "",
"metadata": {
"version": "1.2.0",
"product": {
"name": "Global Resolver",
"vendor_name": "AWS",
"feature": {
"name": "DNS"
}
}
},
"query": {
"hostname": "example.com.",
"class": "IN",
"type": "A",
"opcode": "Query",
"opcode_id": 0
},
"query_time": 1761358379995,
"rcode": "NOERROR",
"rcode_id": 0,
"response_time": 1761358379995,
"severity": "Informational",
"severity_id": 1,
"src_endpoint": {
"ip": "3.3.3.3",
"port": 28276
},
"start_time": 1761358379995,
"status": "Success",
"status_id": 1,
"time": 1761358379995,
"type_name": "DNS Activity: Traffic",
"type_uid": 400306
}
```
#### Registro DNS de Route 53 Global Resolver: ejemplo de acceso denegado
En este ejemplo, se muestra una consulta de DNS que estaba bloqueada por las reglas del firewall. El registro incluye la acción de denegación, una matriz de respuestas vacía y el código de respuesta REFUSED que indica que la consulta no se ha procesado.
```
{
"action_id": 2,
"action_name": "Denied",
"activity_id": 6,
"activity_name": "Traffic",
"category_name": "Network Activity",
"category_uid": 4,
"class_name": "DNS Activity",
"class_uid": 4003,
"cloud": {
"provider": "AWS",
"region": "us-west-2",
"account": {
"uid": "123456789012"
}
},
"connection_info": {
"direction": "Inbound",
"direction_id": 1,
"protocol_name": "tcp",
"protocol_num": 6,
"protocol_ver_id": 4,
"uid": "9fdc6fbc09794d5e"
},
"duration": 1,
"end_time": 1761358379996,
"answers": [],
"src_endpoint": {
"ip": "3.3.3.3",
"port": 28276
},
"enrichments": [
{
"name": "global-resolver",
"value": "gr-a1b2c3d4fexample",
"data": {
"dns_view_id": "dnsv-a1b2c3d4fexample",
"firewall_rule_id": "fr-a1b2c3d4fexample",
"token_id": "t-a1b2c3d4fexample",
"token_name": "device-123456",
"token_expiration": "1789419206",
"access_source_cidr": "3.3.3.0/24",
}
}
],
"message": "",
"metadata": {
"version": "1.2.0",
"product": {
"name": "Global Resolver",
"vendor_name": "AWS",
"feature": {
"name": "DNS"
}
}
},
"query": {
"hostname": "example.com.",
"class": "IN",
"type": "A",
"opcode": "Query",
"opcode_id": 0
},
"query_time": 1761358379995,
"rcode": "REFUSED",
"rcode_id": 5,
"response_time": 1761358379995,
"severity": "Informational",
"severity_id": 1,
"start_time": 1761358379995,
"status": "Failure",
"status_id": 1,
"time": 1761358379995,
"type_name": "DNS Activity: Traffic",
"type_uid": 400306
}
```
# Configure la supervisión y el registro de DNS con Route 53 Global Resolver
Configure la supervisión de DNS en Route 53 Global Resolver para capturar información detallada sobre las consultas, respuestas y acciones de seguridad de DNS. En esta sección, se describen los pasos para configurar los destinos de registro y las herramientas de supervisión.
## Configuración de la región de observabilidad
Antes de configurar el registro de DNS, debe establecer una región de observabilidad en la que se almacenarán los registros y las métricas. Esta región determina dónde se procesan y almacenan los datos de supervisión.
1. Abra la consola de Route 53 Global Resolver en [https://console.aws.amazon.com/route53globalresolver/](https://console.aws.amazon.com/route53globalresolver/).
1. En el panel de navegación, seleccione **Configuración**.
1. En la sección **Región de observabilidad**, elija **Establecer región.**
1. Seleccione la AWS región en la que desea almacenar los datos de monitoreo y, a continuación, elija **Establecer región**.
Después de configurar la región de observabilidad, puede configurar los destinos de entrega de registros en esa región.