翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Route 53 Global Resolver による DNS アクティビティとパフォーマンスのモニタリング
Route 53 Global Resolver は、組織全体の DNS アクティビティを包括的に可視化し、セキュリティ脅威の特定、クライアントデバイスの動作の分析、コンプライアンスの維持を可能にします。この章では、DNS モニタリングの設定、ログ記録の送信先の設定、DNS データの分析に関する利用可能なモニタリングツールと詳細な手順の両方について説明し、脅威を調査してパフォーマンスを最適化します。
AWS には、安全で信頼性の高い DNS サービスの維持に役立つ以下のモニタリングツールが用意されています。
+ *Amazon CloudWatch* は、DNS クエリボリューム、応答時間、セキュリティイベントをリアルタイムで追跡します。ロケーション間で DNS パフォーマンスをモニタリングするダッシュボードを作成し、指定したクエリボリュームのスパイクや応答時間が長くなったときに通知するアラームを設定します。Route 53 Global Resolver では、クエリボリューム、応答時間、フィルタリングアクティビティをモニタリングできます。詳細については、「[Amazon CloudWatch ユーザーガイド](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)」を参照してください。
+ *Amazon CloudWatch Logs* では、Amazon EC2 インスタンス、CloudTrail、その他ソースから得たログファイルのモニタリング、保存、およびアクセスが可能です。Route 53 Global Resolver は、DNS クエリログを CloudWatch Logs に直接配信して、リアルタイムのモニタリングと分析を行うことができます。高い耐久性を備えたストレージにログデータをアーカイブすることもできます。詳細については、「[Amazon CloudWatch Logs ユーザーガイド](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)」を参照してください。
+ *Amazon EventBridge* を使用して AWS サービスを自動化し、アプリケーションの可用性の問題やリソースの変更などのシステムイベントに自動的に対応できます。 AWS サービスからのイベントは、ほぼリアルタイムで EventBridge に配信されます。簡単なルールを記述して、注目するイベントと、イベントがルールに一致した場合に自動的に実行するアクションを指定できます。詳細については、「[Amazon EventBridge ユーザーガイド](https://docs.aws.amazon.com/eventbridge/latest/userguide/)」を参照してください。
+ *AWS CloudTrail* は、 AWS アカウントによって、またはアカウントに代わって行われた API コールおよび関連イベントをキャプチャし、指定した Amazon S3 バケットにログファイルを配信します。呼び出し元のユーザーとアカウント AWS、呼び出し元の送信元 IP アドレス、呼び出しの発生日時を特定できます。詳細については、「[AWS CloudTrail ユーザーガイド](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)」を参照してください。
**Topics**
+ [DNS の可視性を取得する](gr-gain-visibility-into-dns-activity.md)
+ [DNS モニタリングの設定](gr-configure-dns-monitoring.md)
# Route 53 Global Resolver を使用して DNS アクティビティを可視化する
Route 53 Global Resolver は、クライアントデバイスのアクティビティをモニタリングし、セキュリティの脅威を特定するための包括的な DNS クエリログ記録機能を提供します。Route 53 Global Resolver で DNS クエリログ記録を有効にして、クライアントデバイスがアクセスするウェブサイトを確認し、潜在的なセキュリティ脅威を特定し、DNS 解決パターンを分析します。ログは、どのセキュリティポリシーが適用されたかなど、各クエリに関する包括的な情報をキャプチャします。
## DNS ログにキャプチャされる情報
各 DNS クエリログエントリは、クライアントデバイスのアクティビティとセキュリティポリシーの適用に関する詳細情報を提供します。
+ **クエリ情報** - ドメイン名、クエリタイプ、クエリクラス、および使用されるプロトコル
+ **クライアントデバイス情報** - ソース IP アドレス、DNS ビュー、認証方法
+ **応答情報** - 応答コード、応答レコード、応答時間
+ **セキュリティアクション** - ファイアウォールルールの一致、脅威検出結果、実行されたアクション
+ **メタデータ** - タイムスタンプ、グローバルリゾルバー ID、リージョン、トレース情報
## セキュリティ統合用の OCSF 形式
DNS クエリログは、セキュリティイベントデータの標準化された形式を提供する Open Cybersecurity Schema Framework (OCSF) を使用します。この形式により、以下が可能になります。
+ **標準化された分析** - さまざまなセキュリティツールにまたがる一貫したスキーマ
+ **相互運用性の向上** - SIEM および分析プラットフォームとの簡単な統合
+ **相関の強化** - DNS イベントを他のセキュリティデータと相関させる機能
+ **将来の互換性** - 進化するセキュリティ分析要件のサポート
### OCSF ログ形式の例
Route 53 Global Resolver DNS クエリログは OCSF スキーマ構造に従い、各 DNS クエリ、レスポンス、セキュリティアクションに関する詳細情報を提供します。次の例は、許可されたクエリと拒否されたクエリのログ形式を示しています。
#### Route 53 Global Resolver DNS ログ - アクセス許可の例
この例では、ファイアウォールルールを通じて許可された DNS クエリを示しています。ログには、Route 53 Global Resolver 固有の識別子を含むクエリの詳細、レスポンス情報、エンリッチメントデータが含まれます。
```
{
"action_id": 1,
"action_name": "Allowed",
"activity_id": 6,
"activity_name": "Traffic",
"category_name": "Network Activity",
"category_uid": 4,
"class_name": "DNS Activity",
"class_uid": 4003,
"cloud": {
"provider": "AWS",
"region": "us-east-1",
"account": {
"uid": "123456789012"
}
},
"connection_info": {
"direction": "Inbound",
"direction_id": 1,
"protocol_name": "udp",
"protocol_num": 17,
"protocol_ver": "",
"uid": "db21d1739ddb423a"
},
"duration": 1,
"end_time": 1761358379996,
"answers": [{
"rdata": "3.3.3.3",
"type": "A",
"class": "IN",
"ttl": 300
},
{
"rdata": "3.3.3.4",
"type": "A",
"class": "IN",
"ttl": 300
}],
"src_endpoint": {
"ip": "3.3.3.1",
"port": 56576
},
"enrichments": [{
"name": "global-resolver",
"value": "gr-a1b2c3d4fexample",
"data": {
"dns_view_id": "dnsv-a1b2c3d4fexample",
"firewall_rule_id": "fr-a1b2c3d4fexample",
"token_id": "t-a1b2c3d4fexample",
"token_name": "device-123456",
"token_expiration": "1789419206",
"access_source_cidr": "3.3.3.0/24",
}
}],
"message": "",
"metadata": {
"version": "1.2.0",
"product": {
"name": "Global Resolver",
"vendor_name": "AWS",
"feature": {
"name": "DNS"
}
}
},
"query": {
"hostname": "example.com.",
"class": "IN",
"type": "A",
"opcode": "Query",
"opcode_id": 0
},
"query_time": 1761358379995,
"rcode": "NOERROR",
"rcode_id": 0,
"response_time": 1761358379995,
"severity": "Informational",
"severity_id": 1,
"src_endpoint": {
"ip": "3.3.3.3",
"port": 28276
},
"start_time": 1761358379995,
"status": "Success",
"status_id": 1,
"time": 1761358379995,
"type_name": "DNS Activity: Traffic",
"type_uid": 400306
}
```
#### Route 53 Global Resolver DNS ログ - アクセス拒否の例
この例では、ファイアウォールルールによってブロックされた DNS クエリを示しています。ログには、拒否アクション、空の回答配列、およびクエリが処理されなかったことを示す REFUSED レスポンスコードが含まれます。
```
{
"action_id": 2,
"action_name": "Denied",
"activity_id": 6,
"activity_name": "Traffic",
"category_name": "Network Activity",
"category_uid": 4,
"class_name": "DNS Activity",
"class_uid": 4003,
"cloud": {
"provider": "AWS",
"region": "us-west-2",
"account": {
"uid": "123456789012"
}
},
"connection_info": {
"direction": "Inbound",
"direction_id": 1,
"protocol_name": "tcp",
"protocol_num": 6,
"protocol_ver_id": 4,
"uid": "9fdc6fbc09794d5e"
},
"duration": 1,
"end_time": 1761358379996,
"answers": [],
"src_endpoint": {
"ip": "3.3.3.3",
"port": 28276
},
"enrichments": [
{
"name": "global-resolver",
"value": "gr-a1b2c3d4fexample",
"data": {
"dns_view_id": "dnsv-a1b2c3d4fexample",
"firewall_rule_id": "fr-a1b2c3d4fexample",
"token_id": "t-a1b2c3d4fexample",
"token_name": "device-123456",
"token_expiration": "1789419206",
"access_source_cidr": "3.3.3.0/24",
}
}
],
"message": "",
"metadata": {
"version": "1.2.0",
"product": {
"name": "Global Resolver",
"vendor_name": "AWS",
"feature": {
"name": "DNS"
}
}
},
"query": {
"hostname": "example.com.",
"class": "IN",
"type": "A",
"opcode": "Query",
"opcode_id": 0
},
"query_time": 1761358379995,
"rcode": "REFUSED",
"rcode_id": 5,
"response_time": 1761358379995,
"severity": "Informational",
"severity_id": 1,
"start_time": 1761358379995,
"status": "Failure",
"status_id": 1,
"time": 1761358379995,
"type_name": "DNS Activity: Traffic",
"type_uid": 400306
}
```
# Route 53 Global Resolver で DNS モニタリングとログ記録を設定する
Route 53 Global Resolver で DNS モニタリングを設定して、DNS クエリ、レスポンス、セキュリティアクションに関する詳細情報をキャプチャします。このセクションでは、ログ記録の送信先を設定し、モニタリングツールを設定する手順について説明します。
## オブザーバビリティリージョンの設定
DNS ログ記録を設定する前に、ログとメトリクスが保存されるオブザーバビリティリージョンを設定する必要があります。このリージョンによって、モニタリングデータが処理および保存される場所が決まります。
1. [https://console.aws.amazon.com/route53globalresolver/](https://console.aws.amazon.com/route53globalresolver/) で Route 53 Global Resolver コンソールを開きます。
1. ナビゲーションペインで **[設定]** を選択します。
1. **「オブザーバビリティリージョン**」セクションで、**「リージョンの設定**」を選択します。
1. モニタリングデータを保存する AWS リージョンを選択し、**リージョンの設定**を選択します。
オブザーバビリティリージョンを設定したら、そのリージョンでログ配信先を設定できます。