기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Route 53 Global Resolver를 사용하여 DNS 활동 및 성능 모니터링
Route 53 Global Resolver는 조직 전체의 DNS 활동에 대한 포괄적인 가시성을 제공하므로 보안 위협을 식별하고, 클라이언트 디바이스 동작을 분석하고, 규정 준수를 유지할 수 있습니다. 이 장에서는 사용 가능한 모니터링 도구와 DNS 모니터링을 설정하고, 로깅 대상을 구성하고, DNS 데이터를 분석하여 위협을 조사하고, 성능을 최적화하기 위한 세부 절차를 모두 다룹니다.
AWS 는 안전하고 안정적인 DNS 서비스를 유지하는 데 도움이 되는 다음과 같은 모니터링 도구를 제공합니다.
+ *Amazon CloudWatch*는 DNS 쿼리 볼륨, 응답 시간 및 보안 이벤트를 실시간으로 추적합니다. 대시보드를 생성하여 위치 간 DNS 성능을 모니터링하고 지정한 쿼리 볼륨 스파이크 또는 응답 시간이 증가할 때 알려주는 경보를 설정합니다. Route 53 Global Resolver의 경우 쿼리 볼륨, 응답 시간 및 필터링 활동을 모니터링할 수 있습니다. 자세한 내용은 [Amazon CloudWatch 사용 설명서](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)를 참조하세요.
+ *Amazon CloudWatch Logs*로 Amazon EC2 인스턴스, CloudTrail, 기타 소스의 로그 파일을 모니터링, 저장 및 액세스할 수 있습니다. Route 53 Global Resolver는 실시간 모니터링 및 분석을 위해 DNS 쿼리 로그를 CloudWatch Logs에 직접 전송할 수 있습니다. 또한 매우 내구성이 뛰어난 스토리지에 로그 데이터를 저장할 수 있습니다. 자세한 내용은 [Amazon CloudWatch Logs 사용자 안내서](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)를 참조하세요.
+ *Amazon EventBridge*를 사용하여 AWS 서비스를 자동화하고 애플리케이션 가용성 문제 또는 리소스 변경과 같은 시스템 이벤트에 자동으로 대응할 수 있습니다. AWS 서비스의 이벤트는 거의 실시간으로 EventBridge로 전달됩니다. 원하는 이벤트만 표시하도록 간단한 규칙을 작성한 후 규칙과 일치하는 이벤트 발생 시 실행할 자동화 작업을 지정할 수 있습니다. 자세한 내용은 [Amazon EventBridge 사용 설명서](https://docs.aws.amazon.com/eventbridge/latest/userguide/)를 참조하세요.
+ *AWS CloudTrail*는 AWS 계정에서 또는 계정을 대신하여 수행한 API 호출 및 관련 이벤트를 캡처하고 지정한 Amazon S3 버킷에 로그 파일을 전송합니다. 호출한 사용자 및 계정 AWS, 호출이 수행된 소스 IP 주소, 호출이 발생한 시기를 식별할 수 있습니다. 자세한 내용은 [AWS CloudTrail 사용 설명서](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)를 참조하십시오.
**Topics**
+ [DNS 가시성 확보](gr-gain-visibility-into-dns-activity.md)
+ [DNS 모니터링 구성](gr-configure-dns-monitoring.md)
# Route 53 Global Resolver를 사용하여 DNS 활동에 대한 가시성 확보
Route 53 Global Resolver는 클라이언트 디바이스 활동을 모니터링하고 보안 위협을 식별하기 위한 포괄적인 DNS 쿼리 로깅 기능을 제공합니다. Route 53 Global Resolver에서 DNS 쿼리 로깅을 활성화하여 클라이언트 디바이스가 액세스하는 웹 사이트를 확인하고, 잠재적 보안 위협을 식별하고, DNS 확인 패턴을 분석합니다. 로그는 적용된 보안 정책을 포함하여 각 쿼리에 대한 포괄적인 정보를 캡처합니다.
## DNS 로그에 캡처되는 정보
각 DNS 쿼리 로그 항목은 클라이언트 디바이스 활동 및 보안 정책 적용에 대한 세부 정보를 제공합니다.
+ **쿼리 정보** - 도메인 이름, 쿼리 유형, 쿼리 클래스 및 사용된 프로토콜
+ **클라이언트 디바이스 정보** - 소스 IP 주소, DNS 보기 및 인증 방법
+ **응답 정보** - 응답 코드, 응답 레코드 및 응답 시간
+ **보안 작업** - 방화벽 규칙 일치, 위협 탐지 결과 및 취해진 조치
+ **메타데이터** - 타임스탬프, 글로벌 해석기 ID, 리전 및 추적 정보
## 보안 통합을 위한 OCSF 형식
DNS 쿼리 로그는 보안 이벤트 데이터에 대해 표준화된 형식을 제공하는 Open Cybersecurity Schema Framework(OCSF)를 사용합니다. 이 형식은 다음을 활성화합니다.
+ **표준화된 분석** - 다양한 보안 도구에서 일관된 스키마
+ **상호 운용성 개선** - SIEM 및 분석 플랫폼과의 간편한 통합
+ **향상된 상관 관계** - DNS 이벤트를 다른 보안 데이터와 상관시킬 수 있는 기능
+ **미래 호환성 **- 진화하는 보안 분석 요구 사항 지원
### OCSF 로그 형식 예제
Route 53 Global Resolver DNS 쿼리 로그는 OCSF 스키마 구조를 따르며 각 DNS 쿼리, 응답 및 보안 작업에 대한 자세한 정보를 제공합니다. 다음 예제에서는 허용된 쿼리와 거부된 쿼리의 로그 형식을 보여줍니다.
#### Route 53 Global Resolver DNS 로그 - 액세스 허용 예제
이 예제는 방화벽 규칙을 통해 허용된 DNS 쿼리를 보여줍니다. 로그에는 쿼리 세부 정보, 응답 정보 및 Route 53 Global Resolver별 식별자가 포함된 보강 데이터가 포함됩니다.
```
{
"action_id": 1,
"action_name": "Allowed",
"activity_id": 6,
"activity_name": "Traffic",
"category_name": "Network Activity",
"category_uid": 4,
"class_name": "DNS Activity",
"class_uid": 4003,
"cloud": {
"provider": "AWS",
"region": "us-east-1",
"account": {
"uid": "123456789012"
}
},
"connection_info": {
"direction": "Inbound",
"direction_id": 1,
"protocol_name": "udp",
"protocol_num": 17,
"protocol_ver": "",
"uid": "db21d1739ddb423a"
},
"duration": 1,
"end_time": 1761358379996,
"answers": [{
"rdata": "3.3.3.3",
"type": "A",
"class": "IN",
"ttl": 300
},
{
"rdata": "3.3.3.4",
"type": "A",
"class": "IN",
"ttl": 300
}],
"src_endpoint": {
"ip": "3.3.3.1",
"port": 56576
},
"enrichments": [{
"name": "global-resolver",
"value": "gr-a1b2c3d4fexample",
"data": {
"dns_view_id": "dnsv-a1b2c3d4fexample",
"firewall_rule_id": "fr-a1b2c3d4fexample",
"token_id": "t-a1b2c3d4fexample",
"token_name": "device-123456",
"token_expiration": "1789419206",
"access_source_cidr": "3.3.3.0/24",
}
}],
"message": "",
"metadata": {
"version": "1.2.0",
"product": {
"name": "Global Resolver",
"vendor_name": "AWS",
"feature": {
"name": "DNS"
}
}
},
"query": {
"hostname": "example.com.",
"class": "IN",
"type": "A",
"opcode": "Query",
"opcode_id": 0
},
"query_time": 1761358379995,
"rcode": "NOERROR",
"rcode_id": 0,
"response_time": 1761358379995,
"severity": "Informational",
"severity_id": 1,
"src_endpoint": {
"ip": "3.3.3.3",
"port": 28276
},
"start_time": 1761358379995,
"status": "Success",
"status_id": 1,
"time": 1761358379995,
"type_name": "DNS Activity: Traffic",
"type_uid": 400306
}
```
#### Route 53 Global Resolver DNS 로그 - 액세스 거부 예제
이 예제는 방화벽 규칙에 의해 차단된 DNS 쿼리를 보여줍니다. 로그에는 거부 작업, 빈 응답 배열, 쿼리가 처리되지 않았음을 나타내는 REFUSED 응답 코드가 포함됩니다.
```
{
"action_id": 2,
"action_name": "Denied",
"activity_id": 6,
"activity_name": "Traffic",
"category_name": "Network Activity",
"category_uid": 4,
"class_name": "DNS Activity",
"class_uid": 4003,
"cloud": {
"provider": "AWS",
"region": "us-west-2",
"account": {
"uid": "123456789012"
}
},
"connection_info": {
"direction": "Inbound",
"direction_id": 1,
"protocol_name": "tcp",
"protocol_num": 6,
"protocol_ver_id": 4,
"uid": "9fdc6fbc09794d5e"
},
"duration": 1,
"end_time": 1761358379996,
"answers": [],
"src_endpoint": {
"ip": "3.3.3.3",
"port": 28276
},
"enrichments": [
{
"name": "global-resolver",
"value": "gr-a1b2c3d4fexample",
"data": {
"dns_view_id": "dnsv-a1b2c3d4fexample",
"firewall_rule_id": "fr-a1b2c3d4fexample",
"token_id": "t-a1b2c3d4fexample",
"token_name": "device-123456",
"token_expiration": "1789419206",
"access_source_cidr": "3.3.3.0/24",
}
}
],
"message": "",
"metadata": {
"version": "1.2.0",
"product": {
"name": "Global Resolver",
"vendor_name": "AWS",
"feature": {
"name": "DNS"
}
}
},
"query": {
"hostname": "example.com.",
"class": "IN",
"type": "A",
"opcode": "Query",
"opcode_id": 0
},
"query_time": 1761358379995,
"rcode": "REFUSED",
"rcode_id": 5,
"response_time": 1761358379995,
"severity": "Informational",
"severity_id": 1,
"start_time": 1761358379995,
"status": "Failure",
"status_id": 1,
"time": 1761358379995,
"type_name": "DNS Activity: Traffic",
"type_uid": 400306
}
```
# Route 53 Global Resolver를 사용하여 DNS 모니터링 및 로깅 구성
Route 53 Global Resolver에서 DNS 모니터링을 구성하여 DNS 쿼리, 응답 및 보안 작업에 대한 세부 정보를 캡처합니다. 이 섹션에서는 로깅 대상을 설정하고 모니터링 도구를 구성하는 단계를 다룹니다.
## 관찰성 리전 설정
DNS 로깅을 구성하기 전에 로그와 지표가 저장될 관찰성 리전을 설정해야 합니다. 이 리전은 모니터링 데이터가 처리 및 저장되는 위치를 결정합니다.
1. [https://console.aws.amazon.com/route53globalresolver/](https://console.aws.amazon.com/route53globalresolver/) Route 53 Global Resolver 콘솔을 엽니다.
1. 탐색 창에서 **설정**을 선택합니다.
1. **관찰성 리전** 섹션에서 **리전 설정을** 선택합니다.
1. 모니터링 데이터를 저장할 AWS 리전을 선택한 다음 **리전 설정을** 선택합니다.
관찰성 리전을 설정한 후 해당 리전에서 로그 전송 대상을 구성할 수 있습니다.