Détails de l'événement d'alerte du pare-feu DNS Détails de l'événement de blocage du pare-feu DNS

Référence détaillée des événements du pare-feu DNS Route 53 Resolver

Tous les événements issus AWS des services ont un ensemble commun de champs contenant des métadonnées relatives à l'événement, telles que le AWS service à l'origine de l'événement, l'heure à laquelle l'événement a été généré, le compte et la région dans lesquels l'événement a eu lieu, etc. Pour les définitions de ces champs généraux, voir la référence relative à la structure des événements dans le guide de Amazon EventBridge l'utilisateur.

En outre, chaque événement possède un champ detail qui contient des données spécifiques à cet événement en particulier. La référence ci-dessous définit les champs détaillés des différents événements du pare-feu DNS.

Lorsque vous l'utilisez EventBridge pour sélectionner et gérer les événements du pare-feu DNS, il est utile de garder à l'esprit les points suivants :

Le source champ pour tous les événements du pare-feu DNS est défini suraws.route53resolver.
Le champ detail-type indique le type d'événement.

Par exemple, DNS Firewall Block ou DNS Firewall Alert.
Le champ detail contient les données spécifiques à cet événement en particulier.

Pour plus d'informations sur la création de modèles d'événements permettant aux règles de correspondre aux événements du pare-feu DNS, consultez la section Modèles d'événements dans le guide de Amazon EventBridge l'utilisateur.

Pour plus d'informations sur les événements et leur EventBridge traitement, reportez-vous à la section Amazon EventBridge Événements du Guide de Amazon EventBridge l'utilisateur.

Rubriques

Détails de l'événement d'alerte du pare-feu DNS
Détails de l'événement de blocage du pare-feu DNS

Détails de l'événement d'alerte du pare-feu DNS

Vous trouverez ci-dessous les champs détaillés des événements relatifs à l'état de l'alerte.

Les detail-type champs source et sont inclus car ils contiennent des valeurs spécifiques pour les événements de la Route 53.


{...,
 "detail-type": "DNS Firewall Alert",
  "source": "aws.route53resolver",
 ...,
 "detail": {
      "account-id": "string",
      "last-observed-at": "string",
      "query-name": "string",
      "query-type": "string",
      "query-class": "string",
      "transport": "string",
      "firewall-rule-action": "string",
      "firewall-rule-group-id": "string",
      "firewall-domain-list-id": "string",
      "resources": [{
         "resource-type": "string",
         "instance-details": {
             "id": "string",
       }
     },
     { 
         "resource-type": "string",
         "resolver-endpoint-details": {
         "id": "string"
       }
     }
 ]

detail-type

Identifie le type d'événement.

Pour cet événement, cette valeur estDNS Firewall Alert.

source

Identifie le service qui a généré l'événement. Pour les événements du pare-feu DNS, cette valeur estaws.route53resolver.

detail

Un objet JSON qui contient des informations sur l'événement. Le service qui génère l'événement détermine le contenu de ce champ.

Pour cet événement, ces données incluent :

account-id: L'ID du Compte AWS qui a créé le VPC.
last-observed-at: Horodatage indiquant le moment où la requête d'alerte/de blocage a été effectuée dans le VPC.
query-name: Le nom de domaine (example.com) ou nom de sous-domaine (www.example.com) indiqué dans la requête.
query-type: Soit le type d'enregistrement DNS spécifié dans la demande, soit ANY. Pour en savoir plus sur les types pris en charge par Route 53, veuillez consulter Types d'enregistrements DNS pris en charge.
query-class: La classe de la requête.
transport: Le protocole utilisé pour soumettre la requête DNS.
firewall-rule-action: L'action indiquée par la règle qui correspond au nom de domaine de la requête. ALERT ou BLOCK.
firewall-rule-group-id: L'ID du groupe de règles de pare-feu DNS correspondant au nom de domaine de la requête. Pour plus d'informations sur les groupes de règles de pare-feu, consultez la section Pare-feu DNSRègles et groupes de règles de pare-feu DNS.
firewall-domain-list-id: La liste des domaines indiquée par la règle qui correspond au nom de domaine de la requête.
resourcese: Contient les types de ressources et des informations supplémentaires les concernant.
resource-type: Spécifie le type de ressource, tel qu'un point de terminaison du résolveur ou une instance VPC.
resource-type-detail: Informations supplémentaires sur la ressource.

Exemple Événement d'alerte du pare-feu DNS

Voici un exemple d'événement d'alerte.


{
 "version": "1.0",
 "id": "8e5622f9-d81c-4d81-612a-9319e7ee2506",
 "detail-type": "DNS Firewall Alert",
 "source": "aws.route53resolver",
 "account": "123456789012",
 "time": "2023-05-30T21:52:17Z",
 "region": "us-west-2",
 "resources": [],
 "detail": {
 "account-id": "123456789012",
 "last-observed-at": "2023-05-30T20:15:15.900Z",
 "query-name": "15.3.4.32.in-addr.arpa.",
 "query-type": "A",
 "query-class": "IN",
 "transport": "UDP",
 "firewall-rule-action": "ALERT",
 "firewall-rule-group-id": "rslvr-frg-01234567890abcdef",
 "firewall-domain-list-id": "rslvr-fdl-01234567890abcdef",
 "resources": [{
      "resource-type": "instance",
      "instance-details": {
         "id": "i-05746eb48123455e0",
       }
     },
     { 
      "resource-type": "resolver-endpoint",
      "resolver-endpoint-details": {
         "id": "i-05746eb48123455e0"
       }
     }
 ],
"src-addr": "4.5.64.102",
"src-port": "56067",
"vpc-id": "vpc-7example"
 }
}

Détails de l'événement de blocage du pare-feu DNS

Vous trouverez ci-dessous les champs détaillés du nom de l'événement.

Les detail-type champs source et sont inclus car ils contiennent des valeurs spécifiques pour les événements de la Route 53.


{...,
 "detail-type": "DNS Firewall Block",
  "source": "aws.route53resolver",
 ...,
 "detail": {
      "account-id": "string",
      "last-observed-at": "string",
      "query-name": "string",
      "query-type": "string",
      "query-class": "string",
      "transport": "string",
      "firewall-rule-action": "string",
      "firewall-rule-group-id": "string",
      "firewall-domain-list-id": "string",
      "resources": [{
         "resource-type": "string",
         "instance-details": {
             "id": "string",
       }
     },
     { 
         "resource-type": "string",
         "resolver-endpoint-details": {
         "id": "string"
       }
     }
 ]

detail-type

Identifie le type d'événement.

Pour cet événement, cette valeur estDNS Firewall Alert.

source

Identifie le service qui a généré l'événement. Pour les événements du pare-feu DNS, cette valeur estaws.route53resolver.

detail

Un objet JSON qui contient des informations sur l'événement. Le service qui génère l'événement détermine le contenu de ce champ.

Pour cet événement, ces données incluent :

account-id: L'ID du Compte AWS qui a créé le VPC.
last-observed-at: Horodatage indiquant le moment où la requête d'alerte/de blocage a été effectuée dans le VPC.
query-name: Le nom de domaine (example.com) ou nom de sous-domaine (www.example.com) indiqué dans la requête.
query-type: Soit le type d'enregistrement DNS spécifié dans la demande, soit ANY. Pour en savoir plus sur les types pris en charge par Route 53, veuillez consulter Types d'enregistrements DNS pris en charge.
query-class: La classe de la requête.
transport: Le protocole utilisé pour soumettre la requête DNS.
firewall-rule-action: L'action indiquée par la règle qui correspond au nom de domaine de la requête. ALERT ou BLOCK.
firewall-rule-group-id: L'ID du groupe de règles de pare-feu DNS correspondant au nom de domaine de la requête. Pour plus d'informations sur les groupes de règles de pare-feu, consultez la section Pare-feu DNSRègles et groupes de règles de pare-feu DNS.
firewall-domain-list-id: La liste des domaines indiquée par la règle qui correspond au nom de domaine de la requête.
resourcese: Contient les types de ressources et des informations supplémentaires les concernant.
resource-type: Spécifie le type de ressource, tel qu'un point de terminaison du résolveur ou une instance VPC.
resource-type-detail: Informations supplémentaires sur la ressource.

Exemple d’évènement

Voici un exemple d'événement de blocage.


{
 "version": "1.0",
 "id": "8e5622f9-d81c-4d81-612a-9319e7ee2506",
 "detail-type": "DNS Firewall Block",
 "source": "aws.route53resolver",
 "account": "123456789012",
 "time": "2023-05-30T21:52:17Z",
 "region": "us-west-2",
 "resources": [],
 "detail": {
 "account-id": "123456789012",
 "last-observed-at": "2023-05-30T20:15:15.900Z",
 "query-name": "15.3.4.32.in-addr.arpa.",
 "query-type": "A",
 "query-class": "IN",
 "transport": "UDP",
 "firewall-rule-action": "BLOCK",
 "firewall-rule-group-id": "rslvr-frg-01234567890abcdef",
 "firewall-domain-list-id": "rslvr-fdl-01234567890abcdef",
 "resources": [{
      "resource-type": "instance",
      "instance-details": {
         "id": "i-05746eb48123455e0"
       }
     },
     { 
      "resource-type": "resolver-endpoint",
      "resolver-endpoint-details": {
         "id": "i-05746eb48123455e0",
       }
     }
 ],
"src-addr": "4.5.64.102",
"src-port": "56067",
"vpc-id": "vpc-7example"
 }
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Gestion des événements du pare-feu DNS à l'aide de EventBridge

Journalisation des appels d'API Amazon Route 53 avec AWS CloudTrail