DNSDétails de l'événement d'alerte du pare-feu DNSDétails de l'événement de blocage du pare-feu

Référence détaillée des événements du DNS pare-feu Route 53 Resolver

Tous les événements issus AWS des services ont un ensemble commun de champs contenant des métadonnées relatives à l'événement, telles que le AWS service à l'origine de l'événement, l'heure à laquelle l'événement a été généré, le compte et la région dans lesquels l'événement a eu lieu, etc. Pour les définitions de ces champs généraux, voir la référence relative à la structure des événements dans le guide de Amazon EventBridge l'utilisateur.

En outre, chaque événement possède un champ detail qui contient des données spécifiques à cet événement en particulier. La référence ci-dessous définit les champs détaillés pour les différents événements du DNS pare-feu.

Lors EventBridge de l'utilisation pour sélectionner et gérer les événements du DNS pare-feu, il est utile de garder à l'esprit les points suivants :

Le source champ pour tous les événements du DNS Firewall est défini suraws.route53resolver.
Le champ detail-type indique le type d'événement.

Par exemple, DNS Firewall Block ou DNS Firewall Alert.
Le champ detail contient les données spécifiques à cet événement en particulier.

Pour plus d'informations sur la création de modèles d'événements permettant aux règles de correspondre aux événements du DNS pare-feu, consultez la section Modèles d'événements dans le guide de Amazon EventBridge l'utilisateur.

Pour plus d'informations sur les événements et leur EventBridge traitement, reportez-vous à la section Amazon EventBridge Événements du Guide de Amazon EventBridge l'utilisateur.

Rubriques

DNSDétails de l'événement d'alerte du pare-feu
DNSDétails de l'événement de blocage du pare-feu

DNSDétails de l'événement d'alerte du pare-feu

Vous trouverez ci-dessous les champs détaillés des événements relatifs à l'état de l'alerte.

Les detail-type champs source et sont inclus car ils contiennent des valeurs spécifiques pour les événements de la Route 53.


{...,
 "detail-type": "DNS Firewall Alert",
  "source": "aws.route53resolver",
 ...,
 "detail": {
      "account-id": "string",
      "last-observed-at": "string",
      "query-name": "string",
      "query-type": "string",
      "query-class": "string",
      "transport": "string",
      "firewall-rule-action": "string",
      "firewall-rule-group-id": "string",
      "firewall-domain-list-id": "string",
      "resources": [{
         "resource-type": "string",
         "instance-details": {
             "id": "string",
       }
     },
     { 
         "resource-type": "string",
         "resolver-endpoint-details": {
         "id": "string"
       }
     }
 ]

detail-type

Identifie le type d'événement.

Pour cet événement, cette valeur estDNS Firewall Alert.

source

Identifie le service qui a généré l'événement. Pour les événements de DNS pare-feu, cette valeur estaws.route53resolver.

detail

JSONObjet contenant des informations sur l'événement. Le service qui génère l'événement détermine le contenu de ce champ.

Pour cet événement, ces données incluent :

account-id: L'ID du Compte AWS qui a créé leVPC.
last-observed-at: L'horodatage de la requête d'alerte/de blocage a été effectuée dans le. VPC
query-name: Le nom de domaine (example.com) ou nom de sous-domaine (www.example.com) indiqué dans la requête.
query-type: Soit le type d'DNSenregistrement spécifié dans la demande, soitANY. Pour en savoir plus sur les types pris en charge par Route 53, veuillez consulter Types d'DNSenregistrements pris en charge.
query-class: La classe de la requête.
transport: Protocole utilisé pour soumettre la DNS requête.
firewall-rule-action: L'action indiquée par la règle qui correspond au nom de domaine de la requête. ALERT ou BLOCK.
firewall-rule-group-id: ID du groupe de règles de DNS pare-feu correspondant au nom de domaine indiqué dans la requête. Pour plus d'informations sur les groupes de règles de pare-feu, consultez DNS Pare-feuDNSGroupes de règles et règles de pare-feu.
firewall-domain-list-id: La liste des domaines indiquée par la règle qui correspond au nom de domaine de la requête.
resourcese: Contient les types de ressources et des informations supplémentaires les concernant.
resource-type: Spécifie le type de ressource, tel qu'un point de terminaison du résolveur ou une VPC instance.
resource-type-detail: Informations supplémentaires sur la ressource.

Exemple DNSÉvénement d'alerte de pare-feu

Voici un exemple d'événement d'alerte.


{
 "version": "1.0",
 "id": "8e5622f9-d81c-4d81-612a-9319e7ee2506",
 "detail-type": "DNS Firewall Alert",
 "source": "aws.route53resolver",
 "account": "123456789012",
 "time": "2023-05-30T21:52:17Z",
 "region": "us-west-2",
 "resources": [],
 "detail": {
 "account-id": "123456789012",
 "last-observed-at": "2023-05-30T20:15:15.900Z",
 "query-name": "15.3.4.32.in-addr.arpa.",
 "query-type": "A",
 "query-class": "IN",
 "transport": "UDP",
 "firewall-rule-action": "ALERT",
 "firewall-rule-group-id": "rslvr-frg-01234567890abcdef",
 "firewall-domain-list-id": "rslvr-fdl-01234567890abcdef",
 "resources": [{
      "resource-type": "instance",
      "instance-details": {
         "id": "i-05746eb48123455e0",
       }
     },
     { 
      "resource-type": "resolver-endpoint",
      "resolver-endpoint-details": {
         "id": "i-05746eb48123455e0"
       }
     }
 ],
"src-addr": "4.5.64.102",
"src-port": "56067",
"vpc-id": "vpc-7example"
 }
}

DNSDétails de l'événement de blocage du pare-feu

Vous trouverez ci-dessous les champs de détail pourevent name.

Les detail-type champs source et sont inclus car ils contiennent des valeurs spécifiques pour les événements de la Route 53.


{...,
 "detail-type": "DNS Firewall Block",
  "source": "aws.route53resolver",
 ...,
 "detail": {
      "account-id": "string",
      "last-observed-at": "string",
      "query-name": "string",
      "query-type": "string",
      "query-class": "string",
      "transport": "string",
      "firewall-rule-action": "string",
      "firewall-rule-group-id": "string",
      "firewall-domain-list-id": "string",
      "resources": [{
         "resource-type": "string",
         "instance-details": {
             "id": "string",
       }
     },
     { 
         "resource-type": "string",
         "resolver-endpoint-details": {
         "id": "string"
       }
     }
 ]

detail-type

Identifie le type d'événement.

Pour cet événement, cette valeur estDNS Firewall Alert.

source

Identifie le service qui a généré l'événement. Pour les événements de DNS pare-feu, cette valeur estaws.route53resolver.

detail

JSONObjet contenant des informations sur l'événement. Le service qui génère l'événement détermine le contenu de ce champ.

Pour cet événement, ces données incluent :

account-id: L'ID du Compte AWS qui a créé leVPC.
last-observed-at: L'horodatage de la requête d'alerte/de blocage a été effectuée dans le. VPC
query-name: Le nom de domaine (example.com) ou nom de sous-domaine (www.example.com) indiqué dans la requête.
query-type: Soit le type d'DNSenregistrement spécifié dans la demande, soitANY. Pour en savoir plus sur les types pris en charge par Route 53, veuillez consulter Types d'DNSenregistrements pris en charge.
query-class: La classe de la requête.
transport: Protocole utilisé pour soumettre la DNS requête.
firewall-rule-action: L'action indiquée par la règle qui correspond au nom de domaine de la requête. ALERT ou BLOCK.
firewall-rule-group-id: ID du groupe de règles de DNS pare-feu correspondant au nom de domaine indiqué dans la requête. Pour plus d'informations sur les groupes de règles de pare-feu, consultez DNS Pare-feuDNSGroupes de règles et règles de pare-feu.
firewall-domain-list-id: La liste des domaines indiquée par la règle qui correspond au nom de domaine de la requête.
resourcese: Contient les types de ressources et des informations supplémentaires les concernant.
resource-type: Spécifie le type de ressource, tel qu'un point de terminaison du résolveur ou une VPC instance.
resource-type-detail: Informations supplémentaires sur la ressource.

Exemple d’évènement

Voici un exemple d'événement de blocage.


{
 "version": "1.0",
 "id": "8e5622f9-d81c-4d81-612a-9319e7ee2506",
 "detail-type": "DNS Firewall Block",
 "source": "aws.route53resolver",
 "account": "123456789012",
 "time": "2023-05-30T21:52:17Z",
 "region": "us-west-2",
 "resources": [],
 "detail": {
 "account-id": "123456789012",
 "last-observed-at": "2023-05-30T20:15:15.900Z",
 "query-name": "15.3.4.32.in-addr.arpa.",
 "query-type": "A",
 "query-class": "IN",
 "transport": "UDP",
 "firewall-rule-action": "BLOCK",
 "firewall-rule-group-id": "rslvr-frg-01234567890abcdef",
 "firewall-domain-list-id": "rslvr-fdl-01234567890abcdef",
 "resources": [{
      "resource-type": "instance",
      "instance-details": {
         "id": "i-05746eb48123455e0"
       }
     },
     { 
      "resource-type": "resolver-endpoint",
      "resolver-endpoint-details": {
         "id": "i-05746eb48123455e0",
       }
     }
 ],
"src-addr": "4.5.64.102",
"src-port": "56067",
"vpc-id": "vpc-7example"
 }
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Gestion des événements DNS du pare-feu à l'aide de EventBridge

Enregistrement des API appels Amazon Route 53 avec AWS CloudTrail