Akamai-DNS-Logs erfassen

Unterstützt in:

Dieser Parser verarbeitet Akamai-DNS-Logs. Es werden Felder wie Zeitstempel, Quell-IP und -Port, Abfrage, DNS-Eintragstyp und Antwortdetails extrahiert. Diese Felder werden dann dem UDM zugeordnet. Dabei werden verschiedene DNS-Eintragstypen und potenzielle SPF-Einträge berücksichtigt. Der Parser klassifiziert das Ereignis je nach Vorhandensein von Hauptinformationen als NETWORK_DNS oder GENERIC_EVENT.

Hinweis

  • Sie benötigen eine Google SecOps-Instanz.
  • Sie benötigen Berechtigungen für AWS IAM und S3.
  • Ihr Akamai-Konto muss Zugriff auf den Log Delivery Service haben.

Amazon S3-Bucket konfigurieren

  1. Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu dieser Anleitung: Bucket erstellen.
  2. Notieren Sie sich den Namen und die Region des Buckets für später.
  3. Erstellen Sie einen Nutzer. Folgen Sie dazu der Anleitung unter IAM-Nutzer erstellen.
  4. Wählen Sie den erstellten Nutzer aus.
  5. Wählen Sie den Tab Sicherheitsanmeldedaten aus.
  6. Klicken Sie im Bereich Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
  7. Wählen Sie als Anwendungsfall Drittanbieterdienst aus.
  8. Klicken Sie auf Weiter.
  9. Optional: Fügen Sie ein Beschreibungs-Tag hinzu.
  10. Klicken Sie auf Zugriffsschlüssel erstellen.
  11. Klicken Sie auf CSV-Datei herunterladen und speichern Sie den Zugriffsschlüssel und den geheimen Zugriffsschlüssel für später.
  12. Klicken Sie auf Fertig.
  13. Wählen Sie den Tab Berechtigungen aus.
  14. Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
  15. Wählen Sie Berechtigungen hinzufügen aus.
  16. Wählen Sie Richtlinien direkt anhängen aus.
  17. Suchen Sie nach der Richtlinie AmazonS3FullAccess und wählen Sie sie aus.
  18. Klicken Sie auf Weiter.
  19. Klicken Sie auf Berechtigungen hinzufügen.

Log Delivery Service in Akamai konfigurieren

  1. Melden Sie sich im Akamai Control Center an.
  2. Klicken Sie unter Datendienste auf Log Delivery Service.
  3. Klicken Sie auf Neue Konfiguration hinzufügen.
  4. Geben Sie im Feld Konfigurationsname einen Namen für die Konfiguration ein, z. B. Edge-DNS-Protokolle an S3.
  5. Wählen Sie Edge-DNS als Protokollquelle aus.
  6. Wähle AWS S3 als Bereitstellungsziel aus.
  7. Geben Sie die folgenden Informationen ein:
    • Bucket-Name: Der Name Ihres S3-Buckets.
    • Region: Die AWS-Region, in der Ihr Bucket gehostet wird.
    • Zugriffsschlüssel-ID: Die Zugriffsschlüssel-ID des IAM-Nutzers.
    • Secret Access Key: Der geheime Zugriffsschlüssel des IAM-Nutzers.
    • Optional: Geben Sie die Verzeichnisstruktur an. (Zum Beispiel: logs/akamai-dns/YYYY/MM/DD/HH/).
    • Optional: Legen Sie die Dateinamenskonvention fest. (Zum Beispiel: edge-dns-logs-{timestamp}.log).
  8. Wählen Sie die Protokollformate aus, die Sie einschließen möchten:
    • DNS-Abfragen
    • DNS-Antworten
  9. Wählen Sie die Auslieferungshäufigkeit aus:
    • Mögliche Optionen sind stündlich, täglich oder bei Erreichen einer bestimmten Dateigröße (z. B. 100 MB).
  10. Optional: Klicken Sie auf Filter hinzufügen, um bestimmte Protokolle anhand bestimmter Kriterien (z. B. Hostname oder Datensatztyp) ein- oder auszuschließen.
  11. Prüfen Sie die Konfigurationsdetails und klicken Sie auf Speichern und aktivieren.

Feed in Google SecOps für die Aufnahme von Akamai-DNS-Logs konfigurieren

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Akamai-DNS-Protokolle.
  4. Wählen Sie als Quelltyp Amazon S3 aus.
  5. Wählen Sie Akamai DNS als Logtyp aus.
  6. Klicken Sie auf Weiter.

  7. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Region: die Region, in der sich der Amazon S3-Bucket befindet.

    • S3-URI: der Bucket-URI.

      • s3://BUCKET_NAME

      Ersetzen Sie Folgendes:

      • BUCKET_NAME: Der Name des Buckets.

    • URI ist: Wählen Sie die URI_TYPE entsprechend der Konfiguration des Protokollstreams aus (Einzeldatei | Verzeichnis | Verzeichnis mit Unterverzeichnissen).

    • Option zum Löschen der Quelle: Wählen Sie die gewünschte Option zum Löschen aus.

    • Access Key ID: Der Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.

    • Secret Access Key: Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.

    • Asset-Namespace: der Asset-Namespace.

    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

  8. Klicken Sie auf Weiter.

  9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm „Abschließen“ und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
class read_only_udm.network.dns.questions.class Wenn class „IN“ ist, setzen Sie den Wert auf 1. Andernfalls wird versucht, eine Umwandlung in eine positive Ganzzahl vorzunehmen.
column11 read_only_udm.target.hostname Wird zugeordnet, wenn er einen Hostnamen und keine bestimmten Muster wie „ip4“, „=“, „.net“ oder „10 mx0“ enthält. Wird auch zum Extrahieren von IP-Adressen, E-Mail-Adressen und DNS-Behördendaten anhand verschiedener Muster verwendet.
column11 read_only_udm.target.ip Wird aus column11 extrahiert, wenn sie mit dem Muster für IP-Adressen in SPF-Einträgen übereinstimmt.
column11 read_only_udm.target.user.email_addresses Wird aus column11 extrahiert, wenn sie mit dem Muster für E-Mail-Adressen in DMARC-Einträgen übereinstimmt.
column11 read_only_udm.network.dns.authority.data Wird aus column11 extrahiert, wenn es mit Mustern für Domainnamen in verschiedenen Datensatztypen übereinstimmt.
column11 read_only_udm.network.dns.response_code Wird auf „3“ gesetzt, wenn column11 „NXDOMAIN“ enthält.
column2 read_only_udm.principal.ip Wird zugeordnet, wenn es sich um eine gültige IP-Adresse handelt.
column3 read_only_udm.principal.port Wird zugeordnet, wenn es sich um eine gültige Ganzzahl handelt.
column4 read_only_udm.network.dns.questions.name Direkt zugeordnet.
column6 read_only_udm.network.dns.questions.type Die Zuordnung erfolgt basierend auf dem Wert von type. Der entsprechende numerische Wert wird mithilfe von bedingten Logikregeln zugewiesen.
column8 read_only_udm.network.sent_bytes In eine vorzeichenlose Ganzzahl umgewandelt und zugeordnet.
read_only_udm.metadata.event_timestamp Erstellt aus den Feldern Datum und Uhrzeit, die aus Spalte1 extrahiert wurden.
read_only_udm.event_type Legen Sie NETWORK_DNS fest, wenn principal.ip vorhanden ist, andernfalls GENERIC_EVENT.
read_only_udm.product_name Hartcodiert auf AKAMAI_DNS.
read_only_udm.vendor_name Hartcodiert auf AKAMAI_DNS.
read_only_udm.dataset Hartcodiert auf AKAMAI_DNS.
read_only_udm.event_subtype Hartcodiert auf DNS.

Änderungen

2024-05-28

  • Fehlerbehebung: Es wurde eine gsub-Funktion hinzugefügt, um doppelte Anführungszeichen aus der Protokollmeldung zu entfernen.
  • Es wurden Grok-Muster hinzugefügt, um IP-Adressen und Portwerte vor der Zuordnung zu validieren.