Recopila registros de DNS de Akamai

Compatible con:

Este analizador procesa los registros DNS de Akamai. Extrae campos como marcas de tiempo, IP y puerto de origen, consulta, tipo de registro DNS y detalles de la respuesta. Luego, asigna estos campos a la UDM, administrando varios tipos de registros DNS y posibles registros SPF. El analizador clasifica el evento como NETWORK_DNS o GENERIC_EVENT según la presencia de información principal.

Antes de comenzar

  • Asegúrate de tener una instancia de Google SecOps.
  • Asegúrate de tener acceso con privilegios a AWS IAM y S3.
  • Asegúrate de que tu cuenta de Akamai tenga acceso al servicio de entrega de registros.

Configura un bucket de Amazon S3

  1. Crea un bucket de Amazon S3 siguiendo esta guía del usuario: Cómo crear un bucket
  2. Guarda el Nombre y la Región del bucket para usarlos como referencia en el futuro.
  3. Crea un usuario siguiendo esta guía del usuario: Cómo crear un usuario de IAM.
  4. Selecciona el Usuario creado.
  5. Selecciona la pestaña Credenciales de seguridad.
  6. Haz clic en Crear clave de acceso en la sección Claves de acceso.
  7. Selecciona Servicio de terceros como Caso de uso.
  8. Haz clic en Siguiente.
  9. Opcional: Agrega una etiqueta de descripción.
  10. Haz clic en Crear clave de acceso.
  11. Haz clic en Descargar archivo .csv y guarda la clave de acceso y la clave de acceso secreta para consultarlas en el futuro.
  12. Haz clic en Listo.
  13. Selecciona la pestaña Permisos.
  14. Haz clic en Agregar permisos en la sección Políticas de permisos.
  15. Selecciona Agregar permisos.
  16. Selecciona Adjuntar políticas directamente.
  17. Busca y selecciona la política AmazonS3FullAccess.
  18. Haz clic en Siguiente.
  19. Haz clic en Agregar permisos.

Configura el servicio de entrega de registros en Akamai

  1. Accede al Control Center de Akamai.
  2. Ve a Servicio de entrega de registros en Servicios de datos.
  3. Haz clic en Add New Configuration.
  4. En el campo Nombre de la configuración, proporciona un nombre para tu configuración (por ejemplo, Registros de DNS de Edge a S3).
  5. Selecciona DNS de Edge como Fuente de registro.
  6. Selecciona AWS S3 como el objetivo de publicación.
  7. Proporciona los siguientes detalles:
    • Nombre del bucket: Es el nombre de tu bucket de S3.
    • Región: Es la región de AWS en la que se aloja tu bucket.
    • ID de clave de acceso: Es el ID de clave de acceso del usuario de IAM.
    • Clave de acceso secreta: Es la clave de acceso secreta del usuario de IAM.
    • Opcional: Especifica la estructura de directorios. (por ejemplo, logs/akamai-dns/YYYY/MM/DD/HH/).
    • Opcional: Establece la Convención de nomenclatura de archivos. (por ejemplo, edge-dns-logs-{timestamp}.log).
  8. Selecciona los Formatos de registro que deseas incluir:
    • Consultas de DNS
    • Respuestas de DNS
  9. Elige la frecuencia de publicación:
    • Las opciones incluyen por hora, a diario o cuando se alcanza un tamaño de archivo determinado (por ejemplo, 100 MB).
  10. Opcional: Haz clic en Agregar filtros para incluir o excluir registros específicos según criterios específicos (por ejemplo, el nombre de host o el tipo de registro).
  11. Revisa los detalles de la configuración y haz clic en Guardar y activar.

Configura un feed en Google SecOps para transferir registros de DNS de Akamai

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de DNS de Akamai).
  4. Selecciona Amazon S3 como el Tipo de fuente.
  5. Selecciona DNS de Akamai como el Tipo de registro.
  6. Haz clic en Siguiente.
  7. Especifica valores para los siguientes parámetros de entrada:

    • Región: Es la región en la que se encuentra el bucket de Amazon S3.
    • URI de S3: Es el URI del bucket.

      • s3://BUCKET_NAME

      Reemplaza lo siguiente:

      • BUCKET_NAME: Es el nombre del bucket.
    • URI es un: Selecciona el URI_TYPE según la configuración del flujo de registros (Archivo único | Directorio | Directorio que incluye subdirectorios).

    • Opción de eliminación de la fuente: Selecciona la opción de eliminación según tu preferencia.

    • ID de clave de acceso: Es la clave de acceso del usuario con acceso al bucket de S3.

    • Clave de acceso secreta: Es la clave secreta del usuario con acceso al bucket de S3.

    • Espacio de nombres de recursos: Es el espacio de nombres de recursos.

    • Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.

  8. Haz clic en Siguiente.

  9. Revisa la configuración de tu nuevo feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
class read_only_udm.network.dns.questions.class Si class es "IN", configúralo como 1. De lo contrario, intenta la conversión a número entero sin signo.
column11 read_only_udm.target.hostname Se asigna si contiene un nombre de host y no patrones específicos, como "ip4", "=", ".net" o "10 mx0". También se usa para extraer direcciones IP, direcciones de correo electrónico y datos de autoridad de DNS según varios patrones.
column11 read_only_udm.target.ip Se extrae de column11 si coincide con el patrón de direcciones IP dentro de los registros SPF.
column11 read_only_udm.target.user.email_addresses Se extrae de column11 si coincide con el patrón de las direcciones de correo electrónico dentro de los registros DMARC.
column11 read_only_udm.network.dns.authority.data Se extrae de column11 si coincide con patrones de nombres de dominio dentro de varios tipos de registros.
column11 read_only_udm.network.dns.response_code Establece en 3 si column11 contiene "NXDOMAIN".
column2 read_only_udm.principal.ip Se asigna si es una dirección IP válida.
column3 read_only_udm.principal.port Se asigna si es un número entero válido.
column4 read_only_udm.network.dns.questions.name Se asignan directamente.
column6 read_only_udm.network.dns.questions.type Se asignan según el valor de type y se usa lógica condicional para asignar el valor numérico correspondiente.
column8 read_only_udm.network.sent_bytes Se convirtió en un número entero sin signo y se asignó.
read_only_udm.metadata.event_timestamp Se construye a partir de los campos date y time extraídos de column1.
read_only_udm.event_type Se establece en NETWORK_DNS si principal.ip está presente; de lo contrario, se establece en GENERIC_EVENT.
read_only_udm.product_name Está codificado de forma fija en AKAMAI_DNS.
read_only_udm.vendor_name Está codificado de forma fija en AKAMAI_DNS.
read_only_udm.dataset Está codificado de forma fija en AKAMAI_DNS.
read_only_udm.event_subtype Se codifica en DNS.

Cambios

2024-05-28

  • Se corrigió un error: Se agregó una función gsub para quitar las comillas dobles del mensaje de registro.
  • Se agregaron patrones de Grok para validar los valores de la dirección IP y el puerto antes de la asignación.