Collecter les journaux DNS Akamai
Cet analyseur traite les journaux DNS Akamai. Il extrait des champs tels que les codes temporels, l'adresse IP et le port source, la requête, le type d'enregistrement DNS et les détails de la réponse. Il mappe ensuite ces champs sur l'UDM, en gérant différents types d'enregistrements DNS et d'enregistrements SPF potentiels. L'analyseur classe l'événement en tant que NETWORK_DNS
ou GENERIC_EVENT
en fonction de la présence d'informations principales.
Avant de commencer
- Assurez-vous de disposer d'une instance Google SecOps.
- Assurez-vous de disposer d'un accès privilégié à AWS IAM et S3.
- Assurez-vous que votre compte Akamai a accès au service de journalisation.
Configurer un bucket Amazon S3
- Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur: Créer un bucket.
- Enregistrez le nom et la région du bucket pour référence ultérieure.
- Créez un utilisateur en suivant ce guide de l'utilisateur: Créer un utilisateur IAM.
- Sélectionnez l'utilisateur créé.
- Sélectionnez l'onglet Informations d'identification de sécurité.
- Cliquez sur Créer une clé d'accès dans la section Clés d'accès.
- Sélectionnez Service tiers comme Cas d'utilisation.
- Cliquez sur Suivant.
- Facultatif: ajoutez une balise de description.
- Cliquez sur Créer une clé d'accès.
- Cliquez sur Download .csv file (Télécharger le fichier .csv), puis enregistrez la clé d'accès et la clé d'accès secrète pour référence ultérieure.
- Cliquez sur OK.
- Sélectionnez l'onglet Autorisations.
- Cliquez sur Ajouter des autorisations dans la section Règles d'autorisation.
- Sélectionnez Ajouter des autorisations.
- Sélectionnez Joindre directement des règles.
- Recherchez et sélectionnez la règle AmazonS3FullAccess.
- Cliquez sur Suivant.
- Cliquez sur Ajouter des autorisations.
Configurer le service de diffusion des journaux dans Akamai
- Connectez-vous au Control Center d'Akamai.
- Accédez à Service de diffusion des journaux sous Services de données.
- Cliquez sur Ajouter une configuration.
- Dans le champ Nom de la configuration, attribuez un nom à votre configuration (par exemple, Journaux DNS Edge vers S3).
- Sélectionnez DNS Edge comme Source des journaux.
- Sélectionnez AWS S3 comme Cible de diffusion.
- Spécifiez les informations suivantes :
- Nom du bucket: nom de votre bucket S3.
- Region (Région) : région AWS dans laquelle votre bucket est hébergé.
- ID de clé d'accès: ID de clé d'accès de l'utilisateur IAM.
- Clé d'accès secrète: clé d'accès secrète de l'utilisateur IAM.
- Facultatif: spécifiez la structure de répertoires. (par exemple,
logs/akamai-dns/YYYY/MM/DD/HH/
). - (Facultatif) Définissez la convention de nommage des fichiers. (par exemple,
edge-dns-logs-{timestamp}.log
).
- Sélectionnez les formats de journal que vous souhaitez inclure :
- Requêtes DNS
- Réponses DNS
- Sélectionnez la fréquence de diffusion :
- Vous pouvez choisir de les exporter toutes les heures, tous les jours ou lorsque la taille d'un fichier atteint une certaine valeur (par exemple, 100 Mo).
- (Facultatif) Cliquez sur Ajouter des filtres pour inclure ou exclure des journaux spécifiques en fonction de critères spécifiques (par exemple, le nom d'hôte ou le type d'enregistrement).
- Vérifiez les détails de la configuration, puis cliquez sur Enregistrer et activer.
Configurer un flux dans Google SecOps pour ingérer les journaux DNS Akamai
- Accédez à Paramètres du SIEM > Flux.
- Cliquez sur Ajouter.
- Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux DNS Akamai).
- Sélectionnez Amazon S3 comme Type de source.
- Sélectionnez DNS Akamai comme Type de journal.
- Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants:
- Region (Région) : région dans laquelle se trouve le bucket Amazon S3.
URI S3: URI du bucket.
s3://BUCKET_NAME
Remplacez les éléments suivants :
- BUCKET_NAME: nom du bucket.
L'URI est: sélectionnez
URI_TYPE
en fonction de la configuration du flux de journaux (Fichier unique | Dossier | Dossier incluant des sous-dossiers).Option de suppression de la source: sélectionnez l'option de suppression selon vos préférences.
ID de clé d'accès: clé d'accès utilisateur ayant accès au bucket S3.
Clé d'accès secrète: clé secrète de l'utilisateur ayant accès au bucket S3.
Espace de noms des éléments: espace de noms des éléments.
Libellés d'ingestion: libellé à appliquer aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux dans l'écran Finaliser, puis cliquez sur Envoyer.
Tableau de mappage UDM
Champ de journal | Mappage UDM | Logique |
---|---|---|
classe | read_only_udm.network.dns.questions.class |
Si class est "IN", définissez la valeur sur 1. Sinon, essayez de convertir en entier non signé. |
column11 | read_only_udm.target.hostname |
Mappé s'il contient un nom d'hôte et ne contient pas de modèles spécifiques tels que "ip4", "=", ".net" ou "10 mx0". Permet également d'extraire des adresses IP, des adresses e-mail et des données d'autorité DNS en fonction de divers modèles. |
column11 | read_only_udm.target.ip |
Extrait de la column11 s'il correspond au format des adresses IP dans les enregistrements SPF. |
column11 | read_only_udm.target.user.email_addresses |
Extrait de la column11 s'il correspond au format des adresses e-mail dans les enregistrements DMARC. |
column11 | read_only_udm.network.dns.authority.data |
Extrait de la column11 s'il correspond aux modèles de noms de domaine dans différents types d'enregistrements. |
column11 | read_only_udm.network.dns.response_code |
Définissez la valeur sur 3 si column11 contient "NXDOMAIN". |
column2 | read_only_udm.principal.ip |
Mappée si elle s'agit d'une adresse IP valide. |
column3 | read_only_udm.principal.port |
Mappé s'il s'agit d'un entier valide. |
column4 | read_only_udm.network.dns.questions.name |
Mappage direct. |
column6 | read_only_udm.network.dns.questions.type |
Mappé en fonction de la valeur de type, à l'aide d'une logique conditionnelle pour attribuer la valeur numérique correspondante. |
column8 | read_only_udm.network.sent_bytes |
Converti en entier sans signature et mappé. |
read_only_udm.metadata.event_timestamp |
Composée des champs date et heure extraits de la colonne1. | |
read_only_udm.event_type |
Définissez-le sur NETWORK_DNS si principal.ip est présent, sinon sur GENERIC_EVENT. |
|
read_only_udm.product_name |
Code dur en AKAMAI_DNS. | |
read_only_udm.vendor_name |
Code dur en AKAMAI_DNS. | |
read_only_udm.dataset |
Code dur en AKAMAI_DNS. | |
read_only_udm.event_subtype |
Code dur en DNS. |
Modifications
2024-05-28
- Correction d'un bug: ajout d'une fonction
gsub
pour supprimer les guillemets doubles du message de journal. - Ajout de modèles Grok pour valider les valeurs d'adresse IP et de port avant le mappage.