Collecter les journaux DNS Akamai

Compatible avec:

Cet analyseur traite les journaux DNS Akamai. Il extrait des champs tels que les codes temporels, l'adresse IP et le port source, la requête, le type d'enregistrement DNS et les détails de la réponse. Il mappe ensuite ces champs sur l'UDM, en gérant différents types d'enregistrements DNS et d'enregistrements SPF potentiels. L'analyseur classe l'événement en tant que NETWORK_DNS ou GENERIC_EVENT en fonction de la présence d'informations principales.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google SecOps.
  • Assurez-vous de disposer d'un accès privilégié à AWS IAM et S3.
  • Assurez-vous que votre compte Akamai a accès au service de journalisation.

Configurer un bucket Amazon S3

  1. Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur: Créer un bucket.
  2. Enregistrez le nom et la région du bucket pour référence ultérieure.
  3. Créez un utilisateur en suivant ce guide de l'utilisateur: Créer un utilisateur IAM.
  4. Sélectionnez l'utilisateur créé.
  5. Sélectionnez l'onglet Informations d'identification de sécurité.
  6. Cliquez sur Créer une clé d'accès dans la section Clés d'accès.
  7. Sélectionnez Service tiers comme Cas d'utilisation.
  8. Cliquez sur Suivant.
  9. Facultatif: ajoutez une balise de description.
  10. Cliquez sur Créer une clé d'accès.
  11. Cliquez sur Download .csv file (Télécharger le fichier .csv), puis enregistrez la clé d'accès et la clé d'accès secrète pour référence ultérieure.
  12. Cliquez sur OK.
  13. Sélectionnez l'onglet Autorisations.
  14. Cliquez sur Ajouter des autorisations dans la section Règles d'autorisation.
  15. Sélectionnez Ajouter des autorisations.
  16. Sélectionnez Joindre directement des règles.
  17. Recherchez et sélectionnez la règle AmazonS3FullAccess.
  18. Cliquez sur Suivant.
  19. Cliquez sur Ajouter des autorisations.

Configurer le service de diffusion des journaux dans Akamai

  1. Connectez-vous au Control Center d'Akamai.
  2. Accédez à Service de diffusion des journaux sous Services de données.
  3. Cliquez sur Ajouter une configuration.
  4. Dans le champ Nom de la configuration, attribuez un nom à votre configuration (par exemple, Journaux DNS Edge vers S3).
  5. Sélectionnez DNS Edge comme Source des journaux.
  6. Sélectionnez AWS S3 comme Cible de diffusion.
  7. Spécifiez les informations suivantes :
    • Nom du bucket: nom de votre bucket S3.
    • Region (Région) : région AWS dans laquelle votre bucket est hébergé.
    • ID de clé d'accès: ID de clé d'accès de l'utilisateur IAM.
    • Clé d'accès secrète: clé d'accès secrète de l'utilisateur IAM.
    • Facultatif: spécifiez la structure de répertoires. (par exemple, logs/akamai-dns/YYYY/MM/DD/HH/).
    • (Facultatif) Définissez la convention de nommage des fichiers. (par exemple, edge-dns-logs-{timestamp}.log).
  8. Sélectionnez les formats de journal que vous souhaitez inclure :
    • Requêtes DNS
    • Réponses DNS
  9. Sélectionnez la fréquence de diffusion :
    • Vous pouvez choisir de les exporter toutes les heures, tous les jours ou lorsque la taille d'un fichier atteint une certaine valeur (par exemple, 100 Mo).
  10. (Facultatif) Cliquez sur Ajouter des filtres pour inclure ou exclure des journaux spécifiques en fonction de critères spécifiques (par exemple, le nom d'hôte ou le type d'enregistrement).
  11. Vérifiez les détails de la configuration, puis cliquez sur Enregistrer et activer.

Configurer un flux dans Google SecOps pour ingérer les journaux DNS Akamai

  1. Accédez à Paramètres du SIEM > Flux.
  2. Cliquez sur Ajouter.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux DNS Akamai).
  4. Sélectionnez Amazon S3 comme Type de source.
  5. Sélectionnez DNS Akamai comme Type de journal.
  6. Cliquez sur Suivant.

  7. Spécifiez les valeurs des paramètres d'entrée suivants:

    • Region (Région) : région dans laquelle se trouve le bucket Amazon S3.

    • URI S3: URI du bucket.

      • s3://BUCKET_NAME

      Remplacez les éléments suivants :

      • BUCKET_NAME: nom du bucket.

    • L'URI est: sélectionnez URI_TYPE en fonction de la configuration du flux de journaux (Fichier unique | Dossier | Dossier incluant des sous-dossiers).

    • Option de suppression de la source: sélectionnez l'option de suppression selon vos préférences.

    • ID de clé d'accès: clé d'accès utilisateur ayant accès au bucket S3.

    • Clé d'accès secrète: clé secrète de l'utilisateur ayant accès au bucket S3.

    • Espace de noms des éléments: espace de noms des éléments.

    • Libellés d'ingestion: libellé à appliquer aux événements de ce flux.

  8. Cliquez sur Suivant.

  9. Vérifiez la configuration de votre nouveau flux dans l'écran Finaliser, puis cliquez sur Envoyer.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
classe read_only_udm.network.dns.questions.class Si class est "IN", définissez la valeur sur 1. Sinon, essayez de convertir en entier non signé.
column11 read_only_udm.target.hostname Mappé s'il contient un nom d'hôte et ne contient pas de modèles spécifiques tels que "ip4", "=", ".net" ou "10 mx0". Permet également d'extraire des adresses IP, des adresses e-mail et des données d'autorité DNS en fonction de divers modèles.
column11 read_only_udm.target.ip Extrait de la column11 s'il correspond au format des adresses IP dans les enregistrements SPF.
column11 read_only_udm.target.user.email_addresses Extrait de la column11 s'il correspond au format des adresses e-mail dans les enregistrements DMARC.
column11 read_only_udm.network.dns.authority.data Extrait de la column11 s'il correspond aux modèles de noms de domaine dans différents types d'enregistrements.
column11 read_only_udm.network.dns.response_code Définissez la valeur sur 3 si column11 contient "NXDOMAIN".
column2 read_only_udm.principal.ip Mappée si elle s'agit d'une adresse IP valide.
column3 read_only_udm.principal.port Mappé s'il s'agit d'un entier valide.
column4 read_only_udm.network.dns.questions.name Mappage direct.
column6 read_only_udm.network.dns.questions.type Mappé en fonction de la valeur de type, à l'aide d'une logique conditionnelle pour attribuer la valeur numérique correspondante.
column8 read_only_udm.network.sent_bytes Converti en entier sans signature et mappé.
read_only_udm.metadata.event_timestamp Composée des champs date et heure extraits de la colonne1.
read_only_udm.event_type Définissez-le sur NETWORK_DNS si principal.ip est présent, sinon sur GENERIC_EVENT.
read_only_udm.product_name Code dur en AKAMAI_DNS.
read_only_udm.vendor_name Code dur en AKAMAI_DNS.
read_only_udm.dataset Code dur en AKAMAI_DNS.
read_only_udm.event_subtype Code dur en DNS.

Modifications

2024-05-28

  • Correction d'un bug: ajout d'une fonction gsub pour supprimer les guillemets doubles du message de journal.
  • Ajout de modèles Grok pour valider les valeurs d'adresse IP et de port avant le mappage.