Mengumpulkan log DNS Akamai
Parser ini memproses log DNS Akamai. Alat ini mengekstrak kolom seperti stempel waktu, IP dan port sumber, kueri, jenis data DNS, dan detail respons. Kemudian, kolom ini dipetakan ke UDM, yang menangani berbagai jenis data DNS dan kemungkinan data SPF. Parser mengklasifikasikan peristiwa sebagai NETWORK_DNS
atau GENERIC_EVENT
berdasarkan keberadaan informasi utama.
Sebelum memulai
- Pastikan Anda memiliki instance Google Chronicle.
- Pastikan Anda memiliki akses dengan hak istimewa ke AWS IAM dan S3.
- Pastikan akun Akamai Anda memiliki akses ke Log Delivery Service.
Mengonfigurasi bucket Amazon S3
- Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
- Simpan Nama dan Region bucket untuk referensi di masa mendatang.
- Buat Pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
- Pilih Pengguna yang dibuat.
- Pilih tab Kredensial keamanan.
- Klik Create Access Key di bagian Access Keys.
- Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
- Klik Berikutnya.
- Opsional: Tambahkan tag deskripsi.
- Klik Create access key.
- Klik Download file .csv, lalu simpan Kunci Akses dan Kunci Akses Rahasia untuk referensi di masa mendatang.
- Klik Done.
- Pilih tab Izin.
- Klik Tambahkan izin di bagian Kebijakan izin.
- Pilih Tambahkan izin.
- Pilih Lampirkan kebijakan secara langsung.
- Telusuri dan pilih kebijakan AmazonS3FullAccess.
- Klik Berikutnya.
- Klik Tambahkan izin.
Mengonfigurasi Layanan Pengiriman Log di Akamai
- Login ke Akamai Control Center.
- Buka Log Delivery Service di bagian Data Services.
- Klik Add New Configuration.
- Di kolom Configuration Name, berikan nama untuk konfigurasi Anda (misalnya, Edge DNS Logs to S3).
- Pilih Edge DNS sebagai Sumber Log.
- Pilih AWS S3 sebagai Target Pengiriman.
- Berikan detail berikut:
- Nama Bucket: nama bucket S3 Anda.
- Region: region AWS tempat bucket Anda dihosting.
- Access Key ID: ID Kunci Akses pengguna IAM.
- Secret Access Key: Secret Access Key pengguna IAM.
- Opsional: tentukan Struktur Direktori. (misalnya:
logs/akamai-dns/YYYY/MM/DD/HH/
). - Opsional: tetapkan Konvensi Penamaan File. (misalnya:
edge-dns-logs-{timestamp}.log
).
- Pilih Format Log yang ingin Anda sertakan:
- Kueri DNS
- Respons DNS
- Pilih Frekuensi Pengiriman:
- Opsi mencakup per jam, per hari, atau setelah mencapai ukuran file tertentu (misalnya, 100 MB).
- Opsional: Klik Tambahkan Filter untuk menyertakan atau mengecualikan log tertentu berdasarkan kriteria tertentu (misalnya, nama host atau jenis data).
- Tinjau detail konfigurasi, lalu klik Simpan dan Aktifkan.
Mengonfigurasi feed di Google SecOps untuk menyerap log DNS Akamai
- Buka Setelan SIEM > Feed.
- Klik Tambahkan baru.
- Di kolom Feed name, masukkan nama untuk feed (misalnya, Akamai DNS Logs).
- Pilih Amazon S3 sebagai Source type.
- Pilih Akamai DNS sebagai Log type.
- Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- Region: region tempat bucket Amazon S3 berada.
S3 URI: URI bucket.
s3://BUCKET_NAME
Ganti kode berikut:
- BUCKET_NAME: nama bucket.
URI adalah: pilih
URI_TYPE
sesuai dengan konfigurasi aliran log (File tunggal | Direktori | Direktori yang menyertakan subdirektori).Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.
Access Key ID: Kunci akses pengguna dengan akses ke bucket s3.
Kunci Akses Rahasia: kunci rahasia Pengguna dengan akses ke bucket s3.
Namespace aset: namespace aset.
Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.
Tabel Pemetaan UDM
Kolom Log | Pemetaan UDM | Logika |
---|---|---|
class | read_only_udm.network.dns.questions.class |
Jika class adalah "IN", tetapkan ke 1. Jika tidak, coba konversi ke bilangan bulat tanpa tanda tangan. |
column11 | read_only_udm.target.hostname |
Dipetakan jika berisi nama host dan tidak berisi pola tertentu seperti "ip4", "=", ".net", atau "10 mx0". Juga digunakan untuk mengekstrak alamat IP, alamat email, dan data otoritas DNS berdasarkan berbagai pola. |
column11 | read_only_udm.target.ip |
Diekstrak dari column11 jika cocok dengan pola untuk alamat IP dalam data SPF. |
column11 | read_only_udm.target.user.email_addresses |
Diekstrak dari column11 jika cocok dengan pola untuk alamat email dalam data DMARC. |
column11 | read_only_udm.network.dns.authority.data |
Diekstrak dari column11 jika cocok dengan pola untuk nama domain dalam berbagai jenis data. |
column11 | read_only_udm.network.dns.response_code |
Tetapkan ke 3 jika column11 berisi "NXDOMAIN". |
column2 | read_only_udm.principal.ip |
Dipetakan jika merupakan alamat IP yang valid. |
column3 | read_only_udm.principal.port |
Dipetakan jika merupakan bilangan bulat yang valid. |
column4 | read_only_udm.network.dns.questions.name |
Dipetakan secara langsung. |
column6 | read_only_udm.network.dns.questions.type |
Dipetakan berdasarkan nilai type, menggunakan logika bersyarat untuk menetapkan nilai numerik yang sesuai. |
column8 | read_only_udm.network.sent_bytes |
Dikonversi menjadi bilangan bulat tanpa tanda tangan dan dipetakan. |
read_only_udm.metadata.event_timestamp |
Dibuat dari kolom date dan time yang diekstrak dari column1. | |
read_only_udm.event_type |
Tetapkan ke NETWORK_DNS jika principal.ip ada, jika tidak, tetapkan ke GENERIC_EVENT. |
|
read_only_udm.product_name |
Di-hardcode ke AKAMAI_DNS. | |
read_only_udm.vendor_name |
Di-hardcode ke AKAMAI_DNS. | |
read_only_udm.dataset |
Di-hardcode ke AKAMAI_DNS. | |
read_only_udm.event_subtype |
Di-hardcode ke DNS. |
Perubahan
2024-05-28
- Perbaikan bug: Menambahkan fungsi
gsub
untuk menghapus tanda kutip ganda dari pesan log. - Menambahkan pola Grok untuk memvalidasi nilai alamat IP dan port sebelum pemetaan.