Mengumpulkan log DNS Akamai

Didukung di:

Parser ini memproses log DNS Akamai. Alat ini mengekstrak kolom seperti stempel waktu, IP dan port sumber, kueri, jenis data DNS, dan detail respons. Kemudian, kolom ini dipetakan ke UDM, yang menangani berbagai jenis data DNS dan kemungkinan data SPF. Parser mengklasifikasikan peristiwa sebagai NETWORK_DNS atau GENERIC_EVENT berdasarkan keberadaan informasi utama.

Sebelum memulai

  • Pastikan Anda memiliki instance Google Chronicle.
  • Pastikan Anda memiliki akses dengan hak istimewa ke AWS IAM dan S3.
  • Pastikan akun Akamai Anda memiliki akses ke Log Delivery Service.

Mengonfigurasi bucket Amazon S3

  1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
  2. Simpan Nama dan Region bucket untuk referensi di masa mendatang.
  3. Buat Pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
  4. Pilih Pengguna yang dibuat.
  5. Pilih tab Kredensial keamanan.
  6. Klik Create Access Key di bagian Access Keys.
  7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
  8. Klik Berikutnya.
  9. Opsional: Tambahkan tag deskripsi.
  10. Klik Create access key.
  11. Klik Download file .csv, lalu simpan Kunci Akses dan Kunci Akses Rahasia untuk referensi di masa mendatang.
  12. Klik Done.
  13. Pilih tab Izin.
  14. Klik Tambahkan izin di bagian Kebijakan izin.
  15. Pilih Tambahkan izin.
  16. Pilih Lampirkan kebijakan secara langsung.
  17. Telusuri dan pilih kebijakan AmazonS3FullAccess.
  18. Klik Berikutnya.
  19. Klik Tambahkan izin.

Mengonfigurasi Layanan Pengiriman Log di Akamai

  1. Login ke Akamai Control Center.
  2. Buka Log Delivery Service di bagian Data Services.
  3. Klik Add New Configuration.
  4. Di kolom Configuration Name, berikan nama untuk konfigurasi Anda (misalnya, Edge DNS Logs to S3).
  5. Pilih Edge DNS sebagai Sumber Log.
  6. Pilih AWS S3 sebagai Target Pengiriman.
  7. Berikan detail berikut:
    • Nama Bucket: nama bucket S3 Anda.
    • Region: region AWS tempat bucket Anda dihosting.
    • Access Key ID: ID Kunci Akses pengguna IAM.
    • Secret Access Key: Secret Access Key pengguna IAM.
    • Opsional: tentukan Struktur Direktori. (misalnya: logs/akamai-dns/YYYY/MM/DD/HH/).
    • Opsional: tetapkan Konvensi Penamaan File. (misalnya: edge-dns-logs-{timestamp}.log).
  8. Pilih Format Log yang ingin Anda sertakan:
    • Kueri DNS
    • Respons DNS
  9. Pilih Frekuensi Pengiriman:
    • Opsi mencakup per jam, per hari, atau setelah mencapai ukuran file tertentu (misalnya, 100 MB).
  10. Opsional: Klik Tambahkan Filter untuk menyertakan atau mengecualikan log tertentu berdasarkan kriteria tertentu (misalnya, nama host atau jenis data).
  11. Tinjau detail konfigurasi, lalu klik Simpan dan Aktifkan.

Mengonfigurasi feed di Google SecOps untuk menyerap log DNS Akamai

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan baru.
  3. Di kolom Feed name, masukkan nama untuk feed (misalnya, Akamai DNS Logs).
  4. Pilih Amazon S3 sebagai Source type.
  5. Pilih Akamai DNS sebagai Log type.
  6. Klik Berikutnya.
  7. Tentukan nilai untuk parameter input berikut:

    • Region: region tempat bucket Amazon S3 berada.
    • S3 URI: URI bucket.

      • s3://BUCKET_NAME

      Ganti kode berikut:

      • BUCKET_NAME: nama bucket.
    • URI adalah: pilih URI_TYPE sesuai dengan konfigurasi aliran log (File tunggal | Direktori | Direktori yang menyertakan subdirektori).

    • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.

    • Access Key ID: Kunci akses pengguna dengan akses ke bucket s3.

    • Kunci Akses Rahasia: kunci rahasia Pengguna dengan akses ke bucket s3.

    • Namespace aset: namespace aset.

    • Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini.

  8. Klik Berikutnya.

  9. Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
class read_only_udm.network.dns.questions.class Jika class adalah "IN", tetapkan ke 1. Jika tidak, coba konversi ke bilangan bulat tanpa tanda tangan.
column11 read_only_udm.target.hostname Dipetakan jika berisi nama host dan tidak berisi pola tertentu seperti "ip4", "=", ".net", atau "10 mx0". Juga digunakan untuk mengekstrak alamat IP, alamat email, dan data otoritas DNS berdasarkan berbagai pola.
column11 read_only_udm.target.ip Diekstrak dari column11 jika cocok dengan pola untuk alamat IP dalam data SPF.
column11 read_only_udm.target.user.email_addresses Diekstrak dari column11 jika cocok dengan pola untuk alamat email dalam data DMARC.
column11 read_only_udm.network.dns.authority.data Diekstrak dari column11 jika cocok dengan pola untuk nama domain dalam berbagai jenis data.
column11 read_only_udm.network.dns.response_code Tetapkan ke 3 jika column11 berisi "NXDOMAIN".
column2 read_only_udm.principal.ip Dipetakan jika merupakan alamat IP yang valid.
column3 read_only_udm.principal.port Dipetakan jika merupakan bilangan bulat yang valid.
column4 read_only_udm.network.dns.questions.name Dipetakan secara langsung.
column6 read_only_udm.network.dns.questions.type Dipetakan berdasarkan nilai type, menggunakan logika bersyarat untuk menetapkan nilai numerik yang sesuai.
column8 read_only_udm.network.sent_bytes Dikonversi menjadi bilangan bulat tanpa tanda tangan dan dipetakan.
read_only_udm.metadata.event_timestamp Dibuat dari kolom date dan time yang diekstrak dari column1.
read_only_udm.event_type Tetapkan ke NETWORK_DNS jika principal.ip ada, jika tidak, tetapkan ke GENERIC_EVENT.
read_only_udm.product_name Di-hardcode ke AKAMAI_DNS.
read_only_udm.vendor_name Di-hardcode ke AKAMAI_DNS.
read_only_udm.dataset Di-hardcode ke AKAMAI_DNS.
read_only_udm.event_subtype Di-hardcode ke DNS.

Perubahan

2024-05-28

  • Perbaikan bug: Menambahkan fungsi gsub untuk menghapus tanda kutip ganda dari pesan log.
  • Menambahkan pola Grok untuk memvalidasi nilai alamat IP dan port sebelum pemetaan.