Raccogliere i log DNS di Akamai

Supportato in:

Questo parser elabora i log DNS di Akamai. Estrae campi come timestamp, IP e porta di origine, query, tipo di record DNS e dettagli della risposta. Quindi mappa questi campi all'UDM, gestendo vari tipi di record DNS e potenziali record SPF. Il parser classifica l'evento come NETWORK_DNSo GENERIC_EVENT in base alla presenza di informazioni principali.

Prima di iniziare

  • Assicurati di avere un'istanza Google SecOps.
  • Assicurati di disporre dell'accesso con privilegi ad AWS IAM e S3.
  • Assicurati che il tuo account Akamai abbia accesso al servizio di importazione dei log.

Configurare un bucket Amazon S3

  1. Crea un bucket Amazon S3 seguendo questa guida dell'utente: Creare un bucket
  2. Salva Name (Nome) e Region (Regione) del bucket per riferimento futuro.
  3. Crea un utente seguendo questa guida dell'utente: Creare un utente IAM.
  4. Seleziona l'utente creato.
  5. Seleziona la scheda Credenziali di sicurezza.
  6. Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.
  7. Seleziona Servizio di terze parti come Caso d'uso.
  8. Fai clic su Avanti.
  9. (Facoltativo) Aggiungi un tag di descrizione.
  10. Fai clic su Crea chiave di accesso.
  11. Fai clic su Scarica file .csv e salva la chiave di accesso e la chiave di accesso segreta per riferimento futuro.
  12. Fai clic su Fine.
  13. Seleziona la scheda Autorizzazioni.
  14. Fai clic su Aggiungi autorizzazioni nella sezione Norme relative alle autorizzazioni.
  15. Seleziona Aggiungi autorizzazioni.
  16. Seleziona Collega direttamente i criteri.
  17. Cerca e seleziona il criterio AmazonS3FullAccess.
  18. Fai clic su Avanti.
  19. Fai clic su Aggiungi autorizzazioni.

Configurare Log Delivery Service in Akamai

  1. Accedi al Control Center di Akamai.
  2. Vai a Log Delivery Service in Data Services.
  3. Fai clic su Aggiungi nuova configurazione.
  4. Nel campo Nome configurazione, fornisci un nome per la configurazione (ad esempio Log DNS Edge in S3).
  5. Seleziona Edge DNS come Sorgente log.
  6. Seleziona AWS S3 come Destinazione della pubblicazione.
  7. Fornisci i seguenti dettagli:
    • Nome bucket: il nome del bucket S3.
    • Regione: la regione AWS in cui è ospitato il bucket.
    • ID chiave di accesso: l'ID chiave di accesso dell'utente IAM.
    • Chiave di accesso segreta: la chiave di accesso segreta dell'utente IAM.
    • (Facoltativo) Specifica la struttura della directory. (ad es. logs/akamai-dns/YYYY/MM/DD/HH/).
    • (Facoltativo) Imposta la convenzione di denominazione dei file. (ad es. edge-dns-logs-{timestamp}.log).
  8. Seleziona i formati dei log da includere:
    • Query DNS
    • Risposte DNS
  9. Scegli la frequenza di pubblicazione:
    • Le opzioni includono ogni ora, ogni giorno o al raggiungimento di una determinata dimensione del file (ad esempio 100 MB).
  10. (Facoltativo) Fai clic su Aggiungi filtri per includere o escludere log specifici in base a criteri specifici (ad esempio, nome host o tipo di record).
  11. Esamina i dettagli della configurazione e fai clic su Salva e attiva.

Configurare un feed in Google SecOps per importare i log DNS di Akamai

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuova.
  3. Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log DNS Akamai).
  4. Seleziona Amazon S3 come Tipo di origine.
  5. Seleziona DNS Akamai come Tipo di log.
  6. Fai clic su Avanti.

  7. Specifica i valori per i seguenti parametri di input:

    • Regione: la regione in cui si trova il bucket Amazon S3.

    • URI S3: l'URI del bucket.

      • s3://BUCKET_NAME

      Sostituisci quanto segue:

      • BUCKET_NAME: il nome del bucket.

    • L'URI è un: seleziona URI_TYPE in base alla configurazione dello stream di log (File singolo | Directory | Directory che include sottodirectory).

    • Opzione di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.

    • ID chiave di accesso: la chiave di accesso utente con accesso al bucket S3.

    • Chiave di accesso segreta: la chiave segreta dell'utente con accesso al bucket S3.

    • Spazio dei nomi degli asset: lo spazio dei nomi degli asset.

    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.

  8. Fai clic su Avanti.

  9. Rivedi la configurazione del nuovo feed nella schermata Completa e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
class read_only_udm.network.dns.questions.class Se class è "IN", imposta il valore su 1. In caso contrario, prova a convertire in numero intero non firmato.
column11 read_only_udm.target.hostname Mappato se contiene un nome host e non contiene pattern specifici come "ip4", "=", ".net" o "10 mx0". Viene utilizzato anche per estrarre indirizzi IP, indirizzi email e dati delle autorità DNS in base a vari pattern.
column11 read_only_udm.target.ip Estratto dalla column11 se corrisponde al pattern per gli indirizzi IP all'interno dei record SPF.
column11 read_only_udm.target.user.email_addresses Estratto dalla column11 se corrisponde al pattern per gli indirizzi email all'interno dei record DMARC.
column11 read_only_udm.network.dns.authority.data Estratto dalla column11 se corrisponde a pattern per i nomi di dominio all'interno di vari tipi di record.
column11 read_only_udm.network.dns.response_code Imposta il valore 3 se la column11 contiene "NXDOMAIN".
column2 read_only_udm.principal.ip Mappato se si tratta di un indirizzo IP valido.
column3 read_only_udm.principal.port Mappato se è un numero intero valido.
column4 read_only_udm.network.dns.questions.name Mappatura diretta.
column6 read_only_udm.network.dns.questions.type Associato in base al valore di type, utilizzando la logica condizionale per assegnare il valore numerico corrispondente.
column8 read_only_udm.network.sent_bytes Convertito in un numero intero non firmato e mappato.
read_only_udm.metadata.event_timestamp Costruito dai campi data e ora estratti dalla colonna1.
read_only_udm.event_type Imposta NETWORK_DNS se è presente principal.ip, altrimenti imposta GENERIC_EVENT.
read_only_udm.product_name Hardcoded su AKAMAI_DNS.
read_only_udm.vendor_name Hardcoded su AKAMAI_DNS.
read_only_udm.dataset Hardcoded su AKAMAI_DNS.
read_only_udm.event_subtype Hardcoded su DNS.

Modifiche

2024-05-28

  • Correzione di bug: è stata aggiunta una funzione gsub per rimuovere le virgolette doppie dal messaggio di log.
  • Sono stati aggiunti pattern Grok per convalidare i valori dell'indirizzo IP e della porta prima della mappatura.