Raccogliere i log DNS di Akamai
Questo parser elabora i log DNS di Akamai. Estrae campi come timestamp, IP e porta di origine, query, tipo di record DNS e dettagli della risposta. Quindi mappa questi campi all'UDM, gestendo vari tipi di record DNS e potenziali record SPF. Il parser classifica l'evento come NETWORK_DNS
o GENERIC_EVENT
in base alla presenza di informazioni principali.
Prima di iniziare
- Assicurati di avere un'istanza Google SecOps.
- Assicurati di disporre dell'accesso con privilegi ad AWS IAM e S3.
- Assicurati che il tuo account Akamai abbia accesso al servizio di importazione dei log.
Configurare un bucket Amazon S3
- Crea un bucket Amazon S3 seguendo questa guida dell'utente: Creare un bucket
- Salva Name (Nome) e Region (Regione) del bucket per riferimento futuro.
- Crea un utente seguendo questa guida dell'utente: Creare un utente IAM.
- Seleziona l'utente creato.
- Seleziona la scheda Credenziali di sicurezza.
- Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.
- Seleziona Servizio di terze parti come Caso d'uso.
- Fai clic su Avanti.
- (Facoltativo) Aggiungi un tag di descrizione.
- Fai clic su Crea chiave di accesso.
- Fai clic su Scarica file .csv e salva la chiave di accesso e la chiave di accesso segreta per riferimento futuro.
- Fai clic su Fine.
- Seleziona la scheda Autorizzazioni.
- Fai clic su Aggiungi autorizzazioni nella sezione Norme relative alle autorizzazioni.
- Seleziona Aggiungi autorizzazioni.
- Seleziona Collega direttamente i criteri.
- Cerca e seleziona il criterio AmazonS3FullAccess.
- Fai clic su Avanti.
- Fai clic su Aggiungi autorizzazioni.
Configurare Log Delivery Service in Akamai
- Accedi al Control Center di Akamai.
- Vai a Log Delivery Service in Data Services.
- Fai clic su Aggiungi nuova configurazione.
- Nel campo Nome configurazione, fornisci un nome per la configurazione (ad esempio Log DNS Edge in S3).
- Seleziona Edge DNS come Sorgente log.
- Seleziona AWS S3 come Destinazione della pubblicazione.
- Fornisci i seguenti dettagli:
- Nome bucket: il nome del bucket S3.
- Regione: la regione AWS in cui è ospitato il bucket.
- ID chiave di accesso: l'ID chiave di accesso dell'utente IAM.
- Chiave di accesso segreta: la chiave di accesso segreta dell'utente IAM.
- (Facoltativo) Specifica la struttura della directory. (ad es.
logs/akamai-dns/YYYY/MM/DD/HH/
). - (Facoltativo) Imposta la convenzione di denominazione dei file. (ad es.
edge-dns-logs-{timestamp}.log
).
- Seleziona i formati dei log da includere:
- Query DNS
- Risposte DNS
- Scegli la frequenza di pubblicazione:
- Le opzioni includono ogni ora, ogni giorno o al raggiungimento di una determinata dimensione del file (ad esempio 100 MB).
- (Facoltativo) Fai clic su Aggiungi filtri per includere o escludere log specifici in base a criteri specifici (ad esempio, nome host o tipo di record).
- Esamina i dettagli della configurazione e fai clic su Salva e attiva.
Configurare un feed in Google SecOps per importare i log DNS di Akamai
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuova.
- Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log DNS Akamai).
- Seleziona Amazon S3 come Tipo di origine.
- Seleziona DNS Akamai come Tipo di log.
- Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- Regione: la regione in cui si trova il bucket Amazon S3.
URI S3: l'URI del bucket.
s3://BUCKET_NAME
Sostituisci quanto segue:
- BUCKET_NAME: il nome del bucket.
L'URI è un: seleziona
URI_TYPE
in base alla configurazione dello stream di log (File singolo | Directory | Directory che include sottodirectory).Opzione di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
ID chiave di accesso: la chiave di accesso utente con accesso al bucket S3.
Chiave di accesso segreta: la chiave segreta dell'utente con accesso al bucket S3.
Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
Fai clic su Avanti.
Rivedi la configurazione del nuovo feed nella schermata Completa e poi fai clic su Invia.
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logica |
---|---|---|
class | read_only_udm.network.dns.questions.class |
Se class è "IN", imposta il valore su 1. In caso contrario, prova a convertire in numero intero non firmato. |
column11 | read_only_udm.target.hostname |
Mappato se contiene un nome host e non contiene pattern specifici come "ip4", "=", ".net" o "10 mx0". Viene utilizzato anche per estrarre indirizzi IP, indirizzi email e dati delle autorità DNS in base a vari pattern. |
column11 | read_only_udm.target.ip |
Estratto dalla column11 se corrisponde al pattern per gli indirizzi IP all'interno dei record SPF. |
column11 | read_only_udm.target.user.email_addresses |
Estratto dalla column11 se corrisponde al pattern per gli indirizzi email all'interno dei record DMARC. |
column11 | read_only_udm.network.dns.authority.data |
Estratto dalla column11 se corrisponde a pattern per i nomi di dominio all'interno di vari tipi di record. |
column11 | read_only_udm.network.dns.response_code |
Imposta il valore 3 se la column11 contiene "NXDOMAIN". |
column2 | read_only_udm.principal.ip |
Mappato se si tratta di un indirizzo IP valido. |
column3 | read_only_udm.principal.port |
Mappato se è un numero intero valido. |
column4 | read_only_udm.network.dns.questions.name |
Mappatura diretta. |
column6 | read_only_udm.network.dns.questions.type |
Associato in base al valore di type, utilizzando la logica condizionale per assegnare il valore numerico corrispondente. |
column8 | read_only_udm.network.sent_bytes |
Convertito in un numero intero non firmato e mappato. |
read_only_udm.metadata.event_timestamp |
Costruito dai campi data e ora estratti dalla colonna1. | |
read_only_udm.event_type |
Imposta NETWORK_DNS se è presente principal.ip , altrimenti imposta GENERIC_EVENT. |
|
read_only_udm.product_name |
Hardcoded su AKAMAI_DNS. | |
read_only_udm.vendor_name |
Hardcoded su AKAMAI_DNS. | |
read_only_udm.dataset |
Hardcoded su AKAMAI_DNS. | |
read_only_udm.event_subtype |
Hardcoded su DNS. |
Modifiche
2024-05-28
- Correzione di bug: è stata aggiunta una funzione
gsub
per rimuovere le virgolette doppie dal messaggio di log. - Sono stati aggiunti pattern Grok per convalidare i valori dell'indirizzo IP e della porta prima della mappatura.