Coletar registros DNS da Akamai

Compatível com:

Esse analisador processa os registros DNS da Akamai. Ele extrai campos como carimbos de data/hora, IP e porta de origem, consulta, tipo de registro DNS e detalhes da resposta. Em seguida, ele mapeia esses campos para o UDM, processando vários tipos de registro DNS e possíveis registros SPF. O analisador classifica o evento como NETWORK_DNS ou GENERIC_EVENT com base na presença de informações principais.

Antes de começar

  • Verifique se você tem uma instância do Google SecOps.
  • Verifique se você tem acesso privilegiado ao AWS IAM e ao S3.
  • Verifique se a sua conta da Akamai tem acesso ao serviço de envio de registros.

Configurar um bucket do Amazon S3

  1. Crie um bucket do Amazon S3 seguindo este guia do usuário: Criar um bucket.
  2. Salve o Nome e a Região do bucket para referência futura.
  3. Crie um usuário seguindo este guia: Como criar um usuário do IAM.
  4. Selecione o Usuário criado.
  5. Selecione a guia Credenciais de segurança.
  6. Clique em Criar chave de acesso na seção Chaves de acesso.
  7. Selecione Serviço de terceiros como o caso de uso.
  8. Clique em Próxima.
  9. Opcional: adicione uma tag de descrição.
  10. Clique em Criar chave de acesso.
  11. Clique em Fazer o download do arquivo .csv e salve a chave de acesso e a chave de acesso secreta para referência futura.
  12. Clique em Concluído.
  13. Selecione a guia Permissões.
  14. Clique em Adicionar permissões na seção Políticas de permissões.
  15. Selecione Adicionar permissões.
  16. Selecione Anexar políticas diretamente.
  17. Pesquise e selecione a política AmazonS3FullAccess.
  18. Clique em Próxima.
  19. Clique em Adicionar permissões

Configurar o serviço de envio de registros no Akamai

  1. Faça login no Control Center da Akamai.
  2. Acesse Serviço de envio de registro em Serviços de dados.
  3. Clique em Adicionar nova configuração.
  4. No campo Nome da configuração, forneça um nome para a configuração (por exemplo, Logs de DNS do Edge para o S3).
  5. Selecione DNS do Edge como a Origem do registro.
  6. Selecione AWS S3 como o Destino de envio.
  7. Forneça os seguintes detalhes:
    • Nome do bucket: o nome do bucket do S3.
    • Região: a região da AWS em que seu bucket está hospedado.
    • ID da chave de acesso: o ID da chave de acesso do usuário do IAM.
    • Chave de acesso secreta: a chave de acesso secreta do usuário do IAM.
    • Opcional: especifique a estrutura de diretórios. (por exemplo: logs/akamai-dns/YYYY/MM/DD/HH/).
    • Opcional: defina a convencional de nomenclatura de arquivos. (por exemplo: edge-dns-logs-{timestamp}.log).
  8. Selecione os Formatos de registro que você quer incluir:
    • Consultas DNS
    • Respostas DNS
  9. Escolha a frequência de envio:
    • As opções incluem a cada hora, diariamente ou ao atingir um determinado tamanho de arquivo (por exemplo, 100 MB).
  10. Opcional: clique em Adicionar filtros para incluir ou excluir registros específicos com base em critérios específicos (por exemplo, nome do host ou tipo de registro).
  11. Revise os detalhes da configuração e clique em Salvar e ativar.

Configurar um feed no Google SecOps para processar registros DNS do Akamai

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, insira um nome para o feed (por exemplo, Logs do DNS do Akamai).
  4. Selecione Amazon S3 como o Tipo de origem.
  5. Selecione DNS da Akamai como o Tipo de registro.
  6. Clique em Próxima.

  7. Especifique valores para os seguintes parâmetros de entrada:

    • Região: a região em que o bucket do Amazon S3 está localizado.

    • URI do S3: o URI do bucket.

      • s3://BUCKET_NAME

      Substitua:

      • BUCKET_NAME: o nome do bucket.

    • URI é um: selecione o URI_TYPE de acordo com a configuração do fluxo de registro (Arquivo único | Diretório | Diretório que inclui subdiretórios).

    • Opção de exclusão da origem: selecione a opção de exclusão de acordo com sua preferência.

    • ID da chave de acesso: a chave de acesso do usuário com acesso ao bucket do S3.

    • Chave de acesso secreta: a chave secreta do usuário com acesso ao bucket do S3.

    • Namespace de recursos: o namespace de recursos.

    • Rótulos de ingestão: o rótulo a ser aplicado aos eventos desse feed.

  8. Clique em Próxima.

  9. Revise a configuração do novo feed na tela de finalização e clique em Enviar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
class read_only_udm.network.dns.questions.class Se class for "IN", defina como 1. Caso contrário, tente a conversão para um número inteiro não assinado.
column11 read_only_udm.target.hostname Mapeado se contiver um nome de host e não contiver padrões específicos, como "ip4", "=", ".net" ou "10 mx0". Também é usado para extrair endereços IP, endereços de e-mail e dados de autoridade DNS com base em vários padrões.
column11 read_only_udm.target.ip Extraídos da column11 se corresponderem ao padrão de endereços IP nos registros SPF.
column11 read_only_udm.target.user.email_addresses Extraídos de column11 se corresponderem ao padrão de endereços de e-mail nos registros do DMARC.
column11 read_only_udm.network.dns.authority.data Extraídos de column11 se corresponderem a padrões de nomes de domínio em vários tipos de registro.
column11 read_only_udm.network.dns.response_code Defina como 3 se a column11 contiver "NXDOMAIN".
column2 read_only_udm.principal.ip Mapeado se for um endereço IP válido.
column3 read_only_udm.principal.port Mapeado se for um número inteiro válido.
column4 read_only_udm.network.dns.questions.name Mapeado diretamente.
column6 read_only_udm.network.dns.questions.type Mapeada com base no valor de type, usando lógica condicional para atribuir o valor numérico correspondente.
column8 read_only_udm.network.sent_bytes Convertido em um número inteiro sem sinal e mapeado.
read_only_udm.metadata.event_timestamp Construído com base nos campos data e hora extraídos da coluna1.
read_only_udm.event_type Defina como NETWORK_DNS se principal.ip estiver presente. Caso contrário, defina como GENERIC_EVENT.
read_only_udm.product_name Fixado em AKAMAI_DNS.
read_only_udm.vendor_name Fixado em AKAMAI_DNS.
read_only_udm.dataset Fixado em AKAMAI_DNS.
read_only_udm.event_subtype Fixado em DNS.

Alterações

2024-05-28

  • Correção de bug: foi adicionada uma função gsub para remover aspas duplas da mensagem de registro.
  • Foram adicionados padrões Grok para validar os valores de endereço IP e porta antes do mapeamento.