Coletar registros DNS da Akamai
Esse analisador processa os registros DNS da Akamai. Ele extrai campos como carimbos de data/hora, IP e porta de origem, consulta, tipo de registro DNS e detalhes da resposta. Em seguida, ele mapeia esses campos para o UDM, processando vários tipos de registro DNS e possíveis registros SPF. O analisador classifica o evento como NETWORK_DNS
ou GENERIC_EVENT
com base na presença de informações principais.
Antes de começar
- Verifique se você tem uma instância do Google SecOps.
- Verifique se você tem acesso privilegiado ao AWS IAM e ao S3.
- Verifique se a sua conta da Akamai tem acesso ao serviço de envio de registros.
Configurar um bucket do Amazon S3
- Crie um bucket do Amazon S3 seguindo este guia do usuário: Criar um bucket.
- Salve o Nome e a Região do bucket para referência futura.
- Crie um usuário seguindo este guia: Como criar um usuário do IAM.
- Selecione o Usuário criado.
- Selecione a guia Credenciais de segurança.
- Clique em Criar chave de acesso na seção Chaves de acesso.
- Selecione Serviço de terceiros como o caso de uso.
- Clique em Próxima.
- Opcional: adicione uma tag de descrição.
- Clique em Criar chave de acesso.
- Clique em Fazer o download do arquivo .csv e salve a chave de acesso e a chave de acesso secreta para referência futura.
- Clique em Concluído.
- Selecione a guia Permissões.
- Clique em Adicionar permissões na seção Políticas de permissões.
- Selecione Adicionar permissões.
- Selecione Anexar políticas diretamente.
- Pesquise e selecione a política AmazonS3FullAccess.
- Clique em Próxima.
- Clique em Adicionar permissões
Configurar o serviço de envio de registros no Akamai
- Faça login no Control Center da Akamai.
- Acesse Serviço de envio de registro em Serviços de dados.
- Clique em Adicionar nova configuração.
- No campo Nome da configuração, forneça um nome para a configuração (por exemplo, Logs de DNS do Edge para o S3).
- Selecione DNS do Edge como a Origem do registro.
- Selecione AWS S3 como o Destino de envio.
- Forneça os seguintes detalhes:
- Nome do bucket: o nome do bucket do S3.
- Região: a região da AWS em que seu bucket está hospedado.
- ID da chave de acesso: o ID da chave de acesso do usuário do IAM.
- Chave de acesso secreta: a chave de acesso secreta do usuário do IAM.
- Opcional: especifique a estrutura de diretórios. (por exemplo:
logs/akamai-dns/YYYY/MM/DD/HH/
). - Opcional: defina a convencional de nomenclatura de arquivos. (por exemplo:
edge-dns-logs-{timestamp}.log
).
- Selecione os Formatos de registro que você quer incluir:
- Consultas DNS
- Respostas DNS
- Escolha a frequência de envio:
- As opções incluem a cada hora, diariamente ou ao atingir um determinado tamanho de arquivo (por exemplo, 100 MB).
- Opcional: clique em Adicionar filtros para incluir ou excluir registros específicos com base em critérios específicos (por exemplo, nome do host ou tipo de registro).
- Revise os detalhes da configuração e clique em Salvar e ativar.
Configurar um feed no Google SecOps para processar registros DNS do Akamai
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo.
- No campo Nome do feed, insira um nome para o feed (por exemplo, Logs do DNS do Akamai).
- Selecione Amazon S3 como o Tipo de origem.
- Selecione DNS da Akamai como o Tipo de registro.
- Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- Região: a região em que o bucket do Amazon S3 está localizado.
URI do S3: o URI do bucket.
s3://BUCKET_NAME
Substitua:
- BUCKET_NAME: o nome do bucket.
URI é um: selecione o
URI_TYPE
de acordo com a configuração do fluxo de registro (Arquivo único | Diretório | Diretório que inclui subdiretórios).Opção de exclusão da origem: selecione a opção de exclusão de acordo com sua preferência.
ID da chave de acesso: a chave de acesso do usuário com acesso ao bucket do S3.
Chave de acesso secreta: a chave secreta do usuário com acesso ao bucket do S3.
Namespace de recursos: o namespace de recursos.
Rótulos de ingestão: o rótulo a ser aplicado aos eventos desse feed.
Clique em Próxima.
Revise a configuração do novo feed na tela de finalização e clique em Enviar.
Tabela de mapeamento do UDM
Campo de registro | Mapeamento do UDM | Lógica |
---|---|---|
class | read_only_udm.network.dns.questions.class |
Se class for "IN", defina como 1. Caso contrário, tente a conversão para um número inteiro não assinado. |
column11 | read_only_udm.target.hostname |
Mapeado se contiver um nome de host e não contiver padrões específicos, como "ip4", "=", ".net" ou "10 mx0". Também é usado para extrair endereços IP, endereços de e-mail e dados de autoridade DNS com base em vários padrões. |
column11 | read_only_udm.target.ip |
Extraídos da column11 se corresponderem ao padrão de endereços IP nos registros SPF. |
column11 | read_only_udm.target.user.email_addresses |
Extraídos de column11 se corresponderem ao padrão de endereços de e-mail nos registros do DMARC. |
column11 | read_only_udm.network.dns.authority.data |
Extraídos de column11 se corresponderem a padrões de nomes de domínio em vários tipos de registro. |
column11 | read_only_udm.network.dns.response_code |
Defina como 3 se a column11 contiver "NXDOMAIN". |
column2 | read_only_udm.principal.ip |
Mapeado se for um endereço IP válido. |
column3 | read_only_udm.principal.port |
Mapeado se for um número inteiro válido. |
column4 | read_only_udm.network.dns.questions.name |
Mapeado diretamente. |
column6 | read_only_udm.network.dns.questions.type |
Mapeada com base no valor de type, usando lógica condicional para atribuir o valor numérico correspondente. |
column8 | read_only_udm.network.sent_bytes |
Convertido em um número inteiro sem sinal e mapeado. |
read_only_udm.metadata.event_timestamp |
Construído com base nos campos data e hora extraídos da coluna1. | |
read_only_udm.event_type |
Defina como NETWORK_DNS se principal.ip estiver presente. Caso contrário, defina como GENERIC_EVENT. |
|
read_only_udm.product_name |
Fixado em AKAMAI_DNS. | |
read_only_udm.vendor_name |
Fixado em AKAMAI_DNS. | |
read_only_udm.dataset |
Fixado em AKAMAI_DNS. | |
read_only_udm.event_subtype |
Fixado em DNS. |
Alterações
2024-05-28
- Correção de bug: foi adicionada uma função
gsub
para remover aspas duplas da mensagem de registro. - Foram adicionados padrões Grok para validar os valores de endereço IP e porta antes do mapeamento.