Akamai DNS-Logs erfassen
Mit diesem Parser werden Akamai-DNS-Logs verarbeitet. Es werden Felder wie Zeitstempel, Quell-IP und ‑Port, Abfrage, DNS-Eintragstyp und Antwortdetails extrahiert. Anschließend werden diese Felder der UDM zugeordnet, wobei verschiedene DNS-Eintragstypen und potenzielle SPF-Einträge berücksichtigt werden. Der Parser klassifiziert das Ereignis je nach Vorhandensein von Hauptinformationen als NETWORK_DNS oder GENERIC_EVENT.
Hinweise
Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:
- Google SecOps-Instanz.
- Privilegierter Zugriff auf AWS IAM und S3.
- Ihr Akamai-Konto hat Zugriff auf den Log Delivery Service.
Amazon S3-Bucket konfigurieren
- Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu der Anleitung unter Bucket erstellen.
- Speichern Sie den Namen und die Region des Buckets zur späteren Verwendung.
- Erstellen Sie einen Nutzer gemäß dieser Anleitung: IAM-Nutzer erstellen.
- Wählen Sie den erstellten Nutzer aus.
- Wählen Sie den Tab Sicherheitsanmeldedaten aus.
- Klicken Sie im Abschnitt Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
- Wählen Sie als Anwendungsfall Drittanbieterdienst aus.
- Klicken Sie auf Weiter.
- Optional: Fügen Sie ein Beschreibungstag hinzu.
- Klicken Sie auf Zugriffsschlüssel erstellen.
- Klicken Sie auf CSV-Datei herunterladen und speichern Sie den Zugriffsschlüssel und den geheimen Zugriffsschlüssel für die zukünftige Verwendung.
- Klicken Sie auf Fertig.
- Wählen Sie den Tab Berechtigungen aus.
- Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
- Wählen Sie Berechtigungen hinzufügen aus.
- Wählen Sie Richtlinien direkt anhängen aus.
- Suchen Sie nach der Richtlinie AmazonS3FullAccess und wählen Sie sie aus.
- Klicken Sie auf Weiter.
- Klicken Sie auf Berechtigungen hinzufügen.
Log Delivery Service in Akamai konfigurieren
- Melden Sie sich im Akamai Control Center an.
- Rufen Sie unter Datendienste den Log Delivery Service auf.
- Klicken Sie auf Neue Konfiguration hinzufügen.
- Geben Sie im Feld Configuration Name (Konfigurationsname) einen Namen für Ihre Konfiguration ein, z. B. Edge DNS Logs to S3 (Edge-DNS-Logs zu S3).
- Wählen Sie Edge DNS als Log Source (Logquelle) aus.
- Wählen Sie AWS S3 als Bereitstellungsziel aus.
- Geben Sie die folgenden Informationen ein:
- Bucket-Name: Der Name Ihres S3-Buckets.
- Region: Die AWS-Region, in der Ihr Bucket gehostet wird.
- Access Key ID (Zugriffsschlüssel-ID): Die Zugriffsschlüssel-ID des IAM-Nutzers.
- Secret Access Key (geheimer Zugriffsschlüssel): Der geheime Zugriffsschlüssel des IAM-Nutzers.
- Optional: Geben Sie die Verzeichnisstruktur an. Beispiel:
logs/akamai-dns/YYYY/MM/DD/HH/ - Optional: Legen Sie die Dateinamenskonvention fest. Beispiel:
edge-dns-logs-{timestamp}.log
- Wählen Sie die Log-Formate aus, die Sie einbeziehen möchten:
- DNS-Abfragen
- DNS-Antworten
- Wählen Sie die Lieferhäufigkeit aus:
- Sie können die Häufigkeit des Exports festlegen, z. B. stündlich, täglich oder wenn eine bestimmte Dateigröße erreicht wird (z. B. 100 MB).
- Optional: Klicken Sie auf Filter hinzufügen, um bestimmte Logs anhand bestimmter Kriterien (z. B. Hostname oder Datensatztyp) ein- oder auszuschließen.
- Prüfen Sie die Konfigurationsdetails und klicken Sie auf Speichern und aktivieren.
Feeds einrichten
Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:
- SIEM-Einstellungen > Feeds
- Content Hub> Content-Pakete
Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten
So konfigurieren Sie einen Feed:
- Rufen Sie die SIEM-Einstellungen > Feeds auf.
- Klicken Sie auf Neuen Feed hinzufügen.
- Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
- Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Akamai DNS Logs (Akamai-DNS-Logs).
- Wählen Sie Amazon S3 als Quelltyp aus.
- Wählen Sie Akamai DNS als Logtyp aus.
- Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Region: Die Region, in der sich der Amazon S3-Bucket befindet.
S3-URI: Der Bucket-URI.
s3://BUCKET_NAME
Ersetzen Sie Folgendes:
- BUCKET_NAME: Der Name des Buckets.
URI ist ein: Wählen Sie
URI_TYPEentsprechend der Konfiguration des Logstreams aus (Einzelne Datei | Verzeichnis | Verzeichnis mit Unterverzeichnissen).Option zum Löschen der Quelle: Wählen Sie die gewünschte Option zum Löschen aus.
Zugriffsschlüssel-ID: Der Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
Secret Access Key (Geheimer Zugriffsschlüssel): Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.
Asset-Namespace: der Asset-Namespace.
Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Finalize screen (Bildschirm „Abschließen“) und klicken Sie dann auf Submit (Senden).
Feeds über den Content Hub einrichten
Geben Sie Werte für die folgenden Felder an:
- Region: Die Region, in der sich der Amazon S3-Bucket befindet.
S3-URI: Der Bucket-URI.
s3://BUCKET_NAME
Ersetzen Sie Folgendes:
- BUCKET_NAME: Der Name des Buckets.
URI ist ein: Wählen Sie
URI_TYPEentsprechend der Konfiguration des Logstreams aus (Einzelne Datei | Verzeichnis | Verzeichnis mit Unterverzeichnissen).Option zum Löschen der Quelle: Wählen Sie die gewünschte Option zum Löschen aus.
Zugriffsschlüssel-ID: Der Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
Secret Access Key (Geheimer Zugriffsschlüssel): Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.
Erweiterte Optionen
- Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
- Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
- Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
- Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| class | read_only_udm.network.dns.questions.class |
Wenn class „IN“ ist, wird der Wert auf 1 gesetzt. Andernfalls wird versucht, die Zahl in eine vorzeichenlose Ganzzahl umzuwandeln. |
| column11 | read_only_udm.target.hostname |
Wird zugeordnet, wenn sie einen Hostnamen enthält und keine bestimmten Muster wie „ip4“, „=“, „.net“ oder „10 mx0“ enthält. Wird auch verwendet, um IP-Adressen, E-Mail-Adressen und DNS-Autoritätsdaten basierend auf verschiedenen Mustern zu extrahieren. |
| column11 | read_only_udm.target.ip |
Wird aus column11 extrahiert, wenn sie dem Muster für IP-Adressen in SPF-Einträgen entspricht. |
| column11 | read_only_udm.target.user.email_addresses |
Wird aus column11 extrahiert, wenn sie dem Muster für E‑Mail-Adressen in DMARC-Einträgen entspricht. |
| column11 | read_only_udm.network.dns.authority.data |
Wird aus column11 extrahiert, wenn sie mit Mustern für Domainnamen in verschiedenen Datensatztypen übereinstimmt. |
| column11 | read_only_udm.network.dns.response_code |
Wird auf 3 gesetzt, wenn column11 „NXDOMAIN“ enthält. |
| column2 | read_only_udm.principal.ip |
Wird zugeordnet, wenn es sich um eine gültige IP-Adresse handelt. |
| column3 | read_only_udm.principal.port |
Wird zugeordnet, wenn es sich um eine gültige Ganzzahl handelt. |
| column4 | read_only_udm.network.dns.questions.name |
Direkt zugeordnet. |
| column6 | read_only_udm.network.dns.questions.type |
Die Zuordnung erfolgt basierend auf dem Wert von type. Dabei wird mit bedingter Logik der entsprechende numerische Wert zugewiesen. |
| column8 | read_only_udm.network.sent_bytes |
In eine vorzeichenlose Ganzzahl umgewandelt und zugeordnet. |
read_only_udm.metadata.event_timestamp |
Wird aus den Feldern date und time erstellt, die aus column1 extrahiert wurden. | |
read_only_udm.event_type |
Auf NETWORK_DNS festlegen, wenn principal.ip vorhanden ist, andernfalls auf GENERIC_EVENT. |
|
read_only_udm.product_name |
Fest codiert auf AKAMAI_DNS. | |
read_only_udm.vendor_name |
Fest codiert auf AKAMAI_DNS. | |
read_only_udm.dataset |
Fest codiert auf AKAMAI_DNS. | |
read_only_udm.event_subtype |
Fest codiert auf DNS. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten