Mit diesem Parser werden Akamai-DNS-Logs verarbeitet. Es werden Felder wie Zeitstempel, Quell-IP und ‑Port, Abfrage, DNS-Eintragstyp und Antwortdetails extrahiert. Anschließend werden diese Felder der UDM zugeordnet, wobei verschiedene DNS-Eintragstypen und potenzielle SPF-Einträge berücksichtigt werden. Der Parser klassifiziert das Ereignis je nach Vorhandensein von Hauptinformationen als NETWORK_DNS oder GENERIC_EVENT.
Hinweise
Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:
Google SecOps-Instanz.
Privilegierter Zugriff auf AWS IAM und S3.
Ihr Akamai-Konto hat Zugriff auf den Log Delivery Service.
Amazon S3-Bucket konfigurieren
Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu der Anleitung unter Bucket erstellen.
Speichern Sie den Namen und die Region des Buckets zur späteren Verwendung.
Klicken Sie im Abschnitt Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
Wählen Sie als AnwendungsfallDrittanbieterdienst aus.
Klicken Sie auf Weiter.
Optional: Fügen Sie ein Beschreibungstag hinzu.
Klicken Sie auf Zugriffsschlüssel erstellen.
Klicken Sie auf CSV-Datei herunterladen und speichern Sie den Zugriffsschlüssel und den geheimen Zugriffsschlüssel für die zukünftige Verwendung.
Klicken Sie auf Fertig.
Wählen Sie den Tab Berechtigungen aus.
Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
Wählen Sie Berechtigungen hinzufügen aus.
Wählen Sie Richtlinien direkt anhängen aus.
Suchen Sie nach der Richtlinie AmazonS3FullAccess und wählen Sie sie aus.
Klicken Sie auf Weiter.
Klicken Sie auf Berechtigungen hinzufügen.
Log Delivery Service in Akamai konfigurieren
Melden Sie sich im Akamai Control Center an.
Rufen Sie unter Datendienste den Log Delivery Service auf.
Klicken Sie auf Neue Konfiguration hinzufügen.
Geben Sie im Feld Configuration Name (Konfigurationsname) einen Namen für Ihre Konfiguration ein, z. B. Edge DNS Logs to S3 (Edge-DNS-Logs zu S3).
Wählen Sie Edge DNS als Log Source (Logquelle) aus.
Wählen Sie AWS S3 als Bereitstellungsziel aus.
Geben Sie die folgenden Informationen ein:
Bucket-Name: Der Name Ihres S3-Buckets.
Region: Die AWS-Region, in der Ihr Bucket gehostet wird.
Access Key ID (Zugriffsschlüssel-ID): Die Zugriffsschlüssel-ID des IAM-Nutzers.
Secret Access Key (geheimer Zugriffsschlüssel): Der geheime Zugriffsschlüssel des IAM-Nutzers.
Optional: Geben Sie die Verzeichnisstruktur an. Beispiel: logs/akamai-dns/YYYY/MM/DD/HH/
Optional: Legen Sie die Dateinamenskonvention fest. Beispiel: edge-dns-logs-{timestamp}.log
Wählen Sie die Log-Formate aus, die Sie einbeziehen möchten:
DNS-Abfragen
DNS-Antworten
Wählen Sie die Lieferhäufigkeit aus:
Sie können die Häufigkeit des Exports festlegen, z. B. stündlich, täglich oder wenn eine bestimmte Dateigröße erreicht wird (z. B. 100 MB).
Optional: Klicken Sie auf Filter hinzufügen, um bestimmte Logs anhand bestimmter Kriterien (z. B. Hostname oder Datensatztyp) ein- oder auszuschließen.
Prüfen Sie die Konfigurationsdetails und klicken Sie auf Speichern und aktivieren.
Feeds einrichten
So konfigurieren Sie einen Feed:
Rufen Sie die SIEM-Einstellungen>Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Akamai DNS Logs (Akamai-DNS-Logs).
Wählen Sie Amazon S3 als Quelltyp aus.
Wählen Sie Akamai DNS als Logtyp aus.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
Region: Die Region, in der sich der Amazon S3-Bucket befindet.
S3-URI: Der Bucket-URI.
s3://BUCKET_NAME
Ersetzen Sie Folgendes:
BUCKET_NAME: Der Name des Buckets.
URI ist ein: Wählen Sie URI_TYPE entsprechend der Konfiguration des Logstreams aus (Einzelne Datei | Verzeichnis | Verzeichnis mit Unterverzeichnissen).
Option zum Löschen der Quelle: Wählen Sie die gewünschte Option zum Löschen aus.
Zugriffsschlüssel-ID: Der Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
Secret Access Key (Geheimer Zugriffsschlüssel): Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.
Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Finalize screen (Bildschirm „Abschließen“) und klicken Sie dann auf Submit (Senden).
UDM-Zuordnungstabelle
Logfeld
UDM-Zuordnung
Logik
class
read_only_udm.network.dns.questions.class
Wenn class „IN“ ist, wird der Wert auf 1 gesetzt. Andernfalls wird versucht, die Zahl in eine vorzeichenlose Ganzzahl umzuwandeln.
column11
read_only_udm.target.hostname
Wird zugeordnet, wenn sie einen Hostnamen enthält und keine bestimmten Muster wie „ip4“, „=“, „.net“ oder „10 mx0“ enthält. Wird auch verwendet, um IP-Adressen, E-Mail-Adressen und DNS-Autoritätsdaten basierend auf verschiedenen Mustern zu extrahieren.
column11
read_only_udm.target.ip
Wird aus column11 extrahiert, wenn sie dem Muster für IP-Adressen in SPF-Einträgen entspricht.
column11
read_only_udm.target.user.email_addresses
Wird aus column11 extrahiert, wenn sie dem Muster für E‑Mail-Adressen in DMARC-Einträgen entspricht.
column11
read_only_udm.network.dns.authority.data
Wird aus column11 extrahiert, wenn sie mit Mustern für Domainnamen in verschiedenen Datensatztypen übereinstimmt.
column11
read_only_udm.network.dns.response_code
Wird auf 3 gesetzt, wenn column11 „NXDOMAIN“ enthält.
column2
read_only_udm.principal.ip
Wird zugeordnet, wenn es sich um eine gültige IP-Adresse handelt.
column3
read_only_udm.principal.port
Wird zugeordnet, wenn es sich um eine gültige Ganzzahl handelt.
column4
read_only_udm.network.dns.questions.name
Direkt zugeordnet.
column6
read_only_udm.network.dns.questions.type
Die Zuordnung erfolgt basierend auf dem Wert von type. Dabei wird mit bedingter Logik der entsprechende numerische Wert zugewiesen.
column8
read_only_udm.network.sent_bytes
In eine vorzeichenlose Ganzzahl umgewandelt und zugeordnet.
read_only_udm.metadata.event_timestamp
Wird aus den Feldern date und time erstellt, die aus column1 extrahiert wurden.
read_only_udm.event_type
Auf NETWORK_DNS festlegen, wenn principal.ip vorhanden ist, andernfalls auf GENERIC_EVENT.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-02 (UTC)."],[[["\u003cp\u003eThis document provides instructions for collecting and parsing Akamai DNS logs within Google SecOps, enabling security teams to monitor and analyze DNS activity.\u003c/p\u003e\n"],["\u003cp\u003eThe setup involves configuring an Amazon S3 bucket to store the logs and an Akamai Log Delivery Service to send the logs to the S3 bucket, ensuring that an IAM user is set with proper permissions.\u003c/p\u003e\n"],["\u003cp\u003eGoogle SecOps ingests Akamai DNS logs via a configured feed, which requires the S3 bucket location and credentials, and supports different URI types and source deletion options.\u003c/p\u003e\n"],["\u003cp\u003eThe parser extracts and maps key data points from Akamai DNS logs, such as timestamps, IP addresses, DNS queries, and response codes, into the Unified Data Model (UDM), categorizing the event as either \u003ccode\u003eNETWORK_DNS\u003c/code\u003e or \u003ccode\u003eGENERIC_EVENT\u003c/code\u003e.\u003c/p\u003e\n"],["\u003cp\u003eThe configuration enables the collection of DNS Queries and DNS Responses Logs formats from the Akamai Log Delivery Service, allowing the use of filters to exclude or include specific logs based on various criteria.\u003c/p\u003e\n"]]],[],null,["# Collect Akamai DNS logs\n=======================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n| **Note:** This feature is covered by [Pre-GA Offerings Terms](https://chronicle.security/legal/service-terms/) of the Google Security Operations Service Specific Terms. Pre-GA features might have limited support, and changes to pre-GA features might not be compatible with other pre-GA versions. For more information, see the [Google SecOps Technical Support Service guidelines](https://chronicle.security/legal/technical-support-services-guidelines/) and the [Google SecOps Service Specific Terms](https://chronicle.security/legal/service-terms/).\n\nThis parser processes Akamai DNS logs. It extracts fields like timestamps, source IP and port, query, DNS record type, and response details. It then maps these fields to the UDM, handling various DNS record types and potential SPF records. The parser classifies the event as either `NETWORK_DNS`or `GENERIC_EVENT` based on the presence of principal information.\n\nBefore you begin\n----------------\n\nEnsure that you have the following prerequisites:\n\n- Google SecOps instance.\n- Privileged access to AWS IAM and S3.\n- Your Akamai account has access to the Log Delivery Service.\n\nConfigure an Amazon S3 bucket\n-----------------------------\n\n1. Create an **Amazon S3 bucket** following this user guide: [Creating a bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/creating-bucket.html)\n2. Save the bucket **Name** and **Region** for future reference.\n3. Create a **User** following this user guide: [Creating an IAM user](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console).\n4. Select the created **User**.\n5. Select the **Security credentials** tab.\n6. Click **Create Access Key** in the **Access Keys** section.\n7. Select **Third-party service** as the **Use case**.\n8. Click **Next**.\n9. Optional: Add a description tag.\n10. Click **Create access key**.\n11. Click **Download .csv file** and save the **Access Key** and **Secret Access Key** for future reference.\n12. Click **Done**.\n13. Select the **Permissions** tab.\n14. Click **Add permissions** in the **Permissions policies** section.\n15. Select **Add permissions**.\n16. Select **Attach policies directly**.\n17. Search for and select the **AmazonS3FullAccess** policy.\n18. Click **Next**.\n19. Click **Add permissions**.\n\nConfigure Log Delivery Service in Akamai\n----------------------------------------\n\n1. Sign in to the Akamai Control Center.\n2. Go to **Log Delivery Service** under **Data Services**.\n3. Click **Add New Configuration**.\n4. In the **Configuration Name** field, provide a name for your configuration (for example, **Edge DNS Logs to S3**).\n5. Select **Edge DNS** as the **Log Source**.\n6. Select **AWS S3** as the **Delivery Target**.\n7. Provide the following details:\n - **Bucket Name**: the name of your S3 bucket.\n - **Region**: the AWS region where your bucket is hosted.\n - **Access Key ID**: the IAM user Access Key ID.\n - **Secret Access Key**: the IAM user Secret Access Key.\n - Optional: specify the **Directory Structure** . (for example: `logs/akamai-dns/YYYY/MM/DD/HH/`).\n - Optional: set the **File Naming Convention** . (for example: `edge-dns-logs-{timestamp}.log`).\n8. Select the **Log Formats** you want to include:\n - DNS Queries\n - DNS Responses\n9. Choose the **Delivery Frequency** :\n - Options include hourly, daily, or upon reaching a certain file size (for example, 100MB).\n10. Optional: Click **Add Filters** to include or exclude specific logs based on specific criteria (for example, hostname or record type).\n11. Review the configuration details and click **Save and Activate**.\n\nSet up feeds\n------------\n\nTo configure a feed, follow these steps:\n\n1. Go to **SIEM Settings** \\\u003e **Feeds**.\n2. Click **Add New Feed**.\n3. On the next page, click **Configure a single feed**.\n4. In the **Feed name** field, enter a name for the feed (for example, **Akamai DNS Logs**).\n5. Select **Amazon S3** as the **Source type**.\n6. Select **Akamai DNS** as the **Log type**.\n7. Click **Next**.\n8. Specify values for the following input parameters:\n\n - **Region**: the region where the Amazon S3 bucket is located.\n - **S3 URI**: the bucket URI.\n\n - `s3://BUCKET_NAME`\n\n Replace the following:\n - **BUCKET_NAME**: the name of the bucket.\n - **URI is a** : select the `URI_TYPE` according to log stream configuration (**Single file** \\| **Directory** \\| **Directory which includes subdirectories**).\n\n - **Source deletion option**: select deletion option according to your preference.\n\n | **Note:** If you select the `Delete transferred files` or `Delete transferred files and empty directories` option, make sure that you granted appropriate permissions to the service account.\n - **Access Key ID**: the User access key with access to the s3 bucket.\n\n - **Secret Access Key**: the User secret key with access to the s3 bucket.\n\n - **Asset namespace** : the [asset namespace](/chronicle/docs/investigation/asset-namespaces).\n\n - **Ingestion labels**: the label to be applied to the events from this feed.\n\n9. Click **Next**.\n\n10. Review your new feed configuration in the **Finalize screen** , and then click **Submit**.\n\nUDM Mapping Table\n-----------------\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]
