Recoger registros DNS de Akamai

Disponible en:

Este analizador procesa los registros DNS de Akamai. Extrae campos como marcas de tiempo, IP y puerto de origen, consulta, tipo de registro DNS y detalles de la respuesta. Después, asigna estos campos al UDM, gestionando varios tipos de registros DNS y posibles registros SPF. El analizador clasifica el evento como NETWORK_DNS o GENERIC_EVENT en función de si hay información principal.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps.
  • Acceso privilegiado a AWS IAM y S3.
  • Tu cuenta de Akamai tiene acceso al servicio de entrega de registros.

Configurar un segmento de Amazon S3

  1. Crea un segmento de Amazon S3 siguiendo esta guía del usuario: Crear un segmento.
  2. Guarda el nombre y la región del contenedor para consultarlos más adelante.
  3. Crea un usuario siguiendo esta guía: Crear un usuario de gestión de identidades y accesos.
  4. Selecciona el usuario creado.
  5. Selecciona la pestaña Credenciales de seguridad.
  6. En la sección Claves de acceso, haz clic en Crear clave de acceso.
  7. Selecciona Servicio de terceros como Caso práctico.
  8. Haz clic en Siguiente.
  9. Opcional: añade una etiqueta de descripción.
  10. Haz clic en Crear clave de acceso.
  11. Haz clic en Descargar archivo .csv y guarda la clave de acceso y la clave de acceso secreta para consultarlas más adelante.
  12. Haz clic en Listo.
  13. Selecciona la pestaña Permisos.
  14. En la sección Políticas de permisos, haz clic en Añadir permisos.
  15. Selecciona Añadir permisos.
  16. Seleccione Adjuntar políticas directamente.
  17. Busca y selecciona la política AmazonS3FullAccess.
  18. Haz clic en Siguiente.
  19. Haz clic en Añadir permisos.

Configurar el servicio de entrega de registros en Akamai

  1. Inicia sesión en Akamai Control Center.
  2. Ve a Servicio de entrega de registros en Servicios de datos.
  3. Haz clic en Añadir nueva configuración.
  4. En el campo Configuration Name (Nombre de configuración), asigna un nombre a la configuración (por ejemplo, Registros de Edge DNS en S3).
  5. Selecciona Edge DNS como Log Source (Origen del registro).
  6. Seleccione AWS S3 como Delivery Target (Destino de entrega).
  7. Proporcione los siguientes datos:
    • Nombre del segmento: el nombre de tu segmento de S3.
    • Región: la región de AWS en la que se aloja el segmento.
    • ID de clave de acceso: el ID de clave de acceso del usuario de IAM.
    • Clave de acceso secreta: la clave de acceso secreta del usuario de IAM.
    • Opcional: especifica la estructura de directorios. Por ejemplo, logs/akamai-dns/YYYY/MM/DD/HH/.
    • Opcional: define la convención de nomenclatura de archivos. Por ejemplo, edge-dns-logs-{timestamp}.log.
  8. Selecciona los formatos de registro que quieras incluir:
    • Consultas de DNS
    • Respuestas de DNS
  9. Elige la Frecuencia de entrega:
    • Entre las opciones se incluyen la frecuencia horaria, diaria o cuando se alcance un tamaño de archivo determinado (por ejemplo, 100 MB).
  10. Opcional: Haz clic en Añadir filtros para incluir o excluir registros específicos en función de criterios concretos (por ejemplo, el nombre de host o el tipo de registro).
  11. Revise los detalles de la configuración y haga clic en Guardar y activar.

Configurar feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Añadir feed.
  3. En la página siguiente, haga clic en Configurar un solo feed.
  4. En el campo Nombre del feed, introduzca un nombre para el feed (por ejemplo, Registros DNS de Akamai).
  5. Selecciona Amazon S3 como Tipo de fuente.
  6. Seleccione Akamai DNS como Tipo de registro.
  7. Haz clic en Siguiente.

  8. Especifique los valores de los siguientes parámetros de entrada:

    • Región: la región en la que se encuentra el segmento de Amazon S3.

    • URI de S3: el URI del segmento.

      • s3://BUCKET_NAME

      Haz los cambios siguientes:

      • BUCKET_NAME: el nombre del segmento.

    • URI es un: selecciona el URI_TYPE según la configuración del flujo de registro (Archivo único, Directorio o Directorio que incluye subdirectorios).

    • Opción de eliminación de la fuente: selecciona la opción de eliminación que prefieras.

    • ID de clave de acceso: la clave de acceso del usuario con acceso al segmento de S3.

    • Clave de acceso secreta: la clave secreta del usuario con acceso al segmento de S3.

    • Espacio de nombres de recursos: el espacio de nombres de recursos.

    • Etiquetas de ingestión: etiqueta que se aplicará a los eventos de este feed.

  9. Haz clic en Siguiente.

  10. Revise la nueva configuración del feed en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
clase read_only_udm.network.dns.questions.class Si class es "IN", se le asigna el valor 1. De lo contrario, intenta convertirlo en un entero sin signo.
column11 read_only_udm.target.hostname Se asigna si contiene un nombre de host y no contiene patrones específicos como "ip4", "=", ".net" o "10 mx0". También se usa para extraer direcciones IP, direcciones de correo electrónico y datos de autoridad de DNS en función de varios patrones.
column11 read_only_udm.target.ip Se extrae de column11 si coincide con el patrón de las direcciones IP de los registros SPF.
column11 read_only_udm.target.user.email_addresses Se extrae de column11 si coincide con el patrón de las direcciones de correo de los registros DMARC.
column11 read_only_udm.network.dns.authority.data Se extrae de la column11 si coincide con patrones de nombres de dominio de varios tipos de registros.
column11 read_only_udm.network.dns.response_code Se asigna el valor 3 si column11 contiene "NXDOMAIN".
column2 read_only_udm.principal.ip Se asigna si es una dirección IP válida.
column3 read_only_udm.principal.port Se asigna si es un número entero válido.
column4 read_only_udm.network.dns.questions.name Asignación directa.
column6 read_only_udm.network.dns.questions.type Se asigna en función del valor de type mediante lógica condicional para asignar el valor numérico correspondiente.
column8 read_only_udm.network.sent_bytes Se convierte en un entero sin signo y se asigna.
read_only_udm.metadata.event_timestamp Se ha creado a partir de los campos fecha y hora extraídos de columna1.
read_only_udm.event_type Se asigna el valor NETWORK_DNS si principal.ip está presente. De lo contrario, se asigna el valor GENERIC_EVENT.
read_only_udm.product_name Codificado de forma rígida como AKAMAI_DNS.
read_only_udm.vendor_name Codificado de forma rígida como AKAMAI_DNS.
read_only_udm.dataset Codificado de forma rígida como AKAMAI_DNS.
read_only_udm.event_subtype Codificado de forma rígida en DNS.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.