Recopila registros de DNS de Akamai
Este analizador procesa los registros de DNS de Akamai. Extrae campos como marcas de tiempo, IP y puerto de origen, consulta, tipo de registro DNS y detalles de la respuesta. Luego, asigna estos campos al UDM, controlando varios tipos de registros DNS y posibles registros SPF. El analizador clasifica el evento como NETWORK_DNS o GENERIC_EVENT según la presencia de información principal.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Instancia de Google SecOps.
- Acceso con privilegios a AWS IAM y S3
- Tu cuenta de Akamai tiene acceso al servicio de entrega de registros.
Configura un bucket de Amazon S3
- Crea un bucket de Amazon S3 siguiendo esta guía del usuario: Cómo crear un bucket
- Guarda el Nombre y la Región del bucket para referencia futura.
- Crea un usuario siguiendo esta guía del usuario: Cómo crear un usuario de IAM.
- Selecciona el usuario creado.
- Selecciona la pestaña Credenciales de seguridad.
- Haz clic en Crear clave de acceso en la sección Claves de acceso.
- Selecciona Servicio de terceros como el Caso de uso.
- Haz clic en Siguiente.
- Opcional: Agrega una etiqueta de descripción.
- Haz clic en Crear clave de acceso.
- Haz clic en Descargar archivo .csv y guarda la clave de acceso y la clave de acceso secreta para consultarlas más adelante.
- Haz clic en Listo.
- Selecciona la pestaña Permisos.
- Haz clic en Agregar permisos en la sección Políticas de permisos.
- Selecciona Agregar permisos.
- Selecciona Adjuntar políticas directamente.
- Busca y selecciona la política AmazonS3FullAccess.
- Haz clic en Siguiente.
- Haz clic en Agregar permisos.
Configura el servicio de entrega de registros en Akamai
- Accede a Akamai Control Center.
- Ve a Log Delivery Service en Data Services.
- Haz clic en Add New Configuration.
- En el campo Nombre de configuración, proporciona un nombre para tu configuración (por ejemplo, Registros de DNS perimetral en S3).
- Selecciona Edge DNS como la fuente de registro.
- Selecciona AWS S3 como el destino de entrega.
- Proporciona los siguientes detalles:
- Nombre del bucket: Es el nombre de tu bucket de S3.
- Región: Es la región de AWS en la que se aloja tu bucket.
- ID de clave de acceso: Es el ID de clave de acceso del usuario de IAM.
- Clave de acceso secreta: Es la clave de acceso secreta del usuario de IAM.
- Opcional: Especifica la estructura de directorios. (por ejemplo,
logs/akamai-dns/YYYY/MM/DD/HH/) - Opcional: Establece la Convención de nomenclatura de archivos. (por ejemplo,
edge-dns-logs-{timestamp}.log)
- Selecciona los formatos de registro que quieras incluir:
- Consultas de DNS
- Respuestas de DNS
- Elige la frecuencia de entrega:
- Las opciones incluyen cada hora, cada día o cuando se alcanza un cierto tamaño de archivo (por ejemplo, 100 MB).
- Opcional: Haz clic en Agregar filtros para incluir o excluir registros específicos según criterios determinados (por ejemplo, nombre de host o tipo de registro).
- Revisa los detalles de configuración y haz clic en Guardar y activar.
Configura feeds
Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:
- Configuración de SIEM > Feeds
- Centro de contenido > Paquetes de contenido
Configura feeds en Configuración del SIEM > Feeds
Para configurar un feed, sigue estos pasos:
- Ve a Configuración del SIEM > Feeds.
- Haz clic en Agregar feed nuevo.
- En la siguiente página, haz clic en Configurar un solo feed.
- En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de DNS de Akamai).
- Selecciona Amazon S3 como el Tipo de fuente.
- Selecciona DNS de Akamai como el Tipo de registro.
- Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- Región: Es la región en la que se encuentra el bucket de Amazon S3.
URI de S3: Es el URI del bucket.
s3://BUCKET_NAME
Reemplaza lo siguiente:
- BUCKET_NAME: Es el nombre del bucket.
URI is a: Selecciona
URI_TYPEsegún la configuración del flujo de registros (Single file | Directory | Directory which includes subdirectories).Opción de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.
ID de clave de acceso: Es la clave de acceso del usuario con acceso al bucket de S3.
Clave de acceso secreta: Es la clave secreta del usuario con acceso al bucket de S3.
Espacio de nombres del recurso: Es el espacio de nombres del recurso.
Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente.
Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.
Configura feeds desde el Centro de contenido
Especifica valores para los siguientes campos:
- Región: Es la región en la que se encuentra el bucket de Amazon S3.
URI de S3: Es el URI del bucket.
s3://BUCKET_NAME
Reemplaza lo siguiente:
- BUCKET_NAME: Es el nombre del bucket.
URI is a: Selecciona
URI_TYPEsegún la configuración del flujo de registros (Single file | Directory | Directory which includes subdirectories).Opción de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.
ID de clave de acceso: Es la clave de acceso del usuario con acceso al bucket de S3.
Clave de acceso secreta: Es la clave secreta del usuario con acceso al bucket de S3.
Opciones avanzadas
- Nombre del feed: Es un valor completado previamente que identifica el feed.
- Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
- Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
- Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| clase | read_only_udm.network.dns.questions.class |
Si class es "IN", se establece en 1. De lo contrario, intenta la conversión a un número entero sin signo. |
| column11 | read_only_udm.target.hostname |
Se asigna si contiene un nombre de host y no contiene patrones específicos como "ip4", "=", ".net" o "10 mx0". También se usa para extraer direcciones IP, direcciones de correo electrónico y datos de autoridad de DNS según varios patrones. |
| column11 | read_only_udm.target.ip |
Se extrae de column11 si coincide con el patrón de direcciones IP dentro de los registros SPF. |
| column11 | read_only_udm.target.user.email_addresses |
Se extrae de column11 si coincide con el patrón de las direcciones de correo electrónico dentro de los registros DMARC. |
| column11 | read_only_udm.network.dns.authority.data |
Se extrae de column11 si coincide con los patrones de nombres de dominio dentro de varios tipos de registros. |
| column11 | read_only_udm.network.dns.response_code |
Se establece en 3 si column11 contiene "NXDOMAIN". |
| column2 | read_only_udm.principal.ip |
Se asigna si es una dirección IP válida. |
| column3 | read_only_udm.principal.port |
Se asigna si es un número entero válido. |
| column4 | read_only_udm.network.dns.questions.name |
Se asigna directamente. |
| column6 | read_only_udm.network.dns.questions.type |
Se asigna según el valor de type, con lógica condicional para asignar el valor numérico correspondiente. |
| column8 | read_only_udm.network.sent_bytes |
Se convierte en un número entero sin signo y se asigna. |
read_only_udm.metadata.event_timestamp |
Se construye a partir de los campos fecha y hora extraídos de columna1. | |
read_only_udm.event_type |
Se establece en NETWORK_DNS si principal.ip está presente; de lo contrario, se establece en GENERIC_EVENT. |
|
read_only_udm.product_name |
Está codificado como AKAMAI_DNS. | |
read_only_udm.vendor_name |
Está codificado como AKAMAI_DNS. | |
read_only_udm.dataset |
Está codificado como AKAMAI_DNS. | |
read_only_udm.event_subtype |
Está codificado como DNS. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.