Collecter les journaux DNS Akamai
Ce parseur traite les journaux DNS Akamai. Il extrait des champs tels que les codes temporels, l'adresse IP et le port sources, la requête, le type d'enregistrement DNS et les détails de la réponse. Il mappe ensuite ces champs à l'UDM, en gérant différents types d'enregistrements DNS et les éventuels enregistrements SPF. Le parseur classe l'événement comme NETWORK_DNS ou GENERIC_EVENT en fonction de la présence d'informations principales.
Avant de commencer
Assurez-vous de remplir les conditions préalables suivantes :
- Instance Google SecOps.
- Accès privilégié à AWS IAM et S3.
- Votre compte Akamai a accès au service de livraison des journaux.
Configurer un bucket Amazon S3
- Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur : Créer un bucket.
- Enregistrez le nom et la région du bucket pour référence ultérieure.
- Créez un utilisateur en suivant ce guide de l'utilisateur : Créer un utilisateur IAM.
- Sélectionnez l'utilisateur créé.
- Sélectionnez l'onglet Informations d'identification de sécurité.
- Cliquez sur Créer une clé d'accès dans la section Clés d'accès.
- Sélectionnez Service tiers comme Cas d'utilisation.
- Cliquez sur Suivant.
- Facultatif : Ajoutez un tag de description.
- Cliquez sur Créer une clé d'accès.
- Cliquez sur Download .csv file (Télécharger le fichier .csv), puis enregistrez la clé d'accès et la clé d'accès secrète pour pouvoir les consulter ultérieurement.
- Cliquez sur OK.
- Sélectionnez l'onglet Autorisations.
- Cliquez sur Ajouter des autorisations dans la section Règles d'autorisation.
- Sélectionnez Ajouter des autorisations.
- Sélectionnez Joindre directement des règles.
- Recherchez et sélectionnez la règle AmazonS3FullAccess.
- Cliquez sur Suivant.
- Cliquez sur Ajouter des autorisations.
Configurer le service de diffusion des journaux dans Akamai
- Connectez-vous à Akamai Control Center.
- Accédez à Service de livraison des journaux sous Services de données.
- Cliquez sur Add New Configuration (Ajouter une configuration).
- Dans le champ Nom de la configuration, saisissez un nom pour votre configuration (par exemple, Journaux Edge DNS vers S3).
- Sélectionnez Edge DNS comme Source du journal.
- Sélectionnez AWS S3 comme cible de diffusion.
- Spécifiez les informations suivantes :
- Nom du bucket : nom de votre bucket S3.
- Région : région AWS dans laquelle votre bucket est hébergé.
- ID de clé d'accès : ID de clé d'accès de l'utilisateur IAM.
- Clé d'accès secrète : clé d'accès secrète de l'utilisateur IAM.
- Facultatif : spécifiez la structure du répertoire. (par exemple,
logs/akamai-dns/YYYY/MM/DD/HH/). - (Facultatif) Définissez la convention de nommage des fichiers. (par exemple,
edge-dns-logs-{timestamp}.log).
- Sélectionnez les formats de journaux que vous souhaitez inclure :
- Requêtes DNS
- Réponses DNS
- Sélectionnez la fréquence d'envoi :
- Vous pouvez choisir de les exporter toutes les heures, tous les jours ou lorsqu'ils atteignent une certaine taille (par exemple, 100 Mo).
- Facultatif : Cliquez sur Ajouter des filtres pour inclure ou exclure des journaux spécifiques en fonction de critères spécifiques (par exemple, le nom d'hôte ou le type d'enregistrement).
- Vérifiez les informations de configuration, puis cliquez sur Enregistrer et activer.
Configurer des flux
Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :
- Paramètres SIEM> Flux
- Plate-forme de contenu > Packs de contenu
Configurer des flux à partir de Paramètres SIEM > Flux
Pour configurer un flux, procédez comme suit :
- Accédez à Paramètres SIEM > Flux.
- Cliquez sur Add New Feed (Ajouter un flux).
- Sur la page suivante, cliquez sur Configurer un seul flux.
- Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux DNS Akamai).
- Sélectionnez Amazon S3 comme Type de source.
- Sélectionnez Akamai DNS comme type de journal.
- Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants :
- Région : région dans laquelle se trouve le bucket Amazon S3.
URI S3 : URI du bucket.
s3://BUCKET_NAME
Remplacez les éléments suivants :
- BUCKET_NAME : nom du bucket.
URI est un : sélectionnez
URI_TYPEen fonction de la configuration du flux de journaux (Fichier unique | Répertoire | Répertoire incluant des sous-répertoires).Option de suppression de la source : sélectionnez l'option de suppression de votre choix.
ID de clé d'accès : clé d'accès utilisateur ayant accès au bucket S3.
Clé d'accès secrète : clé secrète de l'utilisateur ayant accès au bucket S3.
Espace de noms de l'élément : espace de noms de l'élément.
Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux sur l'écran de finalisation, puis cliquez sur Envoyer.
Configurer des flux depuis le Hub de contenu
Indiquez les valeurs des champs suivants :
- Région : région dans laquelle se trouve le bucket Amazon S3.
URI S3 : URI du bucket.
s3://BUCKET_NAME
Remplacez les éléments suivants :
- BUCKET_NAME : nom du bucket.
URI est un : sélectionnez
URI_TYPEen fonction de la configuration du flux de journaux (Fichier unique | Répertoire | Répertoire incluant des sous-répertoires).Option de suppression de la source : sélectionnez l'option de suppression de votre choix.
ID de clé d'accès : clé d'accès utilisateur ayant accès au bucket S3.
Clé d'accès secrète : clé secrète de l'utilisateur ayant accès au bucket S3.
Options avancées
- Nom du flux : valeur préremplie qui identifie le flux.
- Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
- Espace de noms de l'élément : espace de noms associé au flux.
- Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.
Table de mappage UDM
| Champ de journal | Mappage UDM | Logique |
|---|---|---|
| class | read_only_udm.network.dns.questions.class |
Si class est défini sur "IN", définissez-le sur 1. Sinon, tentez de convertir la valeur en entier non signé. |
| column11 | read_only_udm.target.hostname |
Mappé s'il contient un nom d'hôte et ne contient pas de modèles spécifiques tels que "ip4", "=", ".net" ou "10 mx0". Également utilisé pour extraire les adresses IP, les adresses e-mail et les données d'autorité DNS en fonction de différents modèles. |
| column11 | read_only_udm.target.ip |
Extrait de column11 s'il correspond au modèle des adresses IP dans les enregistrements SPF. |
| column11 | read_only_udm.target.user.email_addresses |
Extrait de column11 s'il correspond au modèle des adresses e-mail dans les enregistrements DMARC. |
| column11 | read_only_udm.network.dns.authority.data |
Extrait de column11 s'il correspond à des modèles de noms de domaine dans différents types d'enregistrements. |
| column11 | read_only_udm.network.dns.response_code |
Définissez la valeur sur 3 si column11 contient "NXDOMAIN". |
| column2 | read_only_udm.principal.ip |
Mappée s'il s'agit d'une adresse IP valide. |
| column3 | read_only_udm.principal.port |
Mappé s'il s'agit d'un entier valide. |
| column4 | read_only_udm.network.dns.questions.name |
Mappé directement. |
| column6 | read_only_udm.network.dns.questions.type |
Mappé en fonction de la valeur de type, à l'aide d'une logique conditionnelle pour attribuer la valeur numérique correspondante. |
| column8 | read_only_udm.network.sent_bytes |
Convertie en entier non signé et mappée. |
read_only_udm.metadata.event_timestamp |
Construit à partir des champs date et time extraits de column1. | |
read_only_udm.event_type |
Définissez-le sur NETWORK_DNS si principal.ip est présent, sinon définissez-le sur GENERIC_EVENT. |
|
read_only_udm.product_name |
Codé en dur sur AKAMAI_DNS. | |
read_only_udm.vendor_name |
Codé en dur sur AKAMAI_DNS. | |
read_only_udm.dataset |
Codé en dur sur AKAMAI_DNS. | |
read_only_udm.event_subtype |
Codé en dur sur DNS. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.