Mengumpulkan log DNS Akamai

Didukung di:

Parser ini memproses log DNS Akamai. Log ini mengekstrak kolom seperti stempel waktu, IP dan port sumber, kueri, jenis data DNS, dan detail respons. Kemudian, kolom ini memetakan kolom tersebut ke UDM, menangani berbagai jenis data DNS dan potensi data SPF. Parser mengklasifikasikan peristiwa sebagai NETWORK_DNSatau GENERIC_EVENT berdasarkan keberadaan informasi utama.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps.
  • Akses istimewa ke AWS IAM dan S3.
  • Akun Akamai Anda memiliki akses ke Layanan Pengiriman Log.

Mengonfigurasi bucket Amazon S3

  1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
  2. Simpan Nama dan Region bucket untuk referensi di masa mendatang.
  3. Buat Pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
  4. Pilih Pengguna yang dibuat.
  5. Pilih tab Kredensial keamanan.
  6. Klik Create Access Key di bagian Access Keys.
  7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
  8. Klik Berikutnya.
  9. Opsional: Tambahkan tag deskripsi.
  10. Klik Create access key.
  11. Klik Download file .csv, lalu simpan Kunci Akses dan Kunci Akses Rahasia untuk referensi di masa mendatang.
  12. Klik Selesai.
  13. Pilih tab Izin.
  14. Klik Tambahkan izin di bagian Kebijakan izin.
  15. Pilih Tambahkan izin.
  16. Pilih Lampirkan kebijakan secara langsung.
  17. Telusuri dan pilih kebijakan AmazonS3FullAccess.
  18. Klik Berikutnya.
  19. Klik Tambahkan izin.

Mengonfigurasi Layanan Pengiriman Log di Akamai

  1. Login ke Akamai Control Center.
  2. Buka Log Delivery Service di bagian Data Services.
  3. Klik Add New Configuration.
  4. Di kolom Configuration Name, berikan nama untuk konfigurasi Anda (misalnya, Edge DNS Logs to S3).
  5. Pilih Edge DNS sebagai Sumber Log.
  6. Pilih AWS S3 sebagai Target Pengiriman.
  7. Berikan detail berikut:
    • Bucket Name: nama bucket S3 Anda.
    • Region: region AWS tempat bucket Anda dihosting.
    • Access Key ID: ID Kunci Akses pengguna IAM.
    • Secret Access Key: Secret Access Key pengguna IAM.
    • Opsional: tentukan Struktur Direktori. (misalnya: logs/akamai-dns/YYYY/MM/DD/HH/).
    • Opsional: tetapkan Konvensi Penamaan File. (misalnya: edge-dns-logs-{timestamp}.log).
  8. Pilih Log Formats yang ingin Anda sertakan:
    • Kueri DNS
    • Respons DNS
  9. Pilih Frekuensi Penayangan:
    • Opsi mencakup per jam, harian, atau setelah mencapai ukuran file tertentu (misalnya, 100 MB).
  10. Opsional: Klik Tambahkan Filter untuk menyertakan atau mengecualikan log tertentu berdasarkan kriteria tertentu (misalnya, nama host atau jenis catatan).
  11. Tinjau detail konfigurasi, lalu klik Simpan dan Aktifkan.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

  • Setelan SIEM > Feed
  • Hub Konten > Paket Konten

Menyiapkan feed dari Setelan SIEM > Feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasi satu feed.
  4. Di kolom Feed name, masukkan nama feed (misalnya, Akamai DNS Logs).
  5. Pilih Amazon S3 sebagai Jenis sumber.
  6. Pilih Akamai DNS sebagai Log type.
  7. Klik Berikutnya.

  8. Tentukan nilai untuk parameter input berikut:

    • Region: region tempat bucket Amazon S3 berada.

    • URI S3: URI bucket.

      • s3://BUCKET_NAME

      Ganti kode berikut:

      • BUCKET_NAME: nama bucket.

    • URI adalah: pilih URI_TYPE sesuai dengan konfigurasi streaming log (File tunggal | Direktori | Direktori yang menyertakan subdirektori).

    • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.

    • Access Key ID: Kunci akses pengguna dengan akses ke bucket s3.

    • Secret Access Key: kunci rahasia Pengguna dengan akses ke bucket s3.

    • Namespace aset: namespace aset.

    • Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini.

  9. Klik Berikutnya.

  10. Tinjau konfigurasi feed baru Anda di layar Finalisasi, lalu klik Kirim.

Menyiapkan feed dari Hub Konten

Tentukan nilai untuk kolom berikut:

  • Region: region tempat bucket Amazon S3 berada.

  • URI S3: URI bucket.

    • s3://BUCKET_NAME

    Ganti kode berikut:

    • BUCKET_NAME: nama bucket.

  • URI adalah: pilih URI_TYPE sesuai dengan konfigurasi streaming log (File tunggal | Direktori | Direktori yang menyertakan subdirektori).

  • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.

  • Access Key ID: Kunci akses pengguna dengan akses ke bucket s3.

  • Secret Access Key: kunci rahasia Pengguna dengan akses ke bucket s3.

Opsi lanjutan

  • Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
  • Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
  • Namespace Aset: Namespace yang terkait dengan feed.
  • Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
class read_only_udm.network.dns.questions.class Jika class adalah "IN", tetapkan ke 1. Jika tidak, coba konversi ke bilangan bulat yang tidak bertanda tangan.
column11 read_only_udm.target.hostname Dipetakan jika berisi nama host dan tidak berisi pola tertentu seperti "ip4", "=", ".net", atau "10 mx0". Juga digunakan untuk mengekstrak alamat IP, alamat email, dan data otoritas DNS berdasarkan berbagai pola.
column11 read_only_udm.target.ip Diekstrak dari column11 jika cocok dengan pola alamat IP dalam data SPF.
column11 read_only_udm.target.user.email_addresses Diekstrak dari column11 jika cocok dengan pola alamat email dalam data DMARC.
column11 read_only_udm.network.dns.authority.data Diekstrak dari column11 jika cocok dengan pola nama domain dalam berbagai jenis data.
column11 read_only_udm.network.dns.response_code Tetapkan ke 3 jika column11 berisi "NXDOMAIN".
column2 read_only_udm.principal.ip Dipetakan jika merupakan alamat IP yang valid.
column3 read_only_udm.principal.port Dipetakan jika merupakan bilangan bulat yang valid.
column4 read_only_udm.network.dns.questions.name Dipetakan secara langsung.
column6 read_only_udm.network.dns.questions.type Dipetakan berdasarkan nilai type, menggunakan logika bersyarat untuk menetapkan nilai numerik yang sesuai.
column8 read_only_udm.network.sent_bytes Dikonversi menjadi bilangan bulat yang tidak bertanda dan dipetakan.
read_only_udm.metadata.event_timestamp Dibuat dari kolom date dan time yang diekstrak dari column1.
read_only_udm.event_type Tetapkan ke NETWORK_DNS jika principal.ip ada, jika tidak, tetapkan ke GENERIC_EVENT.
read_only_udm.product_name Dikodekan secara permanen ke AKAMAI_DNS.
read_only_udm.vendor_name Dikodekan secara permanen ke AKAMAI_DNS.
read_only_udm.dataset Dikodekan secara permanen ke AKAMAI_DNS.
read_only_udm.event_subtype Hardcode ke DNS.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.