Raccogliere i log DNS di Akamai

Supportato in:

Questo parser elabora i log DNS di Akamai. Estrae campi come timestamp, IP e porta di origine, query, tipo di record DNS e dettagli della risposta. Quindi, mappa questi campi all'UDM, gestendo vari tipi di record DNS e potenziali record SPF. Il parser classifica l'evento come NETWORK_DNS o GENERIC_EVENT in base alla presenza di informazioni sul principale.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps.
  • Accesso con privilegi ad AWS IAM e S3.
  • Il tuo account Akamai ha accesso al servizio di distribuzione dei log.

Configura un bucket Amazon S3

  1. Crea un bucket Amazon S3 seguendo questa guida utente: Creazione di un bucket
  2. Salva il Nome e la Regione del bucket per riferimento futuro.
  3. Crea un utente seguendo questa guida utente: Creazione di un utente IAM.
  4. Seleziona l'utente creato.
  5. Seleziona la scheda Credenziali di sicurezza.
  6. Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.
  7. Seleziona Servizio di terze parti come Caso d'uso.
  8. Fai clic su Avanti.
  9. (Facoltativo) Aggiungi un tag di descrizione.
  10. Fai clic su Crea chiave di accesso.
  11. Fai clic su Scarica file .csv e salva la chiave di accesso e la chiave di accesso segreta per riferimento futuro.
  12. Fai clic su Fine.
  13. Seleziona la scheda Autorizzazioni.
  14. Fai clic su Aggiungi autorizzazioni nella sezione Norme relative alle autorizzazioni.
  15. Seleziona Aggiungi autorizzazioni.
  16. Seleziona Allega direttamente le norme.
  17. Cerca e seleziona il criterio AmazonS3FullAccess.
  18. Fai clic su Avanti.
  19. Fai clic su Aggiungi autorizzazioni.

Configura il servizio di distribuzione dei log in Akamai

  1. Accedi ad Akamai Control Center.
  2. Vai a Servizio di distribuzione dei log in Servizi di dati.
  3. Fai clic su Aggiungi nuova configurazione.
  4. Nel campo Nome configurazione, fornisci un nome per la configurazione (ad esempio, Log DNS Edge in S3).
  5. Seleziona Edge DNS come Origine log.
  6. Seleziona AWS S3 come destinazione di distribuzione.
  7. Fornisci i seguenti dettagli:
    • Nome bucket: il nome del bucket S3.
    • Regione: la regione AWS in cui è ospitato il bucket.
    • ID chiave di accesso: l'ID chiave di accesso utente IAM.
    • Chiave di accesso segreta: la chiave di accesso segreta dell'utente IAM.
    • (Facoltativo) Specifica la struttura delle directory. (ad esempio: logs/akamai-dns/YYYY/MM/DD/HH/).
    • (Facoltativo) Imposta la convenzione di denominazione dei file. (ad esempio: edge-dns-logs-{timestamp}.log).
  8. Seleziona i formati dei log che vuoi includere:
    • Query DNS
    • Risposte DNS
  9. Scegli la frequenza di pubblicazione:
    • Le opzioni includono l'invio orario, giornaliero o al raggiungimento di una determinata dimensione del file (ad esempio 100 MB).
  10. (Facoltativo) Fai clic su Aggiungi filtri per includere o escludere log specifici in base a criteri specifici (ad esempio, nome host o tipo di record).
  11. Esamina i dettagli della configurazione e fai clic su Salva e attiva.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed
  • Hub dei contenuti > Pacchetti di contenuti

Configura i feed da Impostazioni SIEM > Feed

Per configurare un feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Akamai DNS Logs).
  5. Seleziona Amazon S3 come Tipo di origine.
  6. Seleziona Akamai DNS come Tipo di log.
  7. Fai clic su Avanti.

  8. Specifica i valori per i seguenti parametri di input:

    • Region (Regione): la regione in cui si trova il bucket Amazon S3.

    • URI S3: l'URI del bucket.

      • s3://BUCKET_NAME

      Sostituisci quanto segue:

      • BUCKET_NAME: il nome del bucket.

    • L'URI è un: seleziona URI_TYPE in base alla configurazione dello stream di log (Singolo file | Directory | Directory che include sottodirectory).

    • Opzione di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.

    • ID chiave di accesso: la chiave di accesso utente con accesso al bucket S3.

    • Chiave di accesso segreta: la chiave segreta dell'utente con accesso al bucket S3.

    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.

    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.

  9. Fai clic su Avanti.

  10. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Configurare i feed dall'hub dei contenuti

Specifica i valori per i seguenti campi:

  • Region (Regione): la regione in cui si trova il bucket Amazon S3.

  • URI S3: l'URI del bucket.

    • s3://BUCKET_NAME

    Sostituisci quanto segue:

    • BUCKET_NAME: il nome del bucket.

  • L'URI è un: seleziona URI_TYPE in base alla configurazione dello stream di log (Singolo file | Directory | Directory che include sottodirectory).

  • Opzione di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.

  • ID chiave di accesso: la chiave di accesso utente con accesso al bucket S3.

  • Chiave di accesso segreta: la chiave segreta dell'utente con accesso al bucket S3.

Opzioni avanzate

  • Nome feed: un valore precompilato che identifica il feed.
  • Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
  • Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
  • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
class read_only_udm.network.dns.questions.class Se class è "IN", imposta il valore su 1. In caso contrario, tenta la conversione in un numero intero senza segno.
column11 read_only_udm.target.hostname Mappato se contiene un nome host e non contiene pattern specifici come "ip4", "=", ".net" o "10 mx0". Utilizzato anche per estrarre indirizzi IP, indirizzi email e dati di autorità DNS in base a vari pattern.
column11 read_only_udm.target.ip Estratto dalla column11 se corrisponde al pattern degli indirizzi IP all'interno dei record SPF.
column11 read_only_udm.target.user.email_addresses Estratto dalla column11 se corrisponde al pattern degli indirizzi email all'interno dei record DMARC.
column11 read_only_udm.network.dns.authority.data Estratto dalla column11 se corrisponde ai pattern per i nomi di dominio all'interno di vari tipi di record.
column11 read_only_udm.network.dns.response_code Imposta su 3 se column11 contiene "NXDOMAIN".
column2 read_only_udm.principal.ip Mappato se è un indirizzo IP valido.
column3 read_only_udm.principal.port Mappato se è un numero intero valido.
column4 read_only_udm.network.dns.questions.name Mappato direttamente.
column6 read_only_udm.network.dns.questions.type Mappato in base al valore di type, utilizzando la logica condizionale per assegnare il valore numerico corrispondente.
column8 read_only_udm.network.sent_bytes Convertito in un numero intero senza segno e mappato.
read_only_udm.metadata.event_timestamp Costruito a partire dai campi data e ora estratti da column1.
read_only_udm.event_type Imposta NETWORK_DNS se è presente principal.ip, altrimenti imposta GENERIC_EVENT.
read_only_udm.product_name Codificato in modo permanente su AKAMAI_DNS.
read_only_udm.vendor_name Codificato in modo permanente su AKAMAI_DNS.
read_only_udm.dataset Codificato in modo permanente su AKAMAI_DNS.
read_only_udm.event_subtype Codificato in modo permanente su DNS.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.