Akamai DNS のログを収集する

以下でサポートされています。

このパーサーは Akamai DNS ログを処理します。タイムスタンプ、送信元 IP とポート、クエリ、DNS レコードタイプ、レスポンスの詳細などのフィールドを抽出します。次に、これらのフィールドを UDM にマッピングし、さまざまな DNS レコード タイプと SPF レコードを処理します。パーサーは、プリンシパル情報の有無に基づいて、イベントを NETWORK_DNS または GENERIC_EVENT として分類します。

始める前に

次の前提条件を満たしていることを確認します。

  • Google SecOps インスタンス。
  • AWS IAM と S3 への特権アクセス。
  • Akamai アカウントでログ配信サービスにアクセスできる。

Amazon S3 バケットを構成する

  1. バケットの作成のユーザーガイドに沿って、Amazon S3 バケットを作成します。
  2. バケットの名前リージョンを後で参照できるように保存します。
  3. IAM ユーザーの作成のユーザーガイドに沿って、ユーザーを作成します。
  4. 作成した [ユーザー] を選択します。
  5. [セキュリティ認証情報] タブを選択します。
  6. [アクセスキー] セクションで [アクセスキーを作成] をクリックします。
  7. [ユースケース] として [サードパーティ サービス] を選択します。
  8. [次へ] をクリックします。
  9. (省略可)説明タグを追加します。
  10. [アクセスキーを作成] をクリックします。
  11. [.csv ファイルをダウンロード] をクリックし、[アクセスキー] と [シークレット アクセスキー] を保存して、今後の参照に備えます。
  12. [完了] をクリックします。
  13. [権限] タブを選択します。
  14. [権限ポリシー] セクションで、[権限を追加] をクリックします。
  15. [権限を追加] を選択します。
  16. [ポリシーを直接アタッチする] を選択します。
  17. AmazonS3FullAccess ポリシーを検索して選択します。
  18. [次へ] をクリックします。
  19. [権限を追加] をクリックします。

Akamai で Log Delivery Service を構成する

  1. Akamai コントロール センターにログインします。
  2. [データサービス] の [ログ配信サービス] に移動します。
  3. [新しい構成を追加] をクリックします。
  4. [構成名] フィールドに、構成の名前を入力します(例: Edge DNS Logs to S3)。
  5. [ログソース] として [Edge DNS] を選択します。
  6. [配信ターゲット] で [AWS S3] を選択します。
  7. 以下の詳細を入力します。
    • バケット名: S3 バケットの名前。
    • リージョン: バケットがホストされている AWS リージョン。
    • アクセスキー ID: IAM ユーザーのアクセスキー ID。
    • シークレット アクセスキー: IAM ユーザーのシークレット アクセスキー。
    • 省略可: ディレクトリ構造を指定します。(例: logs/akamai-dns/YYYY/MM/DD/HH/)。
    • 省略可: [ファイル命名規則] を設定します。(例: edge-dns-logs-{timestamp}.log)。
  8. 含めるログ形式を選択します。
    • DNS クエリ
    • DNS レスポンス
  9. [配信頻度] を選択します。
    • オプションには、1 時間ごと、1 日ごと、特定のファイルサイズ(100 MB など)に達したときなどがあります。
  10. 省略可: [フィルタを追加] をクリックして、特定の条件(ホスト名やレコード タイプなど)に基づいて特定のログを含めるか除外します。
  11. 構成の詳細を確認して、[保存して有効にする] をクリックします。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。

  • [SIEM 設定] > [フィード]
  • [Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

フィードを構成する手順は次のとおりです。

  1. [SIEM Settings] > [Feeds] に移動します。
  2. [Add New Feed] をクリックします。
  3. 次のページで [単一のフィードを設定] をクリックします。
  4. [フィード名] フィールドに、フィードの名前を入力します(例: Akamai DNS Logs)。
  5. [ソースタイプ] として [Amazon S3] を選択します。
  6. [ログタイプ] として [Akamai DNS] を選択します。
  7. [次へ] をクリックします。

  8. 次の入力パラメータの値を指定します。

    • リージョン: Amazon S3 バケットが配置されているリージョン。

    • S3 URI: バケット URI。

      • s3://BUCKET_NAME

      以下を置き換えます。

      • BUCKET_NAME: バケットの名前。

    • URI is a: ログストリームの構成([単一ファイル] | [ディレクトリ] | [サブディレクトリを含むディレクトリ])に応じて URI_TYPE を選択します。

    • Source deletion option: 必要に応じて削除オプションを選択します。

    • アクセスキー ID: s3 バケットにアクセスできるユーザー アクセスキー。

    • シークレット アクセスキー: s3 バケットにアクセスできるユーザーのシークレット キー。

    • アセットの名前空間: アセットの名前空間

    • Ingestion labels: このフィードのイベントに適用されるラベル。

  9. [次へ] をクリックします。

  10. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

コンテンツ ハブからフィードを設定する

次のフィールドに値を指定します。

  • リージョン: Amazon S3 バケットが配置されているリージョン。

  • S3 URI: バケット URI。

    • s3://BUCKET_NAME

    以下を置き換えます。

    • BUCKET_NAME: バケットの名前。

  • URI is a: ログストリームの構成([単一ファイル] | [ディレクトリ] | [サブディレクトリを含むディレクトリ])に応じて URI_TYPE を選択します。

  • Source deletion option: 必要に応じて削除オプションを選択します。

  • アクセスキー ID: s3 バケットにアクセスできるユーザー アクセスキー。

  • シークレット アクセスキー: s3 バケットにアクセスできるユーザーのシークレット キー。

詳細オプション

  • フィード名: フィードを識別する事前入力された値。
  • ソースタイプ: Google SecOps にログを収集するために使用される方法。
  • アセットの名前空間: フィードに関連付けられた名前空間。
  • Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

UDM マッピング テーブル

ログフィールド UDM マッピング 論理
クラス read_only_udm.network.dns.questions.class class が「IN」の場合は、1 に設定します。それ以外の場合は、符号なし整数への変換を試みます。
column11 read_only_udm.target.hostname ホスト名が含まれていて、「ip4」、「=」、「.net」、「10 mx0」などの特定のパターンが含まれていない場合はマッピングされます。さまざまなパターンに基づいて IP アドレス、メールアドレス、DNS 権限データを抽出するためにも使用されます。
column11 read_only_udm.target.ip column11 から抽出されます(SPF レコード内の IP アドレスのパターンと一致する場合)。
column11 read_only_udm.target.user.email_addresses column11 から抽出されます(DMARC レコード内のメールアドレスのパターンと一致する場合)。
column11 read_only_udm.network.dns.authority.data さまざまなレコードタイプのドメイン名のパターンと一致する場合、column11 から抽出されます。
column11 read_only_udm.network.dns.response_code column11 に「NXDOMAIN」が含まれている場合は 3 に設定します。
column2 read_only_udm.principal.ip 有効な IP アドレスの場合にマッピングされます。
column3 read_only_udm.principal.port 有効な整数の場合にマッピングされます。
column4 read_only_udm.network.dns.questions.name 直接マッピングされます。
column6 read_only_udm.network.dns.questions.type type の値に基づいてマッピングされ、条件ロジックを使用して対応する数値を割り当てます。
column8 read_only_udm.network.sent_bytes 符号なし整数に変換され、マッピングされます。
read_only_udm.metadata.event_timestamp column1 から抽出された date フィールドと time フィールドから構築されます。
read_only_udm.event_type principal.ip が存在する場合は NETWORK_DNS に設定し、それ以外の場合は GENERIC_EVENT に設定します。
read_only_udm.product_name AKAMAI_DNS にハードコードされています。
read_only_udm.vendor_name AKAMAI_DNS にハードコードされています。
read_only_udm.dataset AKAMAI_DNS にハードコードされています。
read_only_udm.event_subtype DNS にハードコードされています。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。