Recolha registos de DNS da Akamai

Compatível com:

Este analisador processa registos de DNS da Akamai. Extrai campos como as datas/horas, o IP e a porta de origem, a consulta, o tipo de registo DNS e os detalhes da resposta. Em seguida, mapeia estes campos para o UDM, processando vários tipos de registos de DNS e potenciais registos SPF. O analisador classifica o evento como NETWORK_DNSou GENERIC_EVENT com base na presença de informações principais.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

  • Instância do Google SecOps.
  • Acesso privilegiado ao AWS IAM e ao S3.
  • A sua conta da Akamai tem acesso ao serviço de entrega de registos.

Configure um contentor do Amazon S3

  1. Crie um contentor do Amazon S3 seguindo este manual do utilizador: Criar um contentor
  2. Guarde o Nome e a Região do contentor para referência futura.
  3. Crie um utilizador seguindo este guia do utilizador: criar um utilizador do IAM.
  4. Selecione o utilizador criado.
  5. Selecione o separador Credenciais de segurança.
  6. Clique em Criar chave de acesso na secção Chaves de acesso.
  7. Selecione Serviço de terceiros como o Exemplo de utilização.
  8. Clicar em Seguinte.
  9. Opcional: adicione uma etiqueta de descrição.
  10. Clique em Criar chave de acesso.
  11. Clique em Transferir ficheiro .csv e guarde a chave de acesso e a chave de acesso secreta para referência futura.
  12. Clique em Concluído.
  13. Selecione o separador Autorizações.
  14. Clique em Adicionar autorizações na secção Políticas de autorizações.
  15. Selecione Adicionar autorizações.
  16. Selecione Anexar políticas diretamente.
  17. Pesquise e selecione a política AmazonS3FullAccess.
  18. Clicar em Seguinte.
  19. Clique em Adicionar autorizações.

Configure o serviço de entrega de registos no Akamai

  1. Inicie sessão no Akamai Control Center.
  2. Aceda ao Serviço de entrega de registos em Serviços de dados.
  3. Clique em Adicionar nova configuração.
  4. No campo Nome da configuração, indique um nome para a configuração (por exemplo, Registos de DNS de limite para S3).
  5. Selecione DNS de limite como a Origem de registo.
  6. Selecione AWS S3 como o Destino de fornecimento.
  7. Forneça os seguintes detalhes:
    • Nome do contentor: o nome do seu contentor do S3.
    • Região: a região da AWS onde o seu contentor está alojado.
    • ID da chave de acesso: o ID da chave de acesso do utilizador do IAM.
    • Chave de acesso secreta: a chave de acesso secreta do utilizador do IAM.
    • Opcional: especifique a estrutura de diretórios. (por exemplo: logs/akamai-dns/YYYY/MM/DD/HH/).
    • Opcional: defina a convenção de nomenclatura de ficheiros. (por exemplo: edge-dns-logs-{timestamp}.log).
  8. Selecione os Formatos de registo que quer incluir:
    • Consultas DNS
    • Respostas de DNS
  9. Escolha a Frequência de envio:
    • As opções incluem por hora, diariamente ou quando é atingido um determinado tamanho do ficheiro (por exemplo, 100 MB).
  10. Opcional: clique em Adicionar filtros para incluir ou excluir registos específicos com base em critérios específicos (por exemplo, nome do anfitrião ou tipo de registo).
  11. Reveja os detalhes da configuração e clique em Guardar e ativar.

Configure feeds

Para configurar um feed, siga estes passos:

  1. Aceda a Definições do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na página seguinte, clique em Configurar um único feed.
  4. No campo Nome do feed, introduza um nome para o feed (por exemplo, Registos DNS da Akamai).
  5. Selecione Amazon S3 como o Tipo de origem.
  6. Selecione Akamai DNS como o Tipo de registo.
  7. Clicar em Seguinte.

  8. Especifique valores para os seguintes parâmetros de entrada:

    • Região: a região onde o contentor do Amazon S3 está localizado.

    • URI do S3: o URI do contentor.

      • s3://BUCKET_NAME

      Substitua o seguinte:

      • BUCKET_NAME: o nome do contentor.

    • O URI é um: selecione o URI_TYPE de acordo com a configuração da stream de registos (Ficheiro único | Diretório | Diretório que inclui subdiretórios).

    • Opção de eliminação da origem: selecione a opção de eliminação de acordo com a sua preferência.

    • ID da chave de acesso: a chave de acesso do utilizador com acesso ao contentor do S3.

    • Chave de acesso secreta: a chave secreta do utilizador com acesso ao contentor do S3.

    • Espaço de nomes do recurso: o espaço de nomes do recurso.

    • Etiquetas de carregamento: a etiqueta a aplicar aos eventos deste feed.

  9. Clicar em Seguinte.

  10. Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Tabela de mapeamento da UDM

Campo de registo Mapeamento de UDM Lógica
classe read_only_udm.network.dns.questions.class Se class for "IN", defina como 1. Caso contrário, tente a conversão para um número inteiro não assinado.
column11 read_only_udm.target.hostname Mapeado se contiver um nome de anfitrião e não contiver padrões específicos, como "ip4", "=", ".net" ou "10 mx0". Também é usado para extrair endereços IP, endereços de email e dados de autoridade DNS com base em vários padrões.
column11 read_only_udm.target.ip Extraído da column11 se corresponder ao padrão dos endereços IP nos registos SPF.
column11 read_only_udm.target.user.email_addresses Extraído da column11 se corresponder ao padrão dos endereços de email nos registos DMARC.
column11 read_only_udm.network.dns.authority.data Extraído da column11 se corresponder a padrões de nomes de domínios em vários tipos de registos.
column11 read_only_udm.network.dns.response_code Definido como 3 se column11 contiver "NXDOMAIN".
column2 read_only_udm.principal.ip Mapeado se for um endereço IP válido.
column3 read_only_udm.principal.port Mapeado se for um número inteiro válido.
column4 read_only_udm.network.dns.questions.name Mapeado diretamente.
column6 read_only_udm.network.dns.questions.type Mapeado com base no valor de type, usando a lógica condicional para atribuir o valor numérico correspondente.
column8 read_only_udm.network.sent_bytes Convertido num número inteiro sem sinal e mapeado.
read_only_udm.metadata.event_timestamp Construído a partir dos campos date e time extraídos de column1.
read_only_udm.event_type Definido como NETWORK_DNS se principal.ip estiver presente; caso contrário, definido como GENERIC_EVENT.
read_only_udm.product_name Codificado de forma rígida para AKAMAI_DNS.
read_only_udm.vendor_name Codificado de forma rígida para AKAMAI_DNS.
read_only_udm.dataset Codificado de forma rígida para AKAMAI_DNS.
read_only_udm.event_subtype Codificado de forma rígida para DNS.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.