Esta página foi traduzida pela API Cloud Translation.

Coletar registros DNS da Akamai

Compatível com:

Google SecOps SIEM

Esse analisador processa registros de DNS da Akamai. Ele extrai campos como carimbos de data/hora, IP e porta de origem, consulta, tipo de registro DNS e detalhes da resposta. Em seguida, ele mapeia esses campos para a UDM, processando vários tipos de registros DNS e possíveis registros SPF. O analisador classifica o evento como NETWORK_DNS ou GENERIC_EVENT com base na presença de informações principais.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

Instância do Google SecOps.
Acesso privilegiado ao IAM e ao S3 da AWS.
Sua conta da Akamai tem acesso ao serviço de entrega de registros.

Configurar um bucket do Amazon S3

Crie um bucket do Amazon S3 seguindo este guia do usuário: Como criar um bucket
Salve o Nome e a Região do bucket para referência futura.
Crie um usuário seguindo este guia: Como criar um usuário do IAM.
Selecione o usuário criado.
Selecione a guia Credenciais de segurança.
Clique em Criar chave de acesso na seção Chaves de acesso.
Selecione Serviço de terceiros como o Caso de uso.
Clique em Próxima.
Opcional: adicione uma tag de descrição.
Clique em Criar chave de acesso.
Clique em Fazer o download do arquivo .csv e salve a chave de acesso e a chave de acesso secreta para referência futura.
Clique em Concluído.
Selecione a guia Permissões.
Clique em Adicionar permissões na seção Políticas de permissões.
Selecione Adicionar permissões.
Selecione Anexar políticas diretamente.
Pesquise e selecione a política AmazonS3FullAccess.
Clique em Próxima.
Clique em Adicionar permissões

Configurar o serviço de entrega de registros na Akamai

Faça login no Akamai Control Center.
Acesse Serviço de entrega de registros em Serviços de dados.
Clique em Adicionar nova configuração.
No campo Nome da configuração, forneça um nome para sua configuração (por exemplo, Registros do DNS de borda para o S3).
Selecione Edge DNS como a Origem do registro.
Selecione AWS S3 como o Destino de entrega.
Forneça os seguintes detalhes:
- Nome do bucket: o nome do bucket do S3.
- Região: a região da AWS em que o bucket está hospedado.
- ID da chave de acesso: o ID da chave de acesso do usuário do IAM.
- Chave de acesso secreta: a chave de acesso secreta do usuário do IAM.
- Opcional: especifique a estrutura de diretórios. Por exemplo: logs/akamai-dns/YYYY/MM/DD/HH/.
- Opcional: defina a Convenção de nomenclatura de arquivos. Por exemplo: edge-dns-logs-{timestamp}.log.
Selecione os Formatos de registro que você quer incluir:
- Consultas DNS
- Respostas de DNS
Escolha a Frequência de entrega:
- As opções incluem por hora, por dia ou ao atingir um determinado tamanho de arquivo (por exemplo, 100 MB).
Opcional: clique em Adicionar filtros para incluir ou excluir registros específicos com base em critérios específicos (por exemplo, nome do host ou tipo de registro).
Revise os detalhes da configuração e clique em Salvar e ativar.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

Configurações do SIEM > Feeds
Central de conteúdo > Pacotes de conteúdo

Configure feeds em "Configurações do SIEM" > "Feeds".

Para configurar um feed, siga estas etapas:

Acesse Configurações do SIEM > Feeds.
Clique em Adicionar novo feed.
Na próxima página, clique em Configurar um único feed.
No campo Nome do feed, insira um nome para o feed (por exemplo, Registros de DNS da Akamai).
Selecione Amazon S3 como o Tipo de origem.
Selecione DNS da Akamai como o Tipo de registro.
Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- Região: a região em que o bucket do Amazon S3 está localizado.
- URI do S3: o URI do bucket.
  - s3://BUCKET_NAME
  Substitua:
  - BUCKET_NAME: o nome do bucket.
- URI é um: selecione o URI_TYPE de acordo com a configuração do fluxo de registros (Arquivo único | Diretório | Diretório que inclui subdiretórios).
- Opção de exclusão da fonte: selecione a opção de exclusão de acordo com sua preferência.
  
  Observação: se você selecionar a opção Delete transferred files ou Delete transferred files and empty directories, verifique se concedeu as permissões adequadas à conta de serviço.
- ID da chave de acesso: a chave de acesso do usuário com acesso ao bucket do S3.
- Chave de acesso secreta: a chave secreta do usuário com acesso ao bucket do S3.
- Namespace do recurso: o namespace do recurso.
- Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.
Clique em Próxima.
Revise a nova configuração do feed na tela de finalização e clique em Enviar.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

Região: a região em que o bucket do Amazon S3 está localizado.
URI do S3: o URI do bucket.
- s3://BUCKET_NAME
Substitua:
- BUCKET_NAME: o nome do bucket.
URI é um: selecione o URI_TYPE de acordo com a configuração do fluxo de registros (Arquivo único | Diretório | Diretório que inclui subdiretórios).
Opção de exclusão da fonte: selecione a opção de exclusão de acordo com sua preferência.

Observação: se você selecionar a opção Delete transferred files ou Delete transferred files and empty directories, verifique se concedeu as permissões adequadas à conta de serviço.
ID da chave de acesso: a chave de acesso do usuário com acesso ao bucket do S3.
Chave de acesso secreta: a chave secreta do usuário com acesso ao bucket do S3.

Opções avançadas

Nome do feed: um valor pré-preenchido que identifica o feed.
Tipo de origem: método usado para coletar registros no Google SecOps.
Namespace do recurso: namespace associado ao feed.
Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
class	`read_only_udm.network.dns.questions.class`	Se class for "IN", defina como 1. Caso contrário, tente a conversão para um número inteiro sem sinal.
column11	`read_only_udm.target.hostname`	Mapeado se contiver um nome de host e não contiver padrões específicos, como "ip4", "=", ".net" ou "10 mx0". Também usado para extrair endereços IP, endereços de e-mail e dados de autoridade de DNS com base em vários padrões.
column11	`read_only_udm.target.ip`	Extraído de column11 se corresponder ao padrão de endereços IP em registros SPF.
column11	`read_only_udm.target.user.email_addresses`	Extraído de column11 se corresponder ao padrão de endereços de e-mail nos registros DMARC.
column11	`read_only_udm.network.dns.authority.data`	Extraído de column11 se corresponder a padrões de nomes de domínio em vários tipos de registros.
column11	`read_only_udm.network.dns.response_code`	Defina como 3 se column11 contiver "NXDOMAIN".
column2	`read_only_udm.principal.ip`	Mapeado se for um endereço IP válido.
column3	`read_only_udm.principal.port`	Mapeado se for um número inteiro válido.
column4	`read_only_udm.network.dns.questions.name`	Mapeado diretamente.
column6	`read_only_udm.network.dns.questions.type`	Mapeado com base no valor de type, usando lógica condicional para atribuir o valor numérico correspondente.
column8	`read_only_udm.network.sent_bytes`	Convertido em um número inteiro sem sinal e mapeado.
	`read_only_udm.metadata.event_timestamp`	Construído com base nos campos data e hora extraídos de column1.
	`read_only_udm.event_type`	Definido como NETWORK_DNS se `principal.ip` estiver presente. Caso contrário, será definido como GENERIC_EVENT.
	`read_only_udm.product_name`	Codificado como AKAMAI_DNS.
	`read_only_udm.vendor_name`	Codificado como AKAMAI_DNS.
	`read_only_udm.dataset`	Codificado como AKAMAI_DNS.
	`read_only_udm.event_subtype`	Codificado como DNS.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.