Esse analisador processa registros de DNS da Akamai. Ele extrai campos como carimbos de data/hora, IP e porta de origem, consulta, tipo de registro DNS e detalhes da resposta. Em seguida, ele mapeia esses campos para a UDM, processando vários tipos de registros DNS e possíveis registros SPF. O analisador classifica o evento como NETWORK_DNS ou GENERIC_EVENT com base na presença de informações principais.
Antes de começar
Verifique se você atende aos seguintes pré-requisitos:
Instância do Google SecOps.
Acesso privilegiado ao IAM e ao S3 da AWS.
Sua conta da Akamai tem acesso ao serviço de entrega de registros.
Clique em Criar chave de acesso na seção Chaves de acesso.
Selecione Serviço de terceiros como o Caso de uso.
Clique em Próxima.
Opcional: adicione uma tag de descrição.
Clique em Criar chave de acesso.
Clique em Fazer o download do arquivo .csv e salve a chave de acesso e a chave de acesso secreta para referência futura.
Clique em Concluído.
Selecione a guia Permissões.
Clique em Adicionar permissões na seção Políticas de permissões.
Selecione Adicionar permissões.
Selecione Anexar políticas diretamente.
Pesquise e selecione a política AmazonS3FullAccess.
Clique em Próxima.
Clique em Adicionar permissões
Configurar o serviço de entrega de registros na Akamai
Faça login no Akamai Control Center.
Acesse Serviço de entrega de registros em Serviços de dados.
Clique em Adicionar nova configuração.
No campo Nome da configuração, forneça um nome para sua configuração (por exemplo, Registros do DNS de borda para o S3).
Selecione Edge DNS como a Origem do registro.
Selecione AWS S3 como o Destino de entrega.
Forneça os seguintes detalhes:
Nome do bucket: o nome do bucket do S3.
Região: a região da AWS em que o bucket está hospedado.
ID da chave de acesso: o ID da chave de acesso do usuário do IAM.
Chave de acesso secreta: a chave de acesso secreta do usuário do IAM.
Opcional: especifique a estrutura de diretórios. Por exemplo: logs/akamai-dns/YYYY/MM/DD/HH/.
Opcional: defina a Convenção de nomenclatura de arquivos. Por exemplo: edge-dns-logs-{timestamp}.log.
Selecione os Formatos de registro que você quer incluir:
Consultas DNS
Respostas de DNS
Escolha a Frequência de entrega:
As opções incluem por hora, por dia ou ao atingir um determinado tamanho de arquivo (por exemplo, 100 MB).
Opcional: clique em Adicionar filtros para incluir ou excluir registros específicos com base em critérios específicos (por exemplo, nome do host ou tipo de registro).
Revise os detalhes da configuração e clique em Salvar e ativar.
Configurar feeds
Para configurar um feed, siga estas etapas:
Acesse Configurações do SIEM>Feeds.
Clique em Adicionar novo feed.
Na próxima página, clique em Configurar um único feed.
No campo Nome do feed, insira um nome para o feed (por exemplo, Registros de DNS da Akamai).
Selecione Amazon S3 como o Tipo de origem.
Selecione DNS da Akamai como o Tipo de registro.
Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
Região: a região em que o bucket do Amazon S3 está localizado.
URI do S3: o URI do bucket.
s3://BUCKET_NAME
Substitua:
BUCKET_NAME: o nome do bucket.
URI é um: selecione o URI_TYPE de acordo com a configuração do fluxo de registros (Arquivo único | Diretório | Diretório que inclui subdiretórios).
Opção de exclusão da fonte: selecione a opção de exclusão de acordo com sua preferência.
ID da chave de acesso: a chave de acesso do usuário com acesso ao bucket do S3.
Chave de acesso secreta: a chave secreta do usuário com acesso ao bucket do S3.
Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.
Clique em Próxima.
Revise a nova configuração do feed na tela de finalização e clique em Enviar.
Tabela de mapeamento do UDM
Campo de registro
Mapeamento do UDM
Lógica
class
read_only_udm.network.dns.questions.class
Se class for "IN", defina como 1. Caso contrário, tente a conversão para um número inteiro sem sinal.
column11
read_only_udm.target.hostname
Mapeado se contiver um nome de host e não contiver padrões específicos, como "ip4", "=", ".net" ou "10 mx0". Também usado para extrair endereços IP, endereços de e-mail e dados de autoridade de DNS com base em vários padrões.
column11
read_only_udm.target.ip
Extraído de column11 se corresponder ao padrão de endereços IP em registros SPF.
column11
read_only_udm.target.user.email_addresses
Extraído de column11 se corresponder ao padrão de endereços de e-mail nos registros DMARC.
column11
read_only_udm.network.dns.authority.data
Extraído de column11 se corresponder a padrões de nomes de domínio em vários tipos de registros.
column11
read_only_udm.network.dns.response_code
Defina como 3 se column11 contiver "NXDOMAIN".
column2
read_only_udm.principal.ip
Mapeado se for um endereço IP válido.
column3
read_only_udm.principal.port
Mapeado se for um número inteiro válido.
column4
read_only_udm.network.dns.questions.name
Mapeado diretamente.
column6
read_only_udm.network.dns.questions.type
Mapeado com base no valor de type, usando lógica condicional para atribuir o valor numérico correspondente.
column8
read_only_udm.network.sent_bytes
Convertido em um número inteiro sem sinal e mapeado.
read_only_udm.metadata.event_timestamp
Construído com base nos campos data e hora extraídos de column1.
read_only_udm.event_type
Definido como NETWORK_DNS se principal.ip estiver presente. Caso contrário, será definido como GENERIC_EVENT.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-21 UTC."],[[["\u003cp\u003eThis document provides instructions for collecting and parsing Akamai DNS logs within Google SecOps, enabling security teams to monitor and analyze DNS activity.\u003c/p\u003e\n"],["\u003cp\u003eThe setup involves configuring an Amazon S3 bucket to store the logs and an Akamai Log Delivery Service to send the logs to the S3 bucket, ensuring that an IAM user is set with proper permissions.\u003c/p\u003e\n"],["\u003cp\u003eGoogle SecOps ingests Akamai DNS logs via a configured feed, which requires the S3 bucket location and credentials, and supports different URI types and source deletion options.\u003c/p\u003e\n"],["\u003cp\u003eThe parser extracts and maps key data points from Akamai DNS logs, such as timestamps, IP addresses, DNS queries, and response codes, into the Unified Data Model (UDM), categorizing the event as either \u003ccode\u003eNETWORK_DNS\u003c/code\u003e or \u003ccode\u003eGENERIC_EVENT\u003c/code\u003e.\u003c/p\u003e\n"],["\u003cp\u003eThe configuration enables the collection of DNS Queries and DNS Responses Logs formats from the Akamai Log Delivery Service, allowing the use of filters to exclude or include specific logs based on various criteria.\u003c/p\u003e\n"]]],[],null,["# Collect Akamai DNS logs\n=======================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n| **Note:** This feature is covered by [Pre-GA Offerings Terms](https://chronicle.security/legal/service-terms/) of the Google Security Operations Service Specific Terms. Pre-GA features might have limited support, and changes to pre-GA features might not be compatible with other pre-GA versions. For more information, see the [Google SecOps Technical Support Service guidelines](https://chronicle.security/legal/technical-support-services-guidelines/) and the [Google SecOps Service Specific Terms](https://chronicle.security/legal/service-terms/).\n\nThis parser processes Akamai DNS logs. It extracts fields like timestamps, source IP and port, query, DNS record type, and response details. It then maps these fields to the UDM, handling various DNS record types and potential SPF records. The parser classifies the event as either `NETWORK_DNS`or `GENERIC_EVENT` based on the presence of principal information.\n\nBefore you begin\n----------------\n\nEnsure that you have the following prerequisites:\n\n- Google SecOps instance.\n- Privileged access to AWS IAM and S3.\n- Your Akamai account has access to the Log Delivery Service.\n\nConfigure an Amazon S3 bucket\n-----------------------------\n\n1. Create an **Amazon S3 bucket** following this user guide: [Creating a bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/creating-bucket.html)\n2. Save the bucket **Name** and **Region** for future reference.\n3. Create a **User** following this user guide: [Creating an IAM user](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console).\n4. Select the created **User**.\n5. Select the **Security credentials** tab.\n6. Click **Create Access Key** in the **Access Keys** section.\n7. Select **Third-party service** as the **Use case**.\n8. Click **Next**.\n9. Optional: Add a description tag.\n10. Click **Create access key**.\n11. Click **Download .csv file** and save the **Access Key** and **Secret Access Key** for future reference.\n12. Click **Done**.\n13. Select the **Permissions** tab.\n14. Click **Add permissions** in the **Permissions policies** section.\n15. Select **Add permissions**.\n16. Select **Attach policies directly**.\n17. Search for and select the **AmazonS3FullAccess** policy.\n18. Click **Next**.\n19. Click **Add permissions**.\n\nConfigure Log Delivery Service in Akamai\n----------------------------------------\n\n1. Sign in to the Akamai Control Center.\n2. Go to **Log Delivery Service** under **Data Services**.\n3. Click **Add New Configuration**.\n4. In the **Configuration Name** field, provide a name for your configuration (for example, **Edge DNS Logs to S3**).\n5. Select **Edge DNS** as the **Log Source**.\n6. Select **AWS S3** as the **Delivery Target**.\n7. Provide the following details:\n - **Bucket Name**: the name of your S3 bucket.\n - **Region**: the AWS region where your bucket is hosted.\n - **Access Key ID**: the IAM user Access Key ID.\n - **Secret Access Key**: the IAM user Secret Access Key.\n - Optional: specify the **Directory Structure** . (for example: `logs/akamai-dns/YYYY/MM/DD/HH/`).\n - Optional: set the **File Naming Convention** . (for example: `edge-dns-logs-{timestamp}.log`).\n8. Select the **Log Formats** you want to include:\n - DNS Queries\n - DNS Responses\n9. Choose the **Delivery Frequency** :\n - Options include hourly, daily, or upon reaching a certain file size (for example, 100MB).\n10. Optional: Click **Add Filters** to include or exclude specific logs based on specific criteria (for example, hostname or record type).\n11. Review the configuration details and click **Save and Activate**.\n\nSet up feeds\n------------\n\nTo configure a feed, follow these steps:\n\n1. Go to **SIEM Settings** \\\u003e **Feeds**.\n2. Click **Add New Feed**.\n3. On the next page, click **Configure a single feed**.\n4. In the **Feed name** field, enter a name for the feed (for example, **Akamai DNS Logs**).\n5. Select **Amazon S3** as the **Source type**.\n6. Select **Akamai DNS** as the **Log type**.\n7. Click **Next**.\n8. Specify values for the following input parameters:\n\n - **Region**: the region where the Amazon S3 bucket is located.\n - **S3 URI**: the bucket URI.\n\n - `s3://BUCKET_NAME`\n\n Replace the following:\n - **BUCKET_NAME**: the name of the bucket.\n - **URI is a** : select the `URI_TYPE` according to log stream configuration (**Single file** \\| **Directory** \\| **Directory which includes subdirectories**).\n\n - **Source deletion option**: select deletion option according to your preference.\n\n | **Note:** If you select the `Delete transferred files` or `Delete transferred files and empty directories` option, make sure that you granted appropriate permissions to the service account.\n - **Access Key ID**: the User access key with access to the s3 bucket.\n\n - **Secret Access Key**: the User secret key with access to the s3 bucket.\n\n - **Asset namespace** : the [asset namespace](/chronicle/docs/investigation/asset-namespaces).\n\n - **Ingestion labels**: the label to be applied to the events from this feed.\n\n9. Click **Next**.\n\n10. Review your new feed configuration in the **Finalize screen** , and then click **Submit**.\n\nUDM Mapping Table\n-----------------\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]
