收集 Akamai DNS 日志

支持的语言:

此解析器用于处理 Akamai DNS 日志。它会提取时间戳、来源 IP 和端口、查询、DNS 记录类型和响应详细信息等字段。然后,它会将这些字段映射到 UDM,处理各种 DNS 记录类型和潜在的 SPF 记录。解析器会根据是否存在正文信息将事件归类为 NETWORK_DNSGENERIC_EVENT

准备工作

确保您满足以下前提条件:

  • Google SecOps 实例。
  • 对 AWS IAM 和 S3 的特权访问权限。
  • 您的 Akamai 账号有权访问日志传送服务。

配置 Amazon S3 存储桶

  1. 按照以下用户指南创建 Amazon S3 存储桶创建存储桶
  2. 保存相应存储桶的名称区域,以供日后参考。
  3. 按照以下用户指南创建用户创建 IAM 用户
  4. 选择创建的用户
  5. 选择安全凭据标签页。
  6. 访问密钥部分中,点击创建访问密钥
  7. 选择第三方服务作为使用情形
  8. 点击下一步
  9. 可选:添加说明标记。
  10. 点击创建访问密钥
  11. 点击下载 .csv 文件,然后保存访问密钥密钥以供日后参考。
  12. 点击完成
  13. 选择权限标签页。
  14. 权限政策部分中,点击添加权限
  15. 选择添加权限
  16. 选择直接附加政策
  17. 搜索并选择 AmazonS3FullAccess 政策。
  18. 点击下一步
  19. 点击添加权限

在 Akamai 中配置日志传送服务

  1. 登录 Akamai 控制中心。
  2. 数据服务下,前往 Log Delivery Service
  3. 点击 Add New Configuration
  4. 配置名称字段中,为配置提供一个名称(例如 Edge DNS 日志到 S3)。
  5. 选择 Edge DNS 作为 Log Source(日志来源)。
  6. 选择 AWS S3 作为分发目标
  7. 提供以下详细信息:
    • 存储桶名称:您的 S3 存储桶的名称。
    • 区域:存储桶所在的 AWS 区域。
    • 访问密钥 ID:IAM 用户的访问密钥 ID。
    • 私有访问密钥:IAM 用户的私有访问密钥。
    • 可选:指定目录结构。(例如:logs/akamai-dns/YYYY/MM/DD/HH/)。
    • 可选:设置文件命名惯例。(例如:edge-dns-logs-{timestamp}.log)。
  8. 选择要添加的日志格式
    • DNS 查询
    • DNS 响应
  9. 选择交付频率
    • 选项包括每小时、每天或达到特定文件大小(例如 100MB)。
  10. 可选:点击添加过滤条件,根据特定条件(例如主机名或记录类型)包含或排除特定日志。
  11. 查看配置详细信息,然后点击保存并启用

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:

  • SIEM 设置 > Feed
  • 内容中心 > 内容包

通过“SIEM 设置”>“Feed”设置 Feed

如需配置 Feed,请按以下步骤操作:

  1. 依次前往 SIEM 设置 > Feed
  2. 点击添加新 Feed
  3. 在下一页上,点击配置单个 Feed
  4. Feed 名称字段中,输入 Feed 的名称(例如 Akamai DNS 日志)。
  5. 选择 Amazon S3 作为来源类型
  6. 选择 Akamai DNS 作为日志类型
  7. 点击下一步

  8. 为以下输入参数指定值:

    • 区域:Amazon S3 存储桶所在的区域。

    • S3 URI:存储桶 URI。

      • s3://BUCKET_NAME

      替换以下内容:

      • BUCKET_NAME:相应存储桶的名称。

    • URI is a:根据日志流配置选择 URI_TYPESingle file [单个文件] | Directory [目录] | Directory which includes subdirectories [包含子目录的目录])。

    • 来源删除选项:根据您的偏好设置选择删除选项。

    • 访问密钥 ID:具有 S3 存储桶访问权限的用户访问密钥。

    • 私有访问密钥:有权访问 S3 存储桶的用户私有密钥。

    • 资源命名空间资源命名空间

    • 注入标签:要应用于此 Feed 中事件的标签。

  9. 点击下一步

  10. “Finalize”界面中查看新的 Feed 配置,然后点击提交

设置来自内容中心的 Feed

为以下字段指定值:

  • 区域:Amazon S3 存储桶所在的区域。

  • S3 URI:存储桶 URI。

    • s3://BUCKET_NAME

    替换以下内容:

    • BUCKET_NAME:相应存储桶的名称。

  • URI is a:根据日志流配置选择 URI_TYPESingle file [单个文件] | Directory [目录] | Directory which includes subdirectories [包含子目录的目录])。

  • 来源删除选项:根据您的偏好设置选择删除选项。

  • 访问密钥 ID:具有 S3 存储桶访问权限的用户访问密钥。

  • 私有访问密钥:有权访问 S3 存储桶的用户私有密钥。

高级选项

  • Feed 名称:用于标识 Feed 的预填充值。
  • 来源类型:用于将日志收集到 Google SecOps 中的方法。
  • 资源命名空间:与 Feed 关联的命名空间。
  • 提取标签:应用于相应 Feed 中所有事件的标签。

UDM 映射表

日志字段 UDM 映射 逻辑
read_only_udm.network.dns.questions.class 如果 class 为“IN”,则设置为 1。否则,尝试转换为无符号整数。
column11 read_only_udm.target.hostname 如果包含主机名且不包含“ip4”“=”“.net”“10 mx0”等特定模式,则会进行映射。还用于根据各种模式提取 IP 地址、电子邮件地址和 DNS 授权数据。
column11 read_only_udm.target.ip 如果与 SPF 记录中的 IP 地址模式匹配,则从 column11 中提取。
column11 read_only_udm.target.user.email_addresses 如果 column11 中的值与 DMARC 记录中的电子邮件地址模式匹配,则从该列中提取。
column11 read_only_udm.network.dns.authority.data 如果 column11 中的内容与各种记录类型中的域名模式匹配,则从中提取。
column11 read_only_udm.network.dns.response_code 如果 column11 包含“NXDOMAIN”,则设置为 3。
column2 read_only_udm.principal.ip 如果它是有效的 IP 地址,则会进行映射。
column3 read_only_udm.principal.port 如果它是有效的整数,则进行映射。
column4 read_only_udm.network.dns.questions.name 直接映射。
column6 read_only_udm.network.dns.questions.type 根据 type 的值进行映射,使用条件逻辑分配相应的数值。
column8 read_only_udm.network.sent_bytes 转换为无符号整数并进行映射。
read_only_udm.metadata.event_timestamp 根据从 column1 中提取的日期时间字段构建。
read_only_udm.event_type 如果存在 principal.ip,则设置为 NETWORK_DNS,否则设置为 GENERIC_EVENT
read_only_udm.product_name 硬编码为 AKAMAI_DNS
read_only_udm.vendor_name 硬编码为 AKAMAI_DNS
read_only_udm.dataset 硬编码为 AKAMAI_DNS
read_only_udm.event_subtype 硬编码为 DNS

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。