收集 Akamai DNS 記錄
支援的國家/地區:
Google SecOps
SIEM
這個剖析器會處理 Akamai DNS 記錄。並擷取時間戳記、來源 IP 和通訊埠、查詢、DNS 記錄類型和回應詳細資料等欄位。然後將這些欄位對應至 UDM,處理各種 DNS 記錄類型和潛在的 SPF 記錄。剖析器會根據主體資訊是否存在,將事件分類為 NETWORK_DNS 或 GENERIC_EVENT。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體。
- AWS IAM 和 S3 的特殊權限。
- 您的 Akamai 帳戶可存取記錄檔傳送服務。
設定 Amazon S3 儲存空間
- 按照這份使用者指南建立 Amazon S3 值區:建立值區
- 儲存 bucket 的「Name」(名稱) 和「Region」(區域),以供日後參考。
- 請按照這份使用者指南建立使用者:建立 IAM 使用者。
- 選取建立的「使用者」。
- 選取「安全憑證」分頁標籤。
- 在「Access Keys」部分中,按一下「Create Access Key」。
- 選取「第三方服務」做為「用途」。
- 點選「下一步」。
- 選用:新增說明標記。
- 按一下「建立存取金鑰」。
- 按一下「Download .csv file」(下載 .csv 檔案),然後儲存「Access Key」(存取金鑰) 和「Secret Access Key」(私密存取金鑰),以供日後參考。
- 按一下 [完成]。
- 選取 [權限] 分頁標籤。
- 在「權限政策」部分,按一下「新增權限」。
- 選取「新增權限」。
- 選取「直接附加政策」。
- 搜尋並選取 AmazonS3FullAccess 政策。
- 點選「下一步」。
- 按一下「新增權限」。
在 Akamai 中設定記錄檔傳送服務
- 登入 Akamai Control Center。
- 前往「資料服務」下方的「記錄檔傳送服務」。
- 按一下「Add New Configuration」。
- 在「Configuration Name」(設定名稱) 欄位中,為設定提供名稱 (例如「Edge DNS Logs to S3」)。
- 選取「Edge DNS」做為「記錄來源」。
- 選取「AWS S3」做為「傳送目標」。
- 請提供下列詳細資料:
- 值區名稱:S3 值區的名稱。
- 區域:bucket 所在的 AWS 區域。
- 存取金鑰 ID:IAM 使用者存取金鑰 ID。
- 存取密鑰:IAM 使用者存取密鑰。
- 選用:指定目錄結構。例如:
logs/akamai-dns/YYYY/MM/DD/HH/。 - 選用:設定「檔案命名慣例」。例如:
edge-dns-logs-{timestamp}.log。
- 選取要納入的「記錄格式」:
- DNS 查詢
- DNS 回應
- 選擇「傳送頻率」:
- 選項包括每小時、每天或達到特定檔案大小 (例如 100 MB)。
- 選用:按一下「新增篩選器」,根據特定條件 (例如主機名稱或記錄類型) 納入或排除特定記錄。
- 檢查設定詳細資料,然後按一下「儲存並啟用」。
設定動態饋給
在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:
- 「SIEM 設定」>「動態消息」
- 內容中心 > 內容包
依序前往「SIEM 設定」>「動態饋給」,設定動態饋給
如要設定動態消息,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態消息」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中,輸入動態饋給的名稱 (例如「Akamai DNS Logs」)。
- 選取「Amazon S3」做為「來源類型」。
- 選取「Akamai DNS」做為「記錄類型」。
- 點選「下一步」。
指定下列輸入參數的值:
- 區域:Amazon S3 值區所在的區域。
S3 URI:值區 URI。
s3://BUCKET_NAME
更改下列內容:
- BUCKET_NAME:值區的名稱。
URI 為:根據記錄串流設定選取
URI_TYPE(「單一檔案」|「目錄」|「包含子目錄的目錄」)。來源刪除選項:根據偏好設定選取刪除選項。
存取金鑰 ID:具有 S3 bucket 存取權的使用者存取金鑰。
存取密鑰:具有 S3 bucket 存取權的使用者私密金鑰。
資產命名空間:資產命名空間。
擷取標籤:要套用至這個動態饋給事件的標籤。
點選「下一步」。
在「Finalize」畫面中檢查新的動態饋給設定,然後按一下「Submit」。
從內容中心設定動態饋給
為下列欄位指定值:
- 區域:Amazon S3 值區所在的區域。
S3 URI:值區 URI。
s3://BUCKET_NAME
更改下列內容:
- BUCKET_NAME:值區的名稱。
URI 為:根據記錄串流設定選取
URI_TYPE(「單一檔案」|「目錄」|「包含子目錄的目錄」)。來源刪除選項:根據偏好設定選取刪除選項。
存取金鑰 ID:具有 S3 bucket 存取權的使用者存取金鑰。
存取密鑰:具有 S3 bucket 存取權的使用者私密金鑰。
進階選項
- 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
- 來源類型:將記錄收集到 Google SecOps 的方法。
- 資產命名空間:與動態饋給相關聯的命名空間。
- 擷取標籤:套用至這個動態饋給所有事件的標籤。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| 類別 | read_only_udm.network.dns.questions.class |
如果 class 為「IN」,請設為 1。否則,請嘗試轉換為不帶正負號的整數。 |
| column11 | read_only_udm.target.hostname |
如果包含主機名稱,且不含「ip4」、「=」、「.net」或「10 mx0」等特定模式,系統就會對應。此外,還可根據各種模式擷取 IP 位址、電子郵件地址和 DNS 授權資料。 |
| column11 | read_only_udm.target.ip |
如果 column11 符合 SPF 記錄中的 IP 位址模式,系統就會從該欄位擷取 IP 位址。 |
| column11 | read_only_udm.target.user.email_addresses |
如果 column11 符合 DMARC 記錄中的電子郵件地址模式,系統就會從該欄位擷取資料。 |
| column11 | read_only_udm.network.dns.authority.data |
如果 column11 符合各種記錄類型中的網域名稱模式,系統就會從中擷取網域名稱。 |
| column11 | read_only_udm.network.dns.response_code |
如果 column11 包含「NXDOMAIN」,則設為 3。 |
| column2 | read_only_udm.principal.ip |
如果 IP 位址有效,則會對應。 |
| column3 | read_only_udm.principal.port |
如果為有效整數,則會對應。 |
| column4 | read_only_udm.network.dns.questions.name |
直接對應。 |
| column6 | read_only_udm.network.dns.questions.type |
根據 type 的值對應,並使用條件式邏輯指派相應的數值。 |
| column8 | read_only_udm.network.sent_bytes |
轉換為無正負號整數並對應。 |
read_only_udm.metadata.event_timestamp |
由從 column1 擷取的「日期」和「時間」欄位建構而成。 | |
read_only_udm.event_type |
如果存在 principal.ip,請設為 NETWORK_DNS,否則請設為 GENERIC_EVENT。 |
|
read_only_udm.product_name |
硬式編碼為 AKAMAI_DNS。 | |
read_only_udm.vendor_name |
硬式編碼為 AKAMAI_DNS。 | |
read_only_udm.dataset |
硬式編碼為 AKAMAI_DNS。 | |
read_only_udm.event_subtype |
硬式編碼為 DNS。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。