Akamai 集成
编辑Akamai 集成
编辑Akamai 集成从 Akamai API 收集事件,特别是从 Akamai SIEM API 读取。
日志
编辑SIEM
编辑安全信息和事件管理 API 允许您在 SIEM 应用程序中捕获 Akamai 平台上生成的安全事件。
使用此 API 获取在 Akamai 平台上生成的安全事件数据,并将其与 SIEM 解决方案中其他来源的数据相关联。可以增量捕获安全事件数据,或重放过去 12 小时内错过的安全事件。您可以在本地存储、查询和分析通过此 API 传递的数据,然后返回并调整您的 Akamai 安全设置。如果您正在编写自己的 SIEM 连接器,则需要遵守这些规范,才能从 Akamai 安全事件收集器 (ASEC) 中提取安全事件并正确处理它们。
请参阅 Akamai API 入门 来设置您的 Akamai 帐户并获取凭据。
要从 GCS Bucket 收集数据,请按照以下步骤操作
编辑注意
- GCS 输入当前不支持使用 Bucket 前缀获取 Bucket,因此必须为每个数据流手动配置 Bucket 名称。
- GCS 输入当前仅接受服务帐户 JSON 密钥或服务帐户 JSON 文件进行身份验证。
- GCS 输入当前仅支持 JSON 数据。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
akamai.siem.bot.response_segment |
数字响应段指示器。段用于对机器人分数进行分组和分类。 |
long |
akamai.siem.bot.score |
Botman Manager 为请求分配的分数。 |
long |
akamai.siem.client_data.app_bundle_id |
应用捆绑包的唯一标识符。应用捆绑包包含软件本身和随附的配置信息。 |
keyword |
akamai.siem.client_data.app_version |
应用的 版本号。 |
keyword |
akamai.siem.client_data.sdk_version |
SDK 版本 |
keyword |
akamai.siem.client_data.telemetry_type |
指定正在使用的遥测类型。 |
long |
akamai.siem.client_reputation |
客户端信誉的客户端 IP 分数。 |
keyword |
akamai.siem.config_id |
应用于请求的安全配置 ID。 |
keyword |
akamai.siem.policy_id |
应用于请求的防火墙策略 ID。 |
keyword |
akamai.siem.request.headers |
HTTP 请求标头 |
扁平化 |
akamai.siem.response.headers |
HTTP 响应标头 |
扁平化 |
akamai.siem.rule_actions |
为此请求执行的操作。 |
keyword |
akamai.siem.rule_tags |
触发规则的类别集。 |
keyword |
akamai.siem.rules |
此请求触发的规则 |
嵌套 |
akamai.siem.rules.ruleActions |
为此请求触发的规则的操作。 |
keyword |
akamai.siem.rules.ruleData |
为此请求触发的规则的用户数据。 |
keyword |
akamai.siem.rules.ruleMessages |
为此请求触发的规则的消息。 |
keyword |
akamai.siem.rules.ruleSelectors |
为此请求触发的规则的选择器。 |
keyword |
akamai.siem.rules.ruleTags |
为此请求触发的规则的标记。 |
keyword |
akamai.siem.rules.ruleVersions |
为此请求触发的规则的版本。 |
keyword |
akamai.siem.rules.rules |
为此请求触发的规则。 |
keyword |
akamai.siem.slow_post_action |
如果检测到慢速 POST 攻击,则采取的操作:W 表示警告,A 表示拒绝(中止)。 |
keyword |
akamai.siem.slow_post_rate |
检测到的慢速 POST 攻击的记录速率。 |
long |
akamai.siem.user_risk.allow |
指示用户是否在允许列表中。0 表示用户不在列表中;1 表示用户在列表中。 |
long |
akamai.siem.user_risk.general |
观察到的相关属性的一般行为指标。例如,duc_1h 表示过去一小时内在特定设备上记录的用户数。 |
扁平化 |
akamai.siem.user_risk.risk |
增加计算的风险分数的指标。例如,值 udfp 表示基于用户的行为特征的设备指纹风险。 |
扁平化 |
akamai.siem.user_risk.score |
计算的风险分数。分数范围从 0(无风险)到 100(最高可能风险)。 |
long |
akamai.siem.user_risk.status |
指示计算风险分数时可能发生的任何错误的状态代码。 |
long |
akamai.siem.user_risk.trust |
受信任的指标。例如,值 ugp 表示用户的国家或地区是受信任的。 |
扁平化 |
akamai.siem.user_risk.uuid |
正在提供其风险数据的用户的唯一标识符。 |
keyword |
data_stream.dataset |
数据流数据集名称。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
host.containerized |
如果主机是容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代号(如果有)。 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
示例
siem 的一个示例事件如下所示
{
"@timestamp": "2016-08-11T13:45:33.026Z",
"agent": {
"ephemeral_id": "9bba2ff8-f15b-4c09-8ac9-60ee0045a851",
"id": "cdda426a-7e47-48c4-b2f5-b9f1ad5bf08a",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.8.0"
},
"akamai": {
"siem": {
"bot": {
"response_segment": 3,
"score": 100
},
"client_data": {
"app_bundle_id": "com.mydomain.myapp",
"app_version": "1.23",
"sdk_version": "4.7.1",
"telemetry_type": 2
},
"config_id": "6724",
"policy_id": "scoe_5426",
"request": {
"headers": {
"Accept": "text/html,application/xhtml xml",
"User-Agent": "BOT/0.1 (BOT for JCE)"
}
},
"response": {
"headers": {
"Content-Type": "text/html",
"Mime-Version": "1.0",
"Server": "AkamaiGHost"
}
},
"rule_actions": [
"alert",
"deny"
],
"rule_tags": [
"web_attack/xss",
"automation/misc"
],
"rules": [
{
"ruleActions": "ALERT",
"ruleData": "alert(",
"ruleMessages": "Cross-site Scripting (XSS) Attack",
"ruleSelectors": "ARGS:a",
"ruleTags": "WEB_ATTACK/XSS",
"rules": "950004"
},
{
"ruleActions": "DENY",
"ruleData": "curl",
"ruleMessages": "Request Indicates an automated program explored the site",
"ruleSelectors": "REQUEST_HEADERS:User-Agent",
"ruleTags": "AUTOMATION/MISC",
"rules": "990011"
}
],
"user_risk": {
"allow": 0,
"general": {
"duc_1d": "30",
"duc_1h": "10"
},
"risk": {
"udfp": "1325gdg4g4343g/M",
"unp": "74256/H"
},
"score": 75,
"status": 0,
"trust": {
"ugp": "US"
},
"uuid": "964d54b7-0821-413a-a4d6-8131770ec8d5"
}
}
},
"client": {
"address": "89.160.20.156",
"as": {
"number": 29518,
"organization": {
"name": "Bredband2 AB"
}
},
"geo": {
"city_name": "Linköping",
"continent_name": "Europe",
"country_iso_code": "SE",
"country_name": "Sweden",
"location": {
"lat": 58.4167,
"lon": 15.6167
},
"region_iso_code": "SE-E",
"region_name": "Östergötland County"
},
"ip": "89.160.20.156"
},
"data_stream": {
"dataset": "akamai.siem",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "cdda426a-7e47-48c4-b2f5-b9f1ad5bf08a",
"snapshot": true,
"version": "8.8.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"network"
],
"created": "2023-05-09T21:06:11.267Z",
"dataset": "akamai.siem",
"id": "2ab418ac8515f33",
"ingested": "2023-05-09T21:06:12Z",
"kind": "event",
"original": "{\"attackData\":{\"clientIP\":\"89.160.20.156\",\"configId\":\"6724\",\"policyId\":\"scoe_5426\",\"ruleActions\":\"QUxFUlQ;REVOWQ==\",\"ruleData\":\"YWxlcnQo;Y3VybA==\",\"ruleMessages\":\"Q3Jvc3Mtc2l0ZSBTY3 JpcHRpbmcgKFhTUykgQXR0YWNr; UmVxdWVzdCBJbmRpY2F0ZXMgYW4 gYXV0b21hdGVkIHByb2 dyYW0gZXhwbG9yZWQgdGhlIHNpdGU=\",\"ruleSelectors\":\"QVJHUzph;UkVRVUVTVF9IRU FERVJTOlVzZXItQWdlbnQ=\",\"ruleTags\":\"V0VCX0FUVEFDSy9YU1M=;QV VUT01BVElPTi9NSVND\",\"ruleVersions\":\";\",\"rules\":\"OTUwMDA0;OTkwMDEx\"},\"botData\":{\"botScore\":\"100\",\"responseSegment\":\"3\"},\"clientData\":{\"appBundleId\":\"com.mydomain.myapp\",\"appVersion\":\"1.23\",\"sdkVersion\":\"4.7.1\",\"telemetryType\":\"2\"},\"format\":\"json\",\"geo\":{\"asn\":\"12271\",\"city\":\"NEWYORK\",\"continent\":\"NA\",\"country\":\"US\",\"regionCode\":\"NY\"},\"httpMessage\":{\"bytes\":\"34523\",\"host\":\"www.example.com\",\"method\":\"POST\",\"path\":\"/examples/1/\",\"port\":\"80\",\"protocol\":\"http/2\",\"query\":\"a%3D..%2F..%2F..%2Fetc%2Fpasswd\",\"requestHeaders\":\"User-Agent%3a%20BOT%2f0.1%20(BOT%20for%20JCE)%0d%0aAccept%3a%20text%2fhtml,application%2fxhtml+xml\",\"requestId\":\"2ab418ac8515f33\",\"responseHeaders\":\"Server%3a%20AkamaiGHost%0d%0aMime-Version%3a%201.0%0d%0aContent-Type%3a%20text%2fhtml\",\"start\":\"1470923133.026\",\"status\":\"301\",\"tls\":\"TLSv1.2\"},\"type\":\"akamai_siem\",\"userRiskData\":{\"allow\":\"0\",\"general\":\"duc_1h:10|duc_1d:30\",\"risk\":\"udfp:1325gdg4g4343g/M|unp:74256/H\",\"score\":\"75\",\"status\":\"0\",\"trust\":\"ugp:US\",\"uuid\":\"964d54b7-0821-413a-a4d6-8131770ec8d5\"},\"version\":\"1.0\"}",
"start": "2016-08-11T13:45:33.026Z"
},
"http": {
"request": {
"id": "2ab418ac8515f33",
"method": "POST"
},
"response": {
"bytes": 34523,
"status_code": 301
},
"version": "2"
},
"input": {
"type": "httpjson"
},
"network": {
"protocol": "http",
"transport": "tcp"
},
"observer": {
"type": "proxy",
"vendor": "akamai"
},
"related": {
"ip": [
"89.160.20.156"
]
},
"source": {
"address": "89.160.20.156",
"as": {
"number": 29518,
"organization": {
"name": "Bredband2 AB"
}
},
"geo": {
"city_name": "Linköping",
"continent_name": "Europe",
"country_iso_code": "SE",
"country_name": "Sweden",
"location": {
"lat": 58.4167,
"lon": 15.6167
},
"region_iso_code": "SE-E",
"region_name": "Östergötland County"
},
"ip": "89.160.20.156"
},
"tags": [
"akamai-siem",
"forwarded",
"preserve_original_event"
],
"tls": {
"version": "1.2",
"version_protocol": "tls"
},
"url": {
"domain": "www.example.com",
"full": "www.example.com/examples/1/?a%3D..%2F..%2F..%2Fetc%2Fpasswd",
"path": "/examples/1/",
"port": 80,
"query": "a=../../../etc/passwd"
}
}
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
2.27.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
2.26.0 |
增强功能 (查看拉取请求) 增强功能 (查看拉取请求) 错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.25.4 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.25.3 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.25.2 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.25.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.25.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
2.24.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
2.23.2 |
错误修复 (查看拉取请求) |
8.12.0 或更高版本 |
2.23.1 |
错误修复 (查看拉取请求) |
8.12.0 或更高版本 |
2.23.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
2.22.0 |
错误修复 (查看拉取请求) |
8.11.0 或更高版本 |
2.21.1 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
2.21.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
2.20.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
2.19.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
2.18.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
2.17.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
2.16.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
2.15.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
2.14.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
2.13.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.12.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.11.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.10.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.9.1 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
2.9.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.8.2 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.8.1 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
2.8.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.7.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
2.6.2-beta |
Bug 修复 (查看拉取请求) |
— |
2.6.1-beta |
Bug 修复 (查看拉取请求) |
— |
2.6.0 |
增强 (查看拉取请求) |
8.5.0 或更高版本 |
2.5.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.4.1 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.4.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.3.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.2.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.1.2 |
Bug 修复 (查看拉取请求) |
8.3.0 或更高版本 |
2.1.1 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.1.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.0.1 |
Bug 修复 (查看拉取请求) |
8.3.0 或更高版本 |
2.0.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
1.1.1 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.0.1 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.3 |
Bug 修复 (查看拉取请求) |
— |
0.1.2 |
增强 (查看拉取请求) |
— |
0.1.1 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |