Was istOCSF?OCSFEvent-Klassen OCSFIdentifizierung der Quelle

Öffnen Sie das Cybersecurity Schema Framework (OCSF) in Security Lake

Was istOCSF?

Das Open Cybersecurity Schema Framework (OCSF) ist eine gemeinsame Open-Source-Initiative von AWS führenden Partnern in der Cybersicherheitsbranche. OCSFbietet ein Standardschema für allgemeine Sicherheitsereignisse, definiert Versionierungskriterien, um die Schemaentwicklung zu erleichtern, und beinhaltet einen Selbstverwaltungsprozess für Hersteller und Nutzer von Sicherheitsprotokollen. Der öffentliche Quellcode für OCSF wird auf gehostet. GitHub

Security Lake konvertiert automatisch Protokolle und Ereignisse, die von nativ unterstützten Systemen stammen, in AWS-Services das Schema. OCSF Nach der Konvertierung in speichert Security Lake die Daten in einem Amazon Simple Storage Service (Amazon S3) -Bucket (ein Bucket pro Bucket AWS-Region) in Ihrem AWS-Konto. OCSF Protokolle und Ereignisse, die aus benutzerdefinierten Quellen in Security Lake geschrieben werden, müssen dem OCSF Schema und einem Apache Parquet-Format entsprechen. Abonnenten können die Protokolle und Ereignisse als generische Parquet-Datensätze behandeln oder die OCSF Schema-Ereignisklasse anwenden, um die in einem Datensatz enthaltenen Informationen genauer zu interpretieren.

OCSFEvent-Klassen

Protokolle und Ereignisse aus einer bestimmten Security Lake-Quelle entsprechen einer bestimmten Ereignisklasse, die in definiert istOCSF. DNSAktivität, SSH Aktivität und Authentifizierung sind Beispiele für Ereignisklassen in OCSF. Sie können angeben, welcher Ereignisklasse eine bestimmte Quelle entspricht.

OCSFIdentifizierung der Quelle

OCSFverwendet eine Vielzahl von Feldern, anhand derer Sie ermitteln können, woher ein bestimmter Satz von Protokollen oder Ereignissen stammt. Dies sind die Werte der entsprechenden Felder AWS-Services , die in Security Lake nativ als Quellen unterstützt werden.

The OCSF source identification for AWS log sources (Version 1) are listed in the following table.

Quelle	metadata.product.name	metadata.produkt.Herstellername	metadata.product.feature.name	Klassenname	Metadaten.Version
CloudTrail Lambda-Datenereignisse	`CloudTrail`	`AWS`	`Data`	`API Activity`	`1.0.0-rc.2`
CloudTrail Management-Ereignisse	`CloudTrail`	`AWS`	`Management`	`API Activity`, `Authentication` oder `Account Change`	`1.0.0-rc.2`
CloudTrail S3-Datenereignisse	`CloudTrail`	`AWS`	`Data`	`API Activity`	`1.0.0-rc.2`
Route 53	`Route 53`	`AWS`	`Resolver Query Logs`	`DNS Activity`	`1.0.0-rc.2`
Security Hub	`Security Hub`	`AWS`	Entspricht dem Security Hub `ProductName`Hub-Wert	`Security Finding`	`1.0.0-rc.2`
VPC-Flow-Protokolle	`Amazon VPC`	`AWS`	`Flowlogs`	`Network Activity`	`1.0.0-rc.2`

The OCSF source identification for AWS log sources (Version 2) are listed in the following table.

Quelle	metadata.product.name	metadata.produkt.Herstellername	metadata.product.feature.name	Klassenname	Metadaten.Version
CloudTrail Lambda-Datenereignisse	`CloudTrail`	`AWS`	`Data`	`API Activity`	`1.1.0`
CloudTrail Management-Ereignisse	`CloudTrail`	`AWS`	`Management`	`API Activity`, `Authentication` oder `Account Change`	`1.1.0`
CloudTrail S3-Datenereignisse	`CloudTrail`	`AWS`	`Data`	`API Activity`	`1.1.0`
Route 53	`Route 53`	`AWS`	`Resolver Query Logs`	`DNS Activity`	`1.1.0`
Security Hub	Entspricht dem `ProductName`Wert des AWS Security Finding Format (ASFF)	Entspricht dem `CompanyName`Wert Format (ASFF) für AWS Sicherheitsfindung	Entspricht `featureName`dem Wert von ASFF `ProductFields`	`Vulnerability Finding, Compliance Finding, or Detection Finding`	`1.1.0`
VPC-Flow-Protokolle	`Amazon VPC`	`AWS`	`Flowlogs`	`Network Activity`	`1.1.0`
EKSPrüfprotokolle	`Amazon EKS`	`AWS`	`Elastic Kubernetes Service`	`API Activity`	`1.1.0`
AWS WAF v2-Protokolle	`AWS WAF`	`AWS`	`—`	`HTTP Activity`	`1.1.0`

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verwaltung des Lebenszyklus

Integrationen