Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Öffnen Sie das Cybersecurity Schema Framework (OCSF) in Security Lake
## Was ist OCSF?
Das [Open Cybersecurity Schema Framework (OCSF)](https://schema.ocsf.io/) ist eine gemeinsame Open-Source-Initiative von AWS führenden Partnern in der Cybersicherheitsbranche. OCSF bietet ein Standardschema für allgemeine Sicherheitsereignisse, definiert Versionierungskriterien, um die Schemaentwicklung zu erleichtern, und beinhaltet einen Selbstverwaltungsprozess für Hersteller und Nutzer von Sicherheitsprotokollen. Der öffentliche Quellcode für OCSF wird auf gehostet. [GitHub](https://github.com/ocsf/ocsf-schema)
Security Lake konvertiert automatisch Protokolle und Ereignisse, die von nativ unterstützten Systemen stammen, in das OCSF-Schema AWS-Services. Nach der Konvertierung in OCSF speichert Security Lake die Daten in einem Amazon Simple Storage Service (Amazon S3) -Bucket (ein Bucket pro Bucket AWS-Region) in Ihrem AWS-Konto. Protokolle und Ereignisse, die aus benutzerdefinierten Quellen in Security Lake geschrieben werden, müssen dem OCSF-Schema und einem Apache Parquet-Format entsprechen. Abonnenten können die Protokolle und Ereignisse als generische Parquet-Datensätze behandeln oder die OCSF-Schema-Ereignisklasse anwenden, um die in einem Datensatz enthaltenen Informationen genauer zu interpretieren.
## OCSF-Ereignisklassen
Protokolle und Ereignisse aus einer bestimmten Security [Lake-Quelle](source-management.md) entsprechen einer bestimmten in OCSF definierten Ereignisklasse. DNS-Aktivität, SSH-Aktivität und Authentifizierung sind Beispiele für [Ereignisklassen in](https://schema.ocsf.io/classes?extensions=) OCSF. Sie können angeben, welcher Ereignisklasse eine bestimmte Quelle entspricht.
## Identifizierung der OCSF-Quelle
OCSF verwendet eine Vielzahl von Feldern, anhand derer Sie ermitteln können, woher ein bestimmter Satz von Protokollen oder Ereignissen stammt. Dies sind die Werte der entsprechenden Felder AWS-Services, die in Security Lake nativ als Quellen unterstützt werden.
`The OCSF source identification for AWS log sources (Version 1) are listed in the following table.`
| Quelle | metadata.product.name | metadata.produkt.Herstellername | metadata.product.feature.name | Klassenname | Metadaten.Version |
| --- | --- | --- | --- | --- | --- |
| CloudTrail Lambda-Datenereignisse | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.0.0-rc.2` |
| CloudTrail Ereignisse für das Management | `CloudTrail` | `AWS` | `Management` | `API Activity`, `Authentication` oder `Account Change` | `1.0.0-rc.2` |
| CloudTrail S3-Datenereignisse | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.0.0-rc.2` |
| Route 53 | `Route 53` | `AWS` | `Resolver Query Logs` | `DNS Activity` | `1.0.0-rc.2` |
| Security Hub CSPM | `Security Hub CSPM` | `AWS` | Entspricht dem [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html)CSPM-Wert von Security Hub | `Security Finding` | `1.0.0-rc.2` |
| VPC Flow Logs | `Amazon VPC` | `AWS` | `Flowlogs` | `Network Activity` | `1.0.0-rc.2` |
`The OCSF source identification for AWS log sources (Version 2) are listed in the following table.`
| Quelle | metadata.product.name | metadata.produkt.Herstellername | metadata.product.feature.name | Klassenname | Metadaten.Version |
| --- | --- | --- | --- | --- | --- |
| CloudTrail Lambda-Datenereignisse | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.1.0` |
| CloudTrail Ereignisse für das Management | `CloudTrail` | `AWS` | `Management` | `API Activity`, `Authentication` oder `Account Change` | `1.1.0` |
| CloudTrail S3-Datenereignisse | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.1.0` |
| Route 53 | `Route 53` | `AWS` | `Resolver Query Logs` | `DNS Activity` | `1.1.0` |
| Security Hub CSPM | Entspricht dem AWS Wert des Security Finding Format (ASFF) [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html) | Entspricht dem AWS Wert des Security Finding Format (ASFF) [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html) | Entspricht dem [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html)Wert aus ASFF `ProductFields` | `Vulnerability Finding, Compliance Finding, or Detection Finding` | `1.1.0` |
| VPC Flow Logs | `Amazon VPC` | `AWS` | `Flowlogs` | `Network Activity` | `1.1.0` |
| EKS-Prüfprotokolle | `Amazon EKS` | `AWS` | `Elastic Kubernetes Service` | `API Activity` | `1.1.0` |
| AWS WAF v2-Protokolle | `AWS WAF` | `AWS` | `—` | `HTTP Activity` | `1.1.0` |