Qu'est-ce qu'OCSF ?OCSFcours d'événements OCSFidentification de la source

Cadre de schéma de cybersécurité ouvert (OCSF) dans Security Lake

Qu'est-ce qu'OCSF ?

L'Open Cybersecurity Schema Framework (OCSF) est un effort collaboratif open source mené par AWS des partenaires de premier plan dans le secteur de la cybersécurité. OCSFfournit un schéma standard pour les événements de sécurité courants, définit les critères de version pour faciliter l'évolution du schéma et inclut un processus d'autogouvernance pour les producteurs et les consommateurs de journaux de sécurité. Le code source public de OCSF est hébergé sur GitHub.

Security Lake convertit automatiquement les journaux et les événements pris en charge de manière native Services AWS vers le schéma. OCSF Après la conversion enOCSF, Security Lake stocke les données dans un compartiment Amazon Simple Storage Service (Amazon S3) (un compartiment Région AWS par) dans votre. Compte AWS Les journaux et les événements écrits dans Security Lake à partir de sources personnalisées doivent respecter le OCSF schéma et le format Apache Parquet. Les abonnés peuvent traiter les journaux et les événements comme des enregistrements Parquet génériques ou appliquer la classe d'événements du OCSF schéma pour interpréter plus précisément les informations contenues dans un enregistrement.

OCSFcours d'événements

Les journaux et les événements provenant d'une source Security Lake donnée correspondent à une classe d'événements spécifique définie dansOCSF. DNSActivity, SSH Activity et Authentication sont des exemples de classes d'événements dans OCSF. Vous pouvez spécifier à quelle classe d'événements correspond une source donnée.

OCSFidentification de la source

OCSFutilise différents champs pour vous aider à déterminer l'origine d'un ensemble spécifique de journaux ou d'événements. Il s'agit des valeurs des champs pertinents Services AWS qui sont prises en charge nativement en tant que sources dans Security Lake.

The OCSF source identification for AWS log sources (Version 1) are listed in the following table.

Source	metadata.product.name	metadata.product.vendor_name	metadata.product.feature.name	nom_classe	métadonnées.version
CloudTrail Événements relatifs aux données Lambda	`CloudTrail`	`AWS`	`Data`	`API Activity`	`1.0.0-rc.2`
CloudTrail Événements de gestion	`CloudTrail`	`AWS`	`Management`	`API Activity`, `Authentication` ou `Account Change`	`1.0.0-rc.2`
CloudTrail Événements liés aux données S3	`CloudTrail`	`AWS`	`Data`	`API Activity`	`1.0.0-rc.2`
Route 53	`Route 53`	`AWS`	`Resolver Query Logs`	`DNS Activity`	`1.0.0-rc.2`
Security Hub	`Security Hub`	`AWS`	Correspond à la `ProductName`valeur du Security Hub	`Security Finding`	`1.0.0-rc.2`
Journaux de flux VPC	`Amazon VPC`	`AWS`	`Flowlogs`	`Network Activity`	`1.0.0-rc.2`

The OCSF source identification for AWS log sources (Version 2) are listed in the following table.

Source	metadata.product.name	metadata.product.vendor_name	metadata.product.feature.name	nom_classe	métadonnées.version
CloudTrail Événements relatifs aux données Lambda	`CloudTrail`	`AWS`	`Data`	`API Activity`	`1.1.0`
CloudTrail Événements de gestion	`CloudTrail`	`AWS`	`Management`	`API Activity`, `Authentication` ou `Account Change`	`1.1.0`
CloudTrail Événements liés aux données S3	`CloudTrail`	`AWS`	`Data`	`API Activity`	`1.1.0`
Route 53	`Route 53`	`AWS`	`Resolver Query Logs`	`DNS Activity`	`1.1.0`
Security Hub	Correspond à AWS la `ProductName`valeur du format de recherche de sécurité (ASFF)	Correspond à AWS la `CompanyName`valeur du format de recherche de sécurité (ASFF)	Correspond à `featureName`la valeur de ASFF `ProductFields`	`Vulnerability Finding, Compliance Finding, or Detection Finding`	`1.1.0`
Journaux de flux VPC	`Amazon VPC`	`AWS`	`Flowlogs`	`Network Activity`	`1.1.0`
EKSJournaux d'audit	`Amazon EKS`	`AWS`	`Elastic Kubernetes Service`	`API Activity`	`1.1.0`
AWS WAF Journaux v2	`AWS WAF`	`AWS`	`—`	`HTTP Activity`	`1.1.0`

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Gestion des cycles de vie

Intégrations