Che cos'è? OCSF OCSFclassi di eventi OCSFidentificazione della fonte

Open Cybersecurity Schema Framework (OCSF) in Security Lake

Che cos'è? OCSF

L'Open Cybersecurity Schema Framework (OCSF) è uno sforzo collaborativo AWS e open source di partner leader nel settore della sicurezza informatica. OCSFfornisce uno schema standard per gli eventi di sicurezza più comuni, definisce i criteri di controllo delle versioni per facilitare l'evoluzione dello schema e include un processo di autogoverno per produttori e consumatori di registri di sicurezza. Il codice sorgente pubblico di OCSF è ospitato su. GitHub

Security Lake converte automaticamente i log e gli eventi che provengono dal supporto nativo nello schema Servizi AWS . OCSF Dopo la conversione inOCSF, Security Lake archivia i dati in un bucket Amazon Simple Storage Service (Amazon S3) (un Regione AWS bucket per) nel tuo. Account AWS I log e gli eventi scritti su Security Lake da fonti personalizzate devono rispettare OCSF lo schema e il formato Apache Parquet. I sottoscrittori possono trattare i log e gli eventi come record Parquet generici o applicare la classe di eventi dello OCSF schema per interpretare con maggiore precisione le informazioni contenute in un record.

OCSFclassi di eventi

I log e gli eventi di una determinata origine di Security Lake corrispondono a una classe di eventi specifica definita inOCSF. DNSActivity, SSH Activity e Authentication sono esempi di classi di eventi in OCSF. È possibile specificare a quale classe di eventi corrisponde una particolare fonte.

OCSFidentificazione della fonte

OCSFutilizza una varietà di campi per aiutarti a determinare da dove ha avuto origine uno specifico set di log o eventi. Questi sono i valori dei campi pertinenti Servizi AWS che sono supportati nativamente come sorgenti in Security Lake.

The OCSF source identification for AWS log sources (Version 1) are listed in the following table.

Origine	metadata.product.name	metadata.product.vendor_name	metadata.product.feature.name	nome_classe	metadati.versione
CloudTrail Eventi relativi ai dati Lambda	`CloudTrail`	`AWS`	`Data`	`API Activity`	`1.0.0-rc.2`
CloudTrail Eventi di gestione	`CloudTrail`	`AWS`	`Management`	`API Activity`, `Authentication` o `Account Change`	`1.0.0-rc.2`
CloudTrail Eventi relativi ai dati S3	`CloudTrail`	`AWS`	`Data`	`API Activity`	`1.0.0-rc.2`
Route 53	`Route 53`	`AWS`	`Resolver Query Logs`	`DNS Activity`	`1.0.0-rc.2`
Security Hub	`Security Hub`	`AWS`	Corrisponde al `ProductName`valore del Security Hub	`Security Finding`	`1.0.0-rc.2`
Log di flusso VPC	`Amazon VPC`	`AWS`	`Flowlogs`	`Network Activity`	`1.0.0-rc.2`

The OCSF source identification for AWS log sources (Version 2) are listed in the following table.

Origine	metadata.product.name	metadata.product.vendor_name	metadata.product.feature.name	nome_classe	metadati.versione
CloudTrail Eventi relativi ai dati Lambda	`CloudTrail`	`AWS`	`Data`	`API Activity`	`1.1.0`
CloudTrail Eventi di gestione	`CloudTrail`	`AWS`	`Management`	`API Activity`, `Authentication` o `Account Change`	`1.1.0`
CloudTrail Eventi relativi ai dati S3	`CloudTrail`	`AWS`	`Data`	`API Activity`	`1.1.0`
Route 53	`Route 53`	`AWS`	`Resolver Query Logs`	`DNS Activity`	`1.1.0`
Security Hub	Corrisponde al AWS valore del Security Finding Format (ASFF) `ProductName`	Corrisponde al `CompanyName`valore AWS di Security Finding Format (ASFF)	Corrisponde `featureName`al valore di ASFF `ProductFields`	`Vulnerability Finding, Compliance Finding, or Detection Finding`	`1.1.0`
Log di flusso VPC	`Amazon VPC`	`AWS`	`Flowlogs`	`Network Activity`	`1.1.0`
EKSRegistri di controllo	`Amazon EKS`	`AWS`	`Elastic Kubernetes Service`	`API Activity`	`1.1.0`
AWS WAF Registri v2	`AWS WAF`	`AWS`	`—`	`HTTP Activity`	`1.1.0`

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Gestione del ciclo di vita

Integrazioni