O que OCSF é OCSFaulas de eventos OCSFidentificação da fonte

Estrutura aberta do esquema de segurança cibernética (OCSF) no Security Lake

O que OCSF é

O Open Cybersecurity Schema Framework (OCSF) é um esforço colaborativo AWS e de código aberto realizado por parceiros líderes no setor de segurança cibernética. OCSFfornece um esquema padrão para eventos de segurança comuns, define critérios de controle de versão para facilitar a evolução do esquema e inclui um processo de autocontrole para produtores e consumidores de registros de segurança. O código-fonte público do OCSF está hospedado em GitHub.

O Security Lake converte automaticamente registros e eventos provenientes de suporte nativo para o esquema Serviços da AWS . OCSF Após a conversão paraOCSF, o Security Lake armazena os dados em um bucket do Amazon Simple Storage Service (Amazon S3) (um bucket Região da AWS por) em seu. Conta da AWS Os registros e eventos gravados no Security Lake a partir de fontes personalizadas devem seguir o OCSF esquema e o formato Apache Parquet. Os assinantes podem tratar os registros e eventos como registros genéricos do Parquet ou aplicar a classe de eventos do OCSF esquema para interpretar com mais precisão as informações contidas em um registro.

OCSFaulas de eventos

Os registros e eventos de uma determinada fonte do Security Lake correspondem a uma classe de evento específica definida emOCSF. DNSAtividade, SSH Atividade e Autenticação são exemplos de classes de eventos em OCSF. Você pode especificar a qual classe de evento uma determinada fonte corresponde.

OCSFidentificação da fonte

OCSFusa uma variedade de campos para ajudá-lo a determinar a origem de um conjunto específico de registros ou eventos. Esses são os valores dos campos relevantes Serviços da AWS que são suportados nativamente como fontes no Security Lake.

The OCSF source identification for AWS log sources (Version 1) are listed in the following table.

Origem	metadata.product.name	metadata.product.vendor_name	metadata.product.feature.name	class_name	metadados.versão
CloudTrail Eventos de dados Lambda	`CloudTrail`	`AWS`	`Data`	`API Activity`	`1.0.0-rc.2`
CloudTrail Eventos de gerenciamento	`CloudTrail`	`AWS`	`Management`	`API Activity`, `Authentication` ou `Account Change`	`1.0.0-rc.2`
CloudTrail Eventos de dados do S3	`CloudTrail`	`AWS`	`Data`	`API Activity`	`1.0.0-rc.2`
route 53	`Route 53`	`AWS`	`Resolver Query Logs`	`DNS Activity`	`1.0.0-rc.2`
Security Hub	`Security Hub`	`AWS`	Corresponde ao valor `ProductName` do Security Hub	`Security Finding`	`1.0.0-rc.2`
Logs de fluxo da VPC	`Amazon VPC`	`AWS`	`Flowlogs`	`Network Activity`	`1.0.0-rc.2`

The OCSF source identification for AWS log sources (Version 2) are listed in the following table.

Origem	metadata.product.name	metadata.product.vendor_name	metadata.product.feature.name	class_name	metadados.versão
CloudTrail Eventos de dados Lambda	`CloudTrail`	`AWS`	`Data`	`API Activity`	`1.1.0`
CloudTrail Eventos de gerenciamento	`CloudTrail`	`AWS`	`Management`	`API Activity`, `Authentication` ou `Account Change`	`1.1.0`
CloudTrail Eventos de dados do S3	`CloudTrail`	`AWS`	`Data`	`API Activity`	`1.1.0`
route 53	`Route 53`	`AWS`	`Resolver Query Logs`	`DNS Activity`	`1.1.0`
Security Hub	Corresponde ao `ProductName`valor do formato de descoberta de AWS segurança (ASFF)	Corresponde ao `CompanyName`valor do formato de descoberta de AWS segurança (ASFF)	Corresponde `featureName`ao valor de ASFF `ProductFields`	`Vulnerability Finding, Compliance Finding, or Detection Finding`	`1.1.0`
Logs de fluxo da VPC	`Amazon VPC`	`AWS`	`Flowlogs`	`Network Activity`	`1.1.0`
EKSRegistros de auditoria	`Amazon EKS`	`AWS`	`Elastic Kubernetes Service`	`API Activity`	`1.1.0`
AWS WAF Registros v2	`AWS WAF`	`AWS`	`—`	`HTTP Activity`	`1.1.0`

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciamento de ciclo de vida

Integrações