本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Security Lake 中打开网络安全架构框架 (OCSF)
什么是 OCSF?
开放网络安全架构框架 (OCSF)
Security Lake 会自动将来自原生支持的日志和事件转换为架构 AWS 服务 。OCSF转换为后OCSF,Security Lake 会将数据存储在您的亚马逊简单存储服务 (Amazon S3) 存储桶( AWS 区域每个存储桶一个存储桶)中。 AWS 账户从自定义来源写入 Security Lake 的日志和事件必须符合OCSF架构和 Apache Parquet 格式。订阅者可以将日志和事件视为通用 Parquet 记录,也可以应用OCSF架构事件类来更准确地解释记录中包含的信息。
OCSF活动类
来自给定 Security Lake 源的日志和事件与中定义的特定事件类别相匹配OCSF。DNS“活动”、“SSH活动” 和 “身份验证” 是中事件类
OCSF来源识别
OCSF使用各种字段来帮助您确定一组特定的日志或事件的起源。这些是 Security Lake AWS 服务 中原生支持作为来源的相关字段的值。
The OCSF source identification for AWS log sources (Version 1) are listed in the following table.
| 来源 | metadata.product.name | metadata.product.vendor_name | metadata.product.feature.name | 类名 | 元数据.version |
|---|---|---|---|---|---|
|
CloudTrail Lambda 数据事件 |
|
|
|
|
|
|
CloudTrail 管理活动 |
|
|
|
|
|
|
CloudTrail S3 数据事件 |
|
|
|
|
|
|
Route 53 |
|
|
|
|
|
|
Security Hub |
|
|
匹配 Security Hub |
|
|
|
VPC 流日志 |
|
|
|
|
|
The OCSF source identification for AWS log sources (Version 2) are listed in the following table.
| 来源 | metadata.product.name | metadata.product.vendor_name | metadata.product.feature.name | 类名 | 元数据.version |
|---|---|---|---|---|---|
|
CloudTrail Lambda 数据事件 |
|
|
|
|
|
|
CloudTrail 管理活动 |
|
|
|
|
|
|
CloudTrail S3 数据事件 |
|
|
|
|
|
|
Route 53 |
|
|
|
|
|
|
Security Hub |
匹配 AWS 安全调查结果格式 (ASFF) |
匹配 AWS 安全调查结果格式 (ASFF) |
匹配来自的 |
|
|
|
VPC 流日志 |
|
|
|
|
|
|
EKS审核日志 |
|
|
|
|
|
|
AWS WAF v2 日志 |
|
|
|
|
|
