在 Security Lake 中開啟網路安全結構描述架構 (OCSF) - Amazon Security Lake

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Security Lake 中開啟網路安全結構描述架構 (OCSF)

什麼是 OCSF?

Open Cybersecurity 結構描述架構 (OCSF) 是由網路安全產業的 AWS 領導合作夥伴所共同努力的開放原始碼工作。OCSF 為常見安全事件提供標準結構描述、定義版本控制條件以促進結構描述演變,並包含安全日誌生產者和消費者的自我監管程序。的公有原始碼OCSF託管在 上GitHub

Security Lake 會自動 AWS 服務 將原生支援的日誌和事件轉換為OCSF結構描述。轉換為 後OCSF,Security Lake 會將資料儲存在 中的 Amazon Simple Storage Service (Amazon S3) 儲存貯體 (每個 一個儲存貯體 AWS 區域) AWS 帳戶。從自訂來源寫入 Security Lake OCSF 的日誌和事件必須遵循結構描述和 Apache Parquet 格式。訂閱者可以將日誌和事件視為一般 Parquet OCSF 記錄,或套用結構描述事件類別,以更準確地解譯記錄中包含的資訊。

OCSF 事件類別

來自指定 Security Lake 來源的日誌和事件符合 中定義的特定事件類別OCSF。DNS 活動、SSH活動和身分驗證是 中事件類別OCSF的範例。您可以指定特定來源相符的事件類別。

OCSF 來源識別

OCSF 使用各種欄位來協助您判斷一組特定日誌或事件的來源。這些是 Security Lake AWS 服務 中原生支援作為來源的相關欄位值。

The OCSF source identification for AWS log sources (Version 1) are listed in the following table.

來源 metadata.product.name metadata.product.vendor_name metadata.product.feature.name class_name metadata.version

CloudTrail Lambda 資料事件

CloudTrail

AWS

Data

API Activity

1.0.0-rc.2

CloudTrail 管理事件

CloudTrail

AWS

Management

API ActivityAuthenticationAccount Change

1.0.0-rc.2

CloudTrail S3 資料事件

CloudTrail

AWS

Data

API Activity

1.0.0-rc.2

Route 53

Route 53

AWS

Resolver Query Logs

DNS Activity

1.0.0-rc.2

安全中樞

Security Hub

AWS

比對 Security Hub ProductName

Security Finding

1.0.0-rc.2

VPC 流程日誌

Amazon VPC

AWS

Flowlogs

Network Activity

1.0.0-rc.2

The OCSF source identification for AWS log sources (Version 2) are listed in the following table.

來源 metadata.product.name metadata.product.vendor_name metadata.product.feature.name class_name metadata.version

CloudTrail Lambda 資料事件

CloudTrail

AWS

Data

API Activity

1.1.0

CloudTrail 管理事件

CloudTrail

AWS

Management

API ActivityAuthenticationAccount Change

1.1.0

CloudTrail S3 資料事件

CloudTrail

AWS

Data

API Activity

1.1.0

Route 53

Route 53

AWS

Resolver Query Logs

DNS Activity

1.1.0

安全中樞

比對 AWS 安全調查結果格式 (ASFF) ProductName

比對 AWS 安全調查結果格式 (ASFF) CompanyName

符合來自 featureName的值 ASFF ProductFields

Vulnerability Finding, Compliance Finding, or Detection Finding

1.1.0

VPC 流程日誌

Amazon VPC

AWS

Flowlogs

Network Activity

1.1.0

EKS 稽核日誌

Amazon EKS

AWS

Elastic Kubernetes Service

API Activity

1.1.0

AWS WAF v2 日誌

AWS WAF

AWS

HTTP Activity

1.1.0