本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Security Lake 中開啟網路安全結構描述架構 (OCSF)
什麼是 OCSF?
Open Cybersecurity 結構描述架構 (OCSF)
Security Lake 會自動 AWS 服務 將原生支援的日誌和事件轉換為OCSF結構描述。轉換為 後OCSF,Security Lake 會將資料儲存在 中的 Amazon Simple Storage Service (Amazon S3) 儲存貯體 (每個 一個儲存貯體 AWS 區域) AWS 帳戶。從自訂來源寫入 Security Lake OCSF 的日誌和事件必須遵循結構描述和 Apache Parquet 格式。訂閱者可以將日誌和事件視為一般 Parquet OCSF 記錄,或套用結構描述事件類別,以更準確地解譯記錄中包含的資訊。
OCSF 事件類別
來自指定 Security Lake 來源的日誌和事件符合 中定義的特定事件類別OCSF。DNS 活動、SSH活動和身分驗證是 中事件類別OCSF
OCSF 來源識別
OCSF 使用各種欄位來協助您判斷一組特定日誌或事件的來源。這些是 Security Lake AWS 服務 中原生支援作為來源的相關欄位值。
The OCSF source identification for AWS log sources (Version 1) are listed in the following table.
來源 | metadata.product.name | metadata.product.vendor_name | metadata.product.feature.name | class_name | metadata.version |
---|---|---|---|---|---|
CloudTrail Lambda 資料事件 |
|
|
|
|
|
CloudTrail 管理事件 |
|
|
|
|
|
CloudTrail S3 資料事件 |
|
|
|
|
|
Route 53 |
|
|
|
|
|
安全中樞 |
|
|
比對 Security Hub |
|
|
VPC 流程日誌 |
|
|
|
|
|
The OCSF source identification for AWS log sources (Version 2) are listed in the following table.
來源 | metadata.product.name | metadata.product.vendor_name | metadata.product.feature.name | class_name | metadata.version |
---|---|---|---|---|---|
CloudTrail Lambda 資料事件 |
|
|
|
|
|
CloudTrail 管理事件 |
|
|
|
|
|
CloudTrail S3 資料事件 |
|
|
|
|
|
Route 53 |
|
|
|
|
|
安全中樞 |
比對 AWS 安全調查結果格式 (ASFF) |
比對 AWS 安全調查結果格式 (ASFF) |
符合來自 |
|
|
VPC 流程日誌 |
|
|
|
|
|
EKS 稽核日誌 |
|
|
|
|
|
AWS WAF v2 日誌 |
|
|
|
|
|