Offenes Cybersecurity Schema Framework (OCSF)

Was ist OCSF?

Das Open Cybersecurity Schema Framework (OCSF) ist eine gemeinsame Open-Source-Initiative von AWS führenden Partnern in der Cybersicherheitsbranche. OCSF bietet ein Standardschema für allgemeine Sicherheitsereignisse, definiert Versionierungskriterien, um die Schemaentwicklung zu erleichtern, und beinhaltet einen Selbstverwaltungsprozess für Hersteller und Nutzer von Sicherheitsprotokollen. Der öffentliche Quellcode für OCSF wird auf gehostet. GitHub

Security Lake konvertiert automatisch Protokolle und Ereignisse, die von nativ unterstützten Systemen stammen, in das OCSF-Schema AWS-Services . Nach der Konvertierung in OCSF speichert Security Lake die Daten in einem Amazon Simple Storage Service (Amazon S3) -Bucket (ein Bucket pro Bucket AWS-Region) in Ihrem AWS-Konto. Protokolle und Ereignisse, die aus benutzerdefinierten Quellen in Security Lake geschrieben werden, müssen dem OCSF-Schema und einem Apache Parquet-Format entsprechen. Abonnenten können die Protokolle und Ereignisse als generische Parquet-Datensätze behandeln oder die OCSF-Schema-Ereignisklasse anwenden, um die in einem Datensatz enthaltenen Informationen genauer zu interpretieren.

OCSF-Ereignisklassen

Protokolle und Ereignisse aus einer bestimmten Security Lake-Quelle entsprechen einer bestimmten in OCSF definierten Ereignisklasse. DNS-Aktivität, SSH-Aktivität und Authentifizierung sind Beispiele für Ereignisklassen in OCSF. Sie können angeben, welcher Ereignisklasse eine bestimmte Quelle entspricht.

Identifizierung der OCSF-Quelle

OCSF verwendet eine Vielzahl von Feldern, anhand derer Sie ermitteln können, woher ein bestimmter Satz von Protokollen oder Ereignissen stammt. Dies sind die Werte der entsprechenden Felder AWS-Services , die in Security Lake nativ als Quellen unterstützt werden.

The OCSF source identification for AWS log sources (Version 1) are listed in the following table.

Quelle	metadata.product.name	metadata.produkt.Herstellername	metadata.product.feature.name	Klassenname	Metadaten.Version
CloudTrail Lambda-Datenereignisse	CloudTrail	AWS	Data	API Activity	1.0.0-rc.2
CloudTrail Ereignisse für das Management	CloudTrail	AWS	Management	API Activity, Authentication oder Account Change	1.0.0-rc.2
CloudTrail S3-Datenereignisse	CloudTrail	AWS	Data	API Activity	1.0.0-rc.2
Route 53	Route 53	AWS	Resolver Query Logs	DNS Activity	1.0.0-rc.2
Security Hub	Security Hub	AWS	Entspricht dem Security Hub ProductNameHub-Wert	Security Finding	1.0.0-rc.2
VPC Flow Logs	Amazon VPC	AWS	Flowlogs	Network Activity	1.0.0-rc.2

The OCSF source identification for AWS log sources (Version 2) are listed in the following table.

Quelle	metadata.product.name	metadata.produkt.Herstellername	metadata.product.feature.name	Klassenname	Metadaten.Version
CloudTrail Lambda-Datenereignisse	CloudTrail	AWS	Data	API Activity	1.1.0
CloudTrail Ereignisse für das Management	CloudTrail	AWS	Management	API Activity, Authentication oder Account Change	1.1.0
CloudTrail S3-Datenereignisse	CloudTrail	AWS	Data	API Activity	1.1.0
Route 53	Route 53	AWS	Resolver Query Logs	DNS Activity	1.1.0
Security Hub	Entspricht dem Wert des AWS Security Finding Format (ASFF) ProductName	Entspricht dem AWS Wert des Security Finding Format (ASFF) CompanyName	Entspricht dem featureNameWert aus ASFF ProductFields	Vulnerability Finding, Compliance Finding, or Detection Finding	1.1.0
VPC Flow Logs	Amazon VPC	AWS	Flowlogs	Network Activity	1.1.0
EKS-Prüfprotokolle	Amazon EKS	AWS	Elastic Kubernetes Service	API Activity	1.1.0
AWS WAF v2-Protokolle	AWS WAF	AWS	—	HTTP Activity	1.1.0