Cadre de schéma de cybersécurité ouvert (OCSF)

Qu'est-ce que l'OCSF ?

L'Open Cybersecurity Schema Framework (OCSF) est un effort collaboratif AWS et open source mené par des partenaires de premier plan dans le secteur de la cybersécurité. L'OCSF fournit un schéma standard pour les événements de sécurité courants, définit des critères de version pour faciliter l'évolution du schéma et inclut un processus d'autogouvernance pour les producteurs et les consommateurs de journaux de sécurité. Le code source public de l'OCSF est hébergé sur GitHub.

Security Lake convertit automatiquement les journaux et les événements provenant du schéma OCSF pris en charge Services AWS de manière native. Après la conversion au format OCSF, Security Lake stocke les données dans un compartiment Amazon Simple Storage Service (Amazon S3) (un compartiment Région AWS par compartiment) dans votre. Compte AWS Les journaux et les événements écrits dans Security Lake à partir de sources personnalisées doivent respecter le schéma OCSF et le format Apache Parquet. Les abonnés peuvent traiter les journaux et les événements comme des enregistrements Parquet génériques ou appliquer la classe d'événements du schéma OCSF pour interpréter plus précisément les informations contenues dans un enregistrement.

Cours d'événements OCSF

Les journaux et les événements provenant d'une source Security Lake donnée correspondent à une classe d'événements spécifique définie dans OCSF. L'activité DNS, l'activité SSH et l'authentification sont des exemples de classes d'événements dans OCSF. Vous pouvez spécifier à quelle classe d'événements correspond une source donnée.

Identification de la source OCSF

L'OCSF utilise différents champs pour vous aider à déterminer l'origine d'un ensemble spécifique de journaux ou d'événements. Il s'agit des valeurs des champs pertinents Services AWS qui sont prises en charge nativement en tant que sources dans Security Lake.

The OCSF source identification for AWS log sources (Version 1) are listed in the following table.

Source	metadata.product.name	metadata.product.vendor_name	metadata.product.feature.name	nom_classe	métadonnées.version
CloudTrail Événements relatifs aux données Lambda	CloudTrail	AWS	Data	API Activity	1.0.0-rc.2
CloudTrail Événements de gestion	CloudTrail	AWS	Management	API Activity, Authentication ou Account Change	1.0.0-rc.2
CloudTrail Événements liés aux données S3	CloudTrail	AWS	Data	API Activity	1.0.0-rc.2
Route 53	Route 53	AWS	Resolver Query Logs	DNS Activity	1.0.0-rc.2
Security Hub	Security Hub	AWS	Correspond à la ProductNamevaleur du Security Hub	Security Finding	1.0.0-rc.2
Journaux de flux VPC	Amazon VPC	AWS	Flowlogs	Network Activity	1.0.0-rc.2

The OCSF source identification for AWS log sources (Version 2) are listed in the following table.

Source	metadata.product.name	metadata.product.vendor_name	metadata.product.feature.name	nom_classe	métadonnées.version
CloudTrail Événements relatifs aux données Lambda	CloudTrail	AWS	Data	API Activity	1.1.0
CloudTrail Événements de gestion	CloudTrail	AWS	Management	API Activity, Authentication ou Account Change	1.1.0
CloudTrail Événements liés aux données S3	CloudTrail	AWS	Data	API Activity	1.1.0
Route 53	Route 53	AWS	Resolver Query Logs	DNS Activity	1.1.0
Security Hub	Correspond à AWS la valeur du format de recherche de sécurité (ASFF) ProductName	Correspond à AWS la valeur du format de recherche de sécurité (ASFF) CompanyName	Correspond à featureNamela valeur d'ASFF ProductFields	Vulnerability Finding, Compliance Finding, or Detection Finding	1.1.0
Journaux de flux VPC	Amazon VPC	AWS	Flowlogs	Network Activity	1.1.0
Journaux d'audit EKS	Amazon EKS	AWS	Elastic Kubernetes Service	API Activity	1.1.0
AWS WAF Journaux v2	AWS WAF	AWS	—	HTTP Activity	1.1.0