Amazon Security Lake est en version préliminaire. Votre utilisation de la version préliminaire d'Amazon Security Lake est soumise à la section 2 des Conditions de AWS service
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Cadre de schéma de cybersécurité ouvert (OCSF)
What is OCSF?
L'Open Cybersecurity Schema Framework (OCSF)
Security Lake convertit automatiquement les journaux et les événements provenant d'un support natifServices AWS vers le schéma OCSF. Après la conversion en OCSF, Security Lake stocke les données dans un compartiment Amazon Simple Storage Service (Amazon S3) (un compartiment parRégion AWS) dans votre compartimentCompte AWS. Les journaux et les événements écrits dans Security Lake à partir de sources personnalisées doivent respecter le schéma OCSF et un format Apache Parquet. Les abonnés peuvent traiter les journaux et les événements comme des enregistrements Parquet génériques ou appliquer la classe d'événements du schéma OCSF pour interpréter plus précisément les informations contenues dans un enregistrement.
Classes d'événements
Les journaux et les événements d'une source Security Lake donnée correspondent à une classe d'événements spécifique définie dans OCSF. L'activité DNS, l'activité SSH et l'authentification sont des exemples de classes d'événements dans OCSF
Identification de la source OCSF
OCSF utilise divers champs pour vous aider à déterminer l'origine d'un ensemble spécifique de journaux ou d'événements. Il s'agit des valeurs des champs correspondantsServices AWS qui sont pris en charge nativement en tant que sources dans Security Lake.
| Source | metadata.product.name | metadata.product.venor_name | metadata.product.feature.name | nom_classe |
|---|---|---|---|---|
|
CloudTrail |
|
|
|
|
|
Route 53 |
|
|
|
|
|
Security Hub |
|
|
Correspond à la |
|
|
Journaux de flux VPC |
|
|
|
|
