Security Hub 和开放网络安全调查结果格式 (OCSF)

OCSF 概述

Security Hub 的发现使用开源项目 OCSF 进行格式化，它提供了一个用于开发架构的可扩展框架，以及不受供应商限制的核心安全架构。供应商和其他数据生成工具可以为其特定域采用和扩展架构。数据制作者可以映射不同的架构，以帮助安全团队简化数据摄取和标准化，以便数据科学家和分析师可以使用通用语言进行威胁检测和调查。其目标提供开放标准，可在任何环境、应用程序或解决方案中采用，同时补充现有的安全标准和流程。

该框架由一组数据类型、一个属性字典和分类法组成。它不仅限于网络安全领域也不局限于事件，但是该框架最初的重点是网络安全事件的架构。OCSF 不受存储格式、数据收集和 Extract-Transform-Load (ETL) 流程的约束。网络安全事件的核心架构旨在与实现无关。架构框架定义文件和生成的规范架构以 JSON 格式编写。

Security Hub 目前支持 OCSF 架构版本 1.6 中的发现。

相关资源

有关 OCSF 及其实现的更多信息，请参阅以下资源：

• OCSF 公开文档

• OCSF 扩展程序使用文档

• OCSF 核心架构参考

• OCSF 扩展注册表