開放網路安全架構架構架構 (OCSF)

什麼是 OCSF？

開放網絡安全架構框架（OCSF）是網絡安全行業領先合作夥伴 AWS 和領先合作夥伴的協作開源工作。OCSF 提供常見安全性事件的標準結構描述、定義版本控制準則以促進結構描述演進，並包含安全性記錄檔產生者和取用者的自我控管程序。OCSF 的公開原始程式碼託管於 GitHub.

安全湖會自動將來自本機支援的記錄檔和事件轉換為 OCSF 結構 AWS 服務 描述。轉換為 OCSF 之後，安全湖將資料存放在您 AWS 帳戶的 Amazon Simple Storage Service (Amazon S3) 儲存貯體 (每個儲存貯體一個儲存貯體 AWS 區域) 中。從自訂來源寫入安全湖的記錄檔和事件必須遵守 OCSF 結構描述和 Apache 實木地板格式。訂閱者可以將記錄和事件視為一般 Parquet 記錄，或套用 OCSF 結構描述事件類別，以更精確地解譯記錄中包含的資訊。

事件類別

來自指定安全湖泊來源的記錄檔和事件與 OCSF 中定義的特定事件類別相符。DNS 活動、SSH 活動和驗證是 OCSF 中事件類別的範例。您可以指定特定來源相符的事件類別。

來源識別

OCSF 使用各種欄位來協助您判斷特定記錄檔集或事件來源的位置。這些是本機支援的相關欄位值 AWS 服務 ，做為 Security Lake 中的來源。

The OCSF source identification for AWS log sources (Version 1) are listed in the following table.

來源	中繼資料產品名稱	中繼資料產品. 供應商名稱	中繼資料產品. 功能名稱	類別名稱	元數據版本
CloudTrail Lambda 數據事件	CloudTrail	AWS	Data	API Activity	1.0.0-rc.2
CloudTrail 管理事件	CloudTrail	AWS	Management	API Activity、Authentication 或 Account Change	1.0.0-rc.2
CloudTrail S3 資料事件	CloudTrail	AWS	Data	API Activity	1.0.0-rc.2
Route 53	Route 53	AWS	Resolver Query Logs	DNS Activity	1.0.0-rc.2
安全中樞	Security Hub	AWS	符合 Security Hub ProductName值	Security Finding	1.0.0-rc.2
VPC 流量日誌	Amazon VPC	AWS	Flowlogs	Network Activity	1.0.0-rc.2

The OCSF source identification for AWS log sources (Version 2) are listed in the following table.

來源	中繼資料產品名稱	中繼資料產品. 供應商名稱	中繼資料產品. 功能名稱	類別名稱	元數據版本
CloudTrail Lambda 數據事件	CloudTrail	AWS	Data	API Activity	1.1.0
CloudTrail 管理事件	CloudTrail	AWS	Management	API Activity、Authentication 或 Account Change	1.1.0
CloudTrail S3 資料事件	CloudTrail	AWS	Data	API Activity	1.1.0
Route 53	Route 53	AWS	Resolver Query Logs	DNS Activity	1.1.0
安全中樞	符合 AWS 安全性尋找格式 (ASFF) 值 ProductName	符合 AWS 安全性尋找格式 (ASFF) 值 CompanyName	符合 ASFF 的featureName值 ProductFields	Vulnerability Finding, Compliance Finding, or Detection Finding	1.1.0
VPC 流量日誌	Amazon VPC	AWS	Flowlogs	Network Activity	1.1.0
EKS 稽核記錄	Amazon EKS	AWS	Elastic Kubernetes Service	API Activity	1.1.0
AWS WAF 2 日誌	AWS WAF	AWS	—	HTTP Activity	1.1.0