本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
開放網路安全架構架構架構 (OCSF)
什麼是 OCSF?
開放網絡安全架構框架(OCSF)
安全湖會自動將來自本機支援的記錄檔和事件轉換為 OCSF 結構 AWS 服務 描述。轉換為 OCSF 之後,安全湖將資料存放在您 AWS 帳戶的 Amazon Simple Storage Service (Amazon S3) 儲存貯體 (每個儲存貯體一個儲存貯體 AWS 區域) 中。從自訂來源寫入安全湖的記錄檔和事件必須遵守 OCSF 結構描述和 Apache 實木地板格式。訂閱者可以將記錄和事件視為一般 Parquet 記錄,或套用 OCSF 結構描述事件類別,以更精確地解譯記錄中包含的資訊。
事件類別
來自指定安全湖泊來源的記錄檔和事件與 OCSF 中定義的特定事件類別相符。DNS 活動、SSH 活動和驗證是 OCSF 中事件類別的
來源識別
OCSF 使用各種欄位來協助您判斷特定記錄檔集或事件來源的位置。這些是本機支援的相關欄位值 AWS 服務 ,做為 Security Lake 中的來源。
The OCSF source identification for AWS log sources (Version 1) are listed in the following table.
來源 | 中繼資料產品名稱 | 中繼資料產品. 供應商名稱 | 中繼資料產品. 功能名稱 | 類別名稱 | 元數據版本 |
---|---|---|---|---|---|
CloudTrail Lambda 數據事件 |
|
|
|
|
|
CloudTrail 管理事件 |
|
|
|
|
|
CloudTrail S3 資料事件 |
|
|
|
|
|
Route 53 |
|
|
|
|
|
安全中樞 |
|
|
符合 Security Hub |
|
|
VPC 流量日誌 |
|
|
|
|
|
The OCSF source identification for AWS log sources (Version 2) are listed in the following table.
來源 | 中繼資料產品名稱 | 中繼資料產品. 供應商名稱 | 中繼資料產品. 功能名稱 | 類別名稱 | 元數據版本 |
---|---|---|---|---|---|
CloudTrail Lambda 數據事件 |
|
|
|
|
|
CloudTrail 管理事件 |
|
|
|
|
|
CloudTrail S3 資料事件 |
|
|
|
|
|
Route 53 |
|
|
|
|
|
安全中樞 |
符合 AWS 安全性尋找格式 (ASFF) 值 |
符合 AWS 安全性尋找格式 (ASFF) 值 |
符合 ASFF 的 |
|
|
VPC 流量日誌 |
|
|
|
|
|
EKS 稽核記錄 |
|
|
|
|
|
AWS WAF 2 日誌 |
|
|
|
|
|