本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
基本屬性
這些是用於資源識別、位置和基本中繼資料的基本屬性。它們由簡單的資料類型組成,例如字串、時間戳記和陣列。
雲端分割區
資源所在的雲端分割區。
- 需求
-
建議
- Type
-
String
- OCSF 狀態
-
現有
範例
{ "resources": [ { "cloud_partition": "aws" } ] }
擁有者帳戶 ID
資源所屬的 12 位數帳戶識別符。
- 需求
-
建議
- Type
-
String
- OCSF 狀態
-
現有
範例
{ "resources": [ { "owner": { "account": { "uid": "123456789012" } } } ] }
資源類型
識別特定服務和資源的 AWSCloudFormation 資源類型。
- 需求
-
必要
- Type
-
String
- 格式
-
必須遵循AWSCloudFormation 資源類型命名慣例:
AWS::<Service>::<ResourceType> - OCSF 狀態
-
現有
範例
{ "resources": [ { "type": "AWS::EC2::Instance" } ] }
資源識別符
雲端資源的唯一識別符 (例如 i-1234567890abcdef0)。
- 需求
-
建議
- Type
-
String
- 格式
-
必須是有效的資源識別符。長度下限為 1。長度上限為 768。
- OCSF 狀態
-
現有
範例
{ "resources": [ { "uid": "i-1234567890abcdef0" } ] }
替代資源識別符
雲端資源的唯一識別符,通常是 Amazon Resource Name (ARN)。
- 需求
-
建議
- Type
-
String
- 格式
-
應為有效的 AWSARN。常見模式包括:
-
"arn:partition:service:region:account-id:resource-id" -
"arn:partition:service:region:account-id:resource-type/resource-id" -
"arn:partition:service:region:account-id:resource-type:resource-id"
注意:某些像 S3 的服務會使用變化,例如 arn:aws:s3::bucket-name (不含 region 或 account-id)。
-
- OCSF 狀態
-
現有
範例
{ "resources": [ { "uid_alt": "arn:aws:ec2:us-east-1:123456789012:instance/i-1234567890abcdef0" } ] }
"{ "resources": [ { "uid_alt": "arn:aws:s3:::my-bucket-name" } ] }"
資源名稱
雲端資源的唯一名稱。
- 需求
-
建議
- Type
-
String
- 格式
-
使用者建立的名稱,其值將取決於環境。
- OCSF 狀態
-
現有
範例
{ "resources": [ { "name": "My-Server-1" } ] }
雲端區域
資源所在的AWS區域。
- 需求
-
建議
- Type
-
String
- 格式
-
有效的雲端區域識別符 (例如 us-east-1、eu-west-1、ap-southeast-2)
- OCSF 狀態
-
現有
範例
{ "resources": [ { "region": "us-west-2" } ] }
資源建立時間
資源建立的時間。
- 需求
-
建議
- Type
-
時間戳記
- 格式
-
Unix 時間戳記,自 epoch 起以毫秒為單位 (1970 年 1 月 1 日,00:00:00 UTC)
- OCSF 狀態
-
現有
範例
{ "resources": [ { "created_time": 1762019193000 } ] }
Tags (標籤)
資源中繼資料和組織的鍵值對。
- 需求
-
建議
- Type
-
索引鍵陣列:值物件
- 格式
-
允許 定義 key:value 對的一般物件。
- OCSF 狀態
-
現有
範例
{ "resources": [ { "tags": [ { "name": "Environment", "value": "Production" }, { "name": "Owner", "value": "SecurityTeam" } ] } ] }
IP Address (IP 地址)
與執行個體相關聯的 IP 地址,採用 IPv4 或 IPv6 格式。
- 需求
-
選用
- Type
-
String
- 格式
-
有效的 IPv4 或 IPv6 地址
- OCSF 狀態
-
現有
範例
{ "resources": [ { "ip": "10.0.1.25" } ] }
IP 地址
與裝置相關聯的 IP 地址陣列 (IPv4 或 IPv6)。這些可能包括公有和私有 IP 地址。
- 需求
-
選用
- Type
-
IP 地址陣列
- OCSF 狀態
-
新增
範例
{ "resources": [ { "ip_addresses": ["10.0.1.25", "52.12.34.56"] } ] }
VPC UID
資源所在的 VPC ID。
- 需求
-
選用
- Type
-
String
- 格式
-
VPC 識別符 (例如 vpc-12345678900)
- OCSF 狀態
-
已新增至
resource_details
範例
{ "resources": [ { "vpc_uid": "vpc-0a1b2c3d4e5f6g7h8" } ] }
具有基本屬性的資源物件範例
{ "resources": [ { "cloud_partition": "aws", "owner": { "account": { "uid": "123456789012" } }, "region": "us-east-1", "type": "AWS::EC2::NetworkInterface", "uid": "eni-03e6c892dd45e836c", "uid_alt": "arn:aws:ec2:us-east-1:123456789012:network-interface/eni-03e6c892dd45e836c", "zone": "us-east-1f", "vpc_uid": "vpc-0ef6045717b0362f6" } ] }
