Parse nach OCSF - CloudWatch Amazon-Protokolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Parse nach OCSF

Der parseToOCSF Prozessor konvertiert Protokolle in Open Cybersecurity Schema Framework (OCSF) -Ereignisse. OCSF ist ein offener Standard, der ein gemeinsames Schema für Sicherheitsdaten bereitstellt und so eine bessere Interoperabilität und Analyse zwischen verschiedenen Sicherheitstools und Plattformen ermöglicht.

Dieser Prozessor ist besonders nützlich für Sicherheitsanalyse-Workflows, bei denen Sie Protokollformate verschiedener AWS Dienste in einem konsistenten Schema für nachgelagerte Analysen standardisieren müssen.

Parameter

eventSource (Erforderlich)

Gibt den AWS Dienst oder Prozess an, der die zu konvertierenden Protokollereignisse erzeugt. Gültige Werte für sind:

  • CloudTrail- CloudTrail Protokolle

  • Route53Resolver- Route 53 Resolver-Protokolle

  • VPCFlow- Amazon VPC-Flussprotokolle

  • EKSAudit- Amazon EKS-Auditprotokolle

  • AWSWAF- AWS WAF Protokolle

ocsfVersion (Erforderlich)

Gibt an, welche Version des OCSF-Schemas für die transformierten Protokollereignisse verwendet werden soll. Derzeit unterstützte Version: V1.1

source (optional)

Der Pfad zu dem Feld im Protokollereignis, das Sie analysieren möchten. Wenn es weggelassen wird, wird die gesamte Protokollnachricht analysiert.

Beispiel

Das folgende Beispiel zeigt, wie VPC Flow Logs in das OCSF-Format konvertiert werden: parseToOCSF

{
  "parseToOCSF": {
    "eventSource": "VPCFlow",
    "ocsfVersion": "V1.1"
  }
}