parseToOCSF

El procesador parseToOCSF convierte los registros en eventos Open Cybersecurity Schema Framework (OCSF). El OCSF es un estándar abierto que proporciona un esquema común para los datos de seguridad, lo que permite una mejor interoperabilidad y análisis entre diferentes herramientas y plataformas de seguridad.

Este procesador es especialmente útil para los flujos de trabajo de análisis de seguridad, en los que es necesario estandarizar los formatos de registro de varios servicios de AWS en un esquema coherente para el análisis posterior.

Parámetros

eventSource (obligatorio)

Especifica el servicio o proceso de AWS que produce los eventos de registro que se van a convertir. Los valores válidos son:

CloudTrail: registros de CloudTrail
Route53Resolver: registros de Route 53 Resolver
VPCFlow: registros de flujo de Amazon VPC
EKSAudit: registros de auditoría de Amazon EKS
AWSWAF: registros de AWS WAF.

ocsfVersion (obligatorio)

Especifica qué versión del esquema OCSF se debe utilizar para los eventos de registro transformados. Versión compatible actualmente: V1.1

source (opcional)

La ruta al campo del evento de registro que desea analizar. Si se omite, se analiza todo el mensaje de registro.

Ejemplo

En el siguiente ejemplo se muestra cómo utilizar parseToOCSF para convertir los registros de flujo de VPC al formato OCSF:


{
  "parseToOCSF": {
    "eventSource": "VPCFlow",
    "ocsfVersion": "V1.1"
  }
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento