Analizar a OCSF

El parseToOCSF procesador convierte los registros en eventos de Open Cybersecurity Schema Framework (OCSF). El OCSF es un estándar abierto que proporciona un esquema común para los datos de seguridad, lo que permite una mejor interoperabilidad y análisis entre diferentes herramientas y plataformas de seguridad.

Este procesador es especialmente útil para los flujos de trabajo de análisis de seguridad, en los que es necesario estandarizar los formatos de registro de varios AWS servicios en un esquema coherente para el análisis posterior.

Parámetros

eventSource (obligatorio)

Especifica el AWS servicio o proceso que produce los eventos de registro que se van a convertir. Los valores válidos son:

CloudTrail- CloudTrail registros
Route53Resolver- Registros de Route 53 Resolver
VPCFlow- Registros de flujo de Amazon VPC
EKSAudit- Registros de auditoría de Amazon EKS
AWSWAF- AWS WAF registros

ocsfVersion (obligatorio)

Especifica qué versión del esquema OCSF se debe utilizar para los eventos de registro transformados. Versión compatible actualmente: V1.1

source (opcional)

La ruta al campo del evento de registro que desea analizar. Si se omite, se analiza todo el mensaje de registro.

Ejemplo

El siguiente ejemplo muestra cómo convertir los registros parseToOCSF de flujo de VPC al formato OCSF:


{
  "parseToOCSF": {
    "eventSource": "VPCFlow",
    "ocsfVersion": "V1.1"
  }
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento