Analyser vers OCSF

Le parseToOCSF processeur convertit les journaux en événements OCSF (Open Cybersecurity Schema Framework). L'OCSF est un standard ouvert qui fournit un schéma commun pour les données de sécurité, permettant une meilleure interopérabilité et une meilleure analyse entre différents outils et plateformes de sécurité.

Ce processeur est particulièrement utile pour les flux de travail d'analyse de sécurité dans lesquels vous devez standardiser les formats de journaux de différents AWS services dans un schéma cohérent pour une analyse en aval.

Paramètres

eventSource (obligatoire)

Spécifie le AWS service ou le processus qui produit les événements du journal à convertir. Les valeurs valides sont :

CloudTrail- CloudTrail journaux
Route53Resolver- Journaux du résolveur Route 53
VPCFlow- Journaux de flux Amazon VPC
EKSAudit- Journaux d'audit Amazon EKS
AWSWAF- AWS WAF journaux

ocsfVersion (obligatoire)

Spécifie la version du schéma OCSF à utiliser pour les événements du journal transformé. Version actuellement prise en charge : V1.1

source (facultatif)

Le chemin d'accès au champ du journal des événements que vous souhaitez analyser. En cas d'omission, l'intégralité du message du journal est analysée.

Exemple

L'exemple suivant montre comment convertir les journaux parseToOCSF de flux VPC au format OCSF :


{
  "parseToOCSF": {
    "eventSource": "VPCFlow",
    "ocsfVersion": "V1.1"
  }
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction