Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Open Cybersecurity Schema Framework (OCSF) in Security Lake
## Che cos'è OCSF?
L'[Open Cybersecurity Schema Framework (OCSF)](https://schema.ocsf.io/) è uno sforzo collaborativo AWS e open source di partner leader nel settore della sicurezza informatica. OCSF fornisce uno schema standard per gli eventi di sicurezza più comuni, definisce i criteri di controllo delle versioni per facilitare l'evoluzione dello schema e include un processo di autogoverno per produttori e consumatori di registri di sicurezza. Il codice sorgente pubblico per OCSF è ospitato su. [GitHub](https://github.com/ocsf/ocsf-schema)
Security Lake converte automaticamente i log e gli eventi che provengono dallo schema supportato nativamente Servizi AWS allo schema OCSF. Dopo la conversione in OCSF, Security Lake archivia i dati in un bucket Amazon Simple Storage Service (Amazon S3) (un bucket per) nel tuo.Regione AWSAccount AWS I log e gli eventi scritti su Security Lake da fonti personalizzate devono rispettare lo schema OCSF e il formato Apache Parquet. Gli abbonati possono trattare i log e gli eventi come record Parquet generici o applicare la classe di eventi dello schema OCSF per interpretare più accuratamente le informazioni contenute in un record.
## Classi di eventi OCSF
I log e gli eventi di una determinata [origine](source-management.md) di Security Lake corrispondono a una classe di eventi specifica definita in OCSF. [L'attività DNS, l'attività SSH e l'autenticazione sono esempi di classi di eventi in OCSF.](https://schema.ocsf.io/classes?extensions=) È possibile specificare a quale classe di eventi corrisponde una particolare fonte.
## Identificazione della fonte OCSF
OCSF utilizza una varietà di campi per aiutarti a determinare da dove ha avuto origine uno specifico set di log o eventi. Questi sono i valori dei campi pertinenti Servizi AWS che sono supportati nativamente come sorgenti in Security Lake.
`The OCSF source identification for AWS log sources (Version 1) are listed in the following table.`
| Origine | metadata.product.name | metadata.product.vendor\_name | metadata.product.feature.name | nome\_classe | metadati.versione |
| --- | --- | --- | --- | --- | --- |
| CloudTrail Eventi relativi ai dati Lambda | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.0.0-rc.2` |
| CloudTrail Eventi di gestione | `CloudTrail` | `AWS` | `Management` | `API Activity`, `Authentication` o `Account Change` | `1.0.0-rc.2` |
| CloudTrail Eventi relativi ai dati S3 | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.0.0-rc.2` |
| Route 53 | `Route 53` | `AWS` | `Resolver Query Logs` | `DNS Activity` | `1.0.0-rc.2` |
| Security Hub CSPM | `Security Hub CSPM` | `AWS` | Corrisponde al valore CSPM [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html)di Security Hub | `Security Finding` | `1.0.0-rc.2` |
| Log di flusso VPC | `Amazon VPC` | `AWS` | `Flowlogs` | `Network Activity` | `1.0.0-rc.2` |
`The OCSF source identification for AWS log sources (Version 2) are listed in the following table.`
| Origine | metadata.product.name | metadata.product.vendor\_name | metadata.product.feature.name | nome\_classe | metadati.versione |
| --- | --- | --- | --- | --- | --- |
| CloudTrail Eventi relativi ai dati Lambda | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.1.0` |
| CloudTrail Eventi di gestione | `CloudTrail` | `AWS` | `Management` | `API Activity`, `Authentication` o `Account Change` | `1.1.0` |
| CloudTrail Eventi relativi ai dati S3 | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.1.0` |
| Route 53 | `Route 53` | `AWS` | `Resolver Query Logs` | `DNS Activity` | `1.1.0` |
| Security Hub CSPM | Corrisponde al AWS valore del Security Finding Format (ASFF) [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html) | Corrisponde al valore del AWS Security Finding Format (ASFF) [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html) | Corrisponde [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html)al valore di ASFF `ProductFields` | `Vulnerability Finding, Compliance Finding, or Detection Finding` | `1.1.0` |
| Log di flusso VPC | `Amazon VPC` | `AWS` | `Flowlogs` | `Network Activity` | `1.1.0` |
| Registri di controllo EKS | `Amazon EKS` | `AWS` | `Elastic Kubernetes Service` | `API Activity` | `1.1.0` |
| AWS WAF Registri v2 | `AWS WAF` | `AWS` | `—` | `HTTP Activity` | `1.1.0` |