parseToOCSF

parseToOCSF プロセッサは、ログを Open Cybersecurity Schema Framework (OCSF) イベントに変換します。OCSF は、セキュリティデータの共通スキーマを提供するオープン標準であり、さまざまなセキュリティツールやプラットフォーム間の相互運用性と分析を高めることができます。

このプロセッサは、さまざまな AWS サービスのログ形式をダウンストリーム分析用の一貫したスキーマに標準化する必要があるセキュリティ分析ワークフローに特に役立ちます。

パラメータ

eventSource (必須)

変換するログイベントを生成する AWS サービスまたはプロセスを指定します。次の値を指定できます。

CloudTrailCloudTrail のログ
Route53Resolver - Route 53 Resolver のログ
VPCFlow - Amazon VPC Flow Logs
EKSAudit - Amazon EKS の監査ログ
AWSWAF - AWS WAF ログ

ocsfVersion (必須)

変換されたログイベントに使用する OCSF スキーマのバージョンを指定します。現在サポートされているバージョン: V1.1, V1.5

mappingVersion (オプション)

OCSF 変換マッピングバージョンを指定します。ログを OCSF 形式に変換するときに適用される変換ロジックを制御します。指定しない場合、はポリシー作成時に利用可能な最新バージョンを使用します。新しいマッピングバージョンがリリースされると、既存のポリシーは自動的にアップグレードされません。現在の最新バージョン: v1.5.0。

注: ocsfVersionがの場合、サポートされていませんV1.1。

source (オプション)

解析するログイベントのフィールドへのパス。省略すると、ログメッセージ全体が解析されます。

例

次の例は、parseToOCSF を使用して VPC Flow Logs を OCSF 形式に変換する方法を示しています。


{
  "parseToOCSF": {
    "eventSource": "VPCFlow",
    "ocsfVersion": "V1.1"
  }
}

次の例は、一貫した変換動作のために特定のマッピングバージョンを指定する方法を示しています。


{
  "parseToOCSF": {
    "eventSource": "CloudTrail",
    "ocsfVersion": "V1.5",
    "mappingVersion": "v1.5.0"
  }
}

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS で提供されるログ用の組み込みプロセッサ

文字列ミューテーションプロセッサ