기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Security Lake의 Open Cybersecurity Schema Framework(OCSF)
## OCSF란 무엇입니까?
[Open Cybersecurity Schema Framework(OCSF)](https://schema.ocsf.io/)는 사이버 보안 업계의AWS및 주요 파트너가 공동으로 수행하는 오픈 소스 작업입니다. OCSF는 일반적인 보안 이벤트에 대한 표준 스키마를 제공하고, 스키마 진화를 촉진하기 위한 버전 관리 기준을 정의하며, 보안 로그 생성자와 소비자를 위한 자체 거버넌스 프로세스를 포함합니다. OCSF의 공개 소스 코드는 [GitHub](https://github.com/ocsf/ocsf-schema)에서 호스팅됩니다.
Security Lake는 기본적으로 지원되는에서 OCSF 스키마AWS 서비스로 오는 로그와 이벤트를 자동으로 변환합니다. OCSF로 변환한 후 Security Lake는 데이터를의 Amazon Simple Storage Service(Amazon S3) 버킷(1개당 버킷 1개AWS 리전)에 저장합니다AWS 계정. 사용자 지정 소스에서 Security Lake에 기록되는 로그 및 이벤트는 OCSF 스키마와 Apache Parquet 형식을 준수해야 합니다. 구독자는 로그 및 이벤트를 일반 Parquet 레코드로 취급하거나 OCSF 스키마 이벤트 클래스를 적용하여 레코드에 포함된 정보를 더 정확하게 해석할 수 있습니다.
## OCSF 이벤트 클래스
지정된 Security Lake [소스의](source-management.md) 로그 및 이벤트는 OCSF에 정의된 특정 이벤트 클래스와 일치합니다. [OCSF의 이벤트 클래스](https://schema.ocsf.io/classes?extensions=) 예로는 DNS 활동, SSH 활동 및 인증이 있습니다. 특정 소스와 일치하는 이벤트 클래스를 지정할 수 있습니다.
## OCSF 소스 식별
OCSF는 다양한 필드를 사용하여 특정 로그 또는 이벤트 집합이 발생한 위치를 확인하는 데 도움을 줍니다. Security Lake에서 소스로AWS 서비스기본적으로 지원되는에 대한 관련 필드의 값입니다.
`The OCSF source identification for AWS log sources (Version 1) are listed in the following table.`
| 소스 | metadata.product.name | metadata.product.vendor\$1name | metadata.product.feature.name | class\$1name | metadata.version |
| --- | --- | --- | --- | --- | --- |
| CloudTrail Management Events | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.0.0-rc.2` |
| CloudTrail 관리 이벤트 | `CloudTrail` | `AWS` | `Management` | `API Activity`,`Authentication` 또는 `Account Change` | `1.0.0-rc.2` |
| CloudTrail S3 데이터 이벤트 | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.0.0-rc.2` |
| Route 53 | `Route 53` | `AWS` | `Resolver Query Logs` | `DNS Activity` | `1.0.0-rc.2` |
| Security Hub CSPM | `Security Hub CSPM` | `AWS` | Security Hub CSPM [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html) 값과 일치 | `Security Finding` | `1.0.0-rc.2` |
| VPC 흐름 로그 | `Amazon VPC` | `AWS` | `Flowlogs` | `Network Activity` | `1.0.0-rc.2` |
`The OCSF source identification for AWS log sources (Version 2) are listed in the following table.`
| 소스 | metadata.product.name | metadata.product.vendor\$1name | metadata.product.feature.name | class\$1name | metadata.version |
| --- | --- | --- | --- | --- | --- |
| CloudTrail Management Events | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.1.0` |
| CloudTrail 관리 이벤트 | `CloudTrail` | `AWS` | `Management` | `API Activity`,`Authentication` 또는 `Account Change` | `1.1.0` |
| CloudTrail S3 데이터 이벤트 | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.1.0` |
| Route 53 | `Route 53` | `AWS` | `Resolver Query Logs` | `DNS Activity` | `1.1.0` |
| Security Hub CSPM | AWS Security Finding Format(ASFF) [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html) 값과 일치 | AWS Security Finding Format(ASFF) [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html) 값과 일치 | ASFF의 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html) 값과 일치 `ProductFields` | `Vulnerability Finding, Compliance Finding, or Detection Finding` | `1.1.0` |
| VPC 흐름 로그 | `Amazon VPC` | `AWS` | `Flowlogs` | `Network Activity` | `1.1.0` |
| EKS 감사 로그 | `Amazon EKS` | `AWS` | `Elastic Kubernetes Service` | `API Activity` | `1.1.0` |
| AWS WAF v2 로그 | `AWS WAF` | `AWS` | `—` | `HTTP Activity` | `1.1.0` |