parseToOCSF

O processador parseToOCSF converte logs em eventos do Open Cybersecurity Schema Framework (OCSF). O OCSF é um padrão aberto que fornece um esquema comum para dados de segurança, permitindo melhor interoperabilidade e análise em diferentes ferramentas e plataformas de segurança.

Esse processador é particularmente útil para fluxos de trabalho de análise de segurança em que você precisa padronizar formatos de log de vários serviços AWS em um esquema consistente para análise posterior.

Parâmetros

eventSource (obrigatório)

Especifica o serviço AWS ou processo que produz os eventos de logs a serem convertidos. Os valores válidos são:

CloudTrail - Logs do CloudTrail
Route53Resolver - Logs do Route 53 Resolver
VPCFlow - Logs do Amazon VPC Flow
EKSAudit - Logs de auditoria do Amazon EKS
AWSWAF - Logs do AWS WAF

ocsfVersion (obrigatório)

Especifica qual versão do esquema OCSF usar para os eventos de logs transformados. Versão compatível atualmente: V1.1

source (opcional)

O caminho para o campo no evento de logs que você deseja analisar. Se for omitida, toda a mensagem do log será analisada.

Exemplo

O exemplo a seguir mostra como usar parseToOCSF para converter logs do VPC Flow para o formato OCSF:


{
  "parseToOCSF": {
    "eventSource": "VPCFlow",
    "ocsfVersion": "V1.1"
  }
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento