parseToOCSF - CloudWatch Registros da Amazon

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

parseToOCSF

O processador parseToOCSF converte logs em eventos do Open Cybersecurity Schema Framework (OCSF). O OCSF é um padrão aberto que fornece um esquema comum para dados de segurança, permitindo melhor interoperabilidade e análise em diferentes ferramentas e plataformas de segurança.

Esse processador é particularmente útil para fluxos de trabalho de análise de segurança em que você precisa padronizar formatos de log de vários AWS serviços em um esquema consistente para análise posterior.

Parâmetros

eventSource(obrigatório)

Especifica o AWS serviço ou processo que produz os eventos de log a serem convertidos. Os valores válidos são:

  • CloudTrail- CloudTrail troncos

  • Route53Resolver - Logs do Route 53 Resolver

  • VPCFlow - Logs do Amazon VPC Flow

  • EKSAudit - Logs de auditoria do Amazon EKS

  • AWSWAF- AWS WAF troncos

ocsfVersion(obrigatório)

Especifica qual versão do esquema OCSF usar para os eventos de logs transformados. Versões atualmente suportadas: V1.1, V1.5

mappingVersion (opcional)

Especifica a versão do mapeamento de transformação do OCSF. Controla qual lógica de transformação é aplicada ao converter registros para o formato OCSF. Se não for especificado, usa a versão mais recente disponível no momento da criação da política. As políticas existentes não são atualizadas automaticamente quando novas versões de mapeamento são lançadas. Versão mais recente atual:v1.5.0.

Nota: Não é suportado quando ocsfVersion éV1.1.

source (opcional)

O caminho para o campo no evento de logs que você deseja analisar. Se for omitida, toda a mensagem do log será analisada.

Exemplo

O seguinte exemplo mostra como usar parseToOCSF para converter logs do VPC Flow para o formato OCSF:

{
  "parseToOCSF": {
    "eventSource": "VPCFlow",
    "ocsfVersion": "V1.1"
  }
}

O exemplo a seguir mostra como especificar uma versão de mapeamento específica para um comportamento de transformação consistente:

{
  "parseToOCSF": {
    "eventSource": "CloudTrail",
    "ocsfVersion": "V1.5",
    "mappingVersion": "v1.5.0"
  }
}