本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 安全湖中的开放网络安全架构框架 (OCSF)
## 什么是 OCSF?
[开放网络安全架构框架 (OCSF)](https://schema.ocsf.io/) 是由AWS网络安全行业的领先合作伙伴共同开发的开源项目。OCSF 为常见安全事件提供了标准架构,定义了版本控制标准以促进架构的演变,还包括安全日志生成者和使用者的自治流程。OCSF 的公共源代码托管在。[GitHub](https://github.com/ocsf/ocsf-schema)
Security Lake 会自动将来自原生支持的日志和事件转换为 OCSF AWS 服务架构。转换为 OCSF 后,Security Lake 会将数据存储在您的亚马逊简单存储服务 (Amazon S3) 存储桶(AWS 区域每个存储桶一个存储桶)中。AWS 账户从自定义来源写入 Security Lake 的日志和事件必须遵守 OCSF 架构和 Apache Parquet 格式。订阅用户可以将日志和事件视为通用 Parquet 记录,也可以应用 OCSF 架构事件类来更准确地解读记录中包含的信息。
## OCSF 事件类
来自特定 Security Lake [来源](source-management.md)的日志和事件与 OCSF 中定义的特定事件类相匹配。DNS 活动、SSH 活动和身份验证是 [OCSF 中的事件类](https://schema.ocsf.io/classes?extensions=)的示例。您可以指定特定来源所匹配的事件类。
## OCSF 来源识别
OCSF 使用各种字段来帮助您确定特定日志或事件的来源。这些是 Security Lake AWS 服务中原生支持作为来源的相关字段的值。
`The OCSF source identification for AWS log sources (Version 1) are listed in the following table.`
| 来源 | metadata.product.name | metadata.product.vendor\$1name | metadata.product.feature.name | 类名 | 元数据版本 |
| --- | --- | --- | --- | --- | --- |
| CloudTrail Lambda 数据事件 | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.0.0-rc.2` |
| CloudTrail 管理活动 | `CloudTrail` | `AWS` | `Management` | `API Activity`、`Authentication` 或 `Account Change` | `1.0.0-rc.2` |
| CloudTrail S3 数据事件 | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.0.0-rc.2` |
| Route 53 | `Route 53` | `AWS` | `Resolver Query Logs` | `DNS Activity` | `1.0.0-rc.2` |
| Security Hub CSPM | `Security Hub CSPM` | `AWS` | 匹配 Security Hub CSPM 值 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html) | `Security Finding` | `1.0.0-rc.2` |
| VPC 流日志 | `Amazon VPC` | `AWS` | `Flowlogs` | `Network Activity` | `1.0.0-rc.2` |
`The OCSF source identification for AWS log sources (Version 2) are listed in the following table.`
| 来源 | metadata.product.name | metadata.product.vendor\$1name | metadata.product.feature.name | 类名 | 元数据版本 |
| --- | --- | --- | --- | --- | --- |
| CloudTrail Lambda 数据事件 | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.1.0` |
| CloudTrail 管理活动 | `CloudTrail` | `AWS` | `Management` | `API Activity`、`Authentication` 或 `Account Change` | `1.1.0` |
| CloudTrail S3 数据事件 | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.1.0` |
| Route 53 | `Route 53` | `AWS` | `Resolver Query Logs` | `DNS Activity` | `1.1.0` |
| Security Hub CSPM | 匹配AWS安全调查结果格式 (ASFF) 值 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html) | 匹配AWS安全调查结果格式 (ASFF) 值 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html) | 匹配来自 ASFF 的[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html)值 `ProductFields` | `Vulnerability Finding, Compliance Finding, or Detection Finding` | `1.1.0` |
| VPC 流日志 | `Amazon VPC` | `AWS` | `Flowlogs` | `Network Activity` | `1.1.0` |
| EKS 审核日志 | `Amazon EKS` | `AWS` | `Elastic Kubernetes Service` | `API Activity` | `1.1.0` |
| AWS WAF v2 日志 | `AWS WAF` | `AWS` | `—` | `HTTP Activity` | `1.1.0` |