本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Security Lake 中的開放式網路安全結構描述架構 (OCSF)
## 什麼是 OCSF?
[Open Cybersecurity 結構描述架構 (OCSF)](https://schema.ocsf.io/) 是網路安全產業中AWS和 領導合作夥伴的協作、開放原始碼工作。OCSF 為常見安全事件提供標準結構描述、定義版本控制標準以促進結構描述演變,並包含安全日誌生產者和消費者的自我監管程序。OCSF 的公有原始碼託管於 [GitHub](https://github.com/ocsf/ocsf-schema)。
Security Lake 會自動AWS 服務將來自原生支援的日誌和事件轉換為 OCSF 結構描述。轉換為 OCSF 後,Security Lake 會將資料存放在 Amazon Simple Storage Service (Amazon S3) 儲存貯體中 (每個儲存貯體一個AWS 區域)AWS 帳戶。從自訂來源寫入 Security Lake 的日誌和事件必須遵循 OCSF 結構描述和 Apache Parquet 格式。訂閱者可以將日誌和事件視為一般 Parquet 記錄,或套用 OCSF 結構描述事件類別,以更準確地解譯記錄中包含的資訊。
## OCSF 事件類別
來自指定 Security Lake [來源](source-management.md)的日誌和事件符合 OCSF 中定義的特定事件類別。DNS 活動、SSH 活動和身分驗證是 [OCSF 中事件類別](https://schema.ocsf.io/classes?extensions=)的範例。您可以指定特定來源相符的事件類別。
## OCSF 來源識別
OCSF 使用各種欄位來協助您判斷一組特定日誌或事件的來源。這些是 Security Lake AWS 服務中原生支援做為來源的 相關欄位的值。
`The OCSF source identification for AWS log sources (Version 1) are listed in the following table.`
| 來源 | metadata.product.name | metadata.product.vendor\_name | metadata.product.feature.name | class\_name | metadata.version |
| --- | --- | --- | --- | --- | --- |
| CloudTrail Lambda 資料事件 | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.0.0-rc.2` |
| CloudTrail 管理事件 | `CloudTrail` | `AWS` | `Management` | `API Activity`、`Authentication` 或 `Account Change` | `1.0.0-rc.2` |
| CloudTrail S3 資料事件 | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.0.0-rc.2` |
| Route 53 | `Route 53` | `AWS` | `Resolver Query Logs` | `DNS Activity` | `1.0.0-rc.2` |
| Security Hub CSPM | `Security Hub CSPM` | `AWS` | 符合 Security Hub CSPM [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html)值 | `Security Finding` | `1.0.0-rc.2` |
| VPC 流量日誌 | `Amazon VPC` | `AWS` | `Flowlogs` | `Network Activity` | `1.0.0-rc.2` |
`The OCSF source identification for AWS log sources (Version 2) are listed in the following table.`
| 來源 | metadata.product.name | metadata.product.vendor\_name | metadata.product.feature.name | class\_name | metadata.version |
| --- | --- | --- | --- | --- | --- |
| CloudTrail Lambda 資料事件 | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.1.0` |
| CloudTrail 管理事件 | `CloudTrail` | `AWS` | `Management` | `API Activity`、`Authentication` 或 `Account Change` | `1.1.0` |
| CloudTrail S3 資料事件 | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.1.0` |
| Route 53 | `Route 53` | `AWS` | `Resolver Query Logs` | `DNS Activity` | `1.1.0` |
| Security Hub CSPM | 符合AWS安全調查結果格式 (ASFF) [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html)值 | 符合AWS安全調查結果格式 (ASFF) [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html)值 | 符合 ASFF [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html)的值 `ProductFields` | `Vulnerability Finding, Compliance Finding, or Detection Finding` | `1.1.0` |
| VPC 流量日誌 | `Amazon VPC` | `AWS` | `Flowlogs` | `Network Activity` | `1.1.0` |
| EKS 稽核日誌 | `Amazon EKS` | `AWS` | `Elastic Kubernetes Service` | `API Activity` | `1.1.0` |
| AWS WAF v2 日誌 | `AWS WAF` | `AWS` | `—` | `HTTP Activity` | `1.1.0` |