Parse nach OCSF - CloudWatch Amazon-Protokolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Parse nach OCSF

Der parseToOCSF Prozessor konvertiert Protokolle in Open Cybersecurity Schema Framework (OCSF) -Ereignisse. OCSF ist ein offener Standard, der ein gemeinsames Schema für Sicherheitsdaten bereitstellt und so eine bessere Interoperabilität und Analyse zwischen verschiedenen Sicherheitstools und Plattformen ermöglicht.

Dieser Prozessor ist besonders nützlich für Sicherheitsanalyse-Workflows, bei denen Sie Protokollformate verschiedener AWS Dienste in einem konsistenten Schema für nachgelagerte Analysen standardisieren müssen.

Parameter

eventSource (Erforderlich)

Gibt den AWS Dienst oder Prozess an, der die zu konvertierenden Protokollereignisse erzeugt. Folgende sind gültige Werte:

  • CloudTrail- CloudTrail Protokolle

  • Route53Resolver- Route 53 Resolver-Protokolle

  • VPCFlow- Amazon VPC-Flussprotokolle

  • EKSAudit- Amazon EKS-Auditprotokolle

  • AWSWAF- AWS WAF Protokolle

ocsfVersion (Erforderlich)

Gibt an, welche Version des OCSF-Schemas für die transformierten Protokollereignisse verwendet werden soll. Derzeit unterstützte Versionen: V1.1, V1.5

mappingVersion (optional)

Gibt die Version der OCSF-Transformationszuweisung an. Steuert, welche Transformationslogik bei der Konvertierung von Protokollen in das OCSF-Format angewendet wird. Wenn nicht angegeben, wird die neueste verfügbare Version zum Zeitpunkt der Richtlinienerstellung verwendet. Bestehende Richtlinien werden nicht automatisch aktualisiert, wenn neue Mapping-Versionen veröffentlicht werden. Aktuelle neueste Version:v1.5.0.

Hinweis: Wird nicht unterstützt, wenn ocsfVersion es istV1.1.

source (optional)

Der Pfad zu dem Feld im Protokollereignis, das Sie analysieren möchten. Wenn es weggelassen wird, wird die gesamte Protokollnachricht analysiert.

Beispiel

Das folgende Beispiel zeigt, wie VPC Flow Logs in das OCSF-Format konvertiert werden: parseToOCSF

{
  "parseToOCSF": {
    "eventSource": "VPCFlow",
    "ocsfVersion": "V1.1"
  }
}

Das folgende Beispiel zeigt, wie eine bestimmte Mapping-Version für ein konsistentes Transformationsverhalten angegeben wird:

{
  "parseToOCSF": {
    "eventSource": "CloudTrail",
    "ocsfVersion": "V1.5",
    "mappingVersion": "v1.5.0"
  }
}