parseToOCSF

El procesador parseToOCSF convierte los registros en eventos Open Cybersecurity Schema Framework (OCSF). El OCSF es un estándar abierto que proporciona un esquema común para los datos de seguridad, lo que permite una mejor interoperabilidad y análisis entre diferentes herramientas y plataformas de seguridad.

Este procesador es especialmente útil para los flujos de trabajo de análisis de seguridad en los que es necesario estandarizar los formatos de registro de varios AWS servicios en un esquema coherente para el análisis posterior.

Parámetros

eventSource (obligatorio)

Especifica el AWS servicio o proceso que produce los eventos de registro que se van a convertir. Los valores válidos son:

CloudTrail- CloudTrail registros
Route53Resolver: registros de Route 53 Resolver
VPCFlow: registros de flujo de Amazon VPC
EKSAudit: registros de auditoría de Amazon EKS
AWSWAF- AWS WAF registros

ocsfVersion (obligatorio)

Especifica qué versión del esquema OCSF se debe utilizar para los eventos de registro transformados. Versiones compatibles actualmente: V1.1, V1.5

mappingVersion (opcional)

Especifica la versión del mapeo de transformación de OCSF. Controla la lógica de transformación que se aplica al convertir los registros al formato OCSF. Si no se especifica, utiliza la última versión disponible en el momento de la creación de la política. Las políticas existentes no se actualizan automáticamente cuando se publican nuevas versiones de mapeo. Última versión actual:v1.5.0.

Nota: No es compatible cuando ocsfVersion esV1.1.

source (opcional)

La ruta al campo del evento de registro que desea analizar. Si se omite, se analiza todo el mensaje de registro.

Ejemplo

En el siguiente ejemplo se muestra cómo utilizar parseToOCSF para convertir los registros de flujo de VPC al formato OCSF:


{
  "parseToOCSF": {
    "eventSource": "VPCFlow",
    "ocsfVersion": "V1.1"
  }
}

El siguiente ejemplo muestra cómo especificar una versión de mapeo concreta para lograr un comportamiento de transformación coherente:


{
  "parseToOCSF": {
    "eventSource": "CloudTrail",
    "ocsfVersion": "V1.5",
    "mappingVersion": "v1.5.0"
  }
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Procesadores integrados para los registros AWS ofrecidos

Procesadores de mutación de cadena