Analyser vers OCSF - Amazon CloudWatch Logs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Analyser vers OCSF

Le parseToOCSF processeur convertit les journaux en événements OCSF (Open Cybersecurity Schema Framework). L'OCSF est un standard ouvert qui fournit un schéma commun pour les données de sécurité, permettant une meilleure interopérabilité et une meilleure analyse entre différents outils et plateformes de sécurité.

Ce processeur est particulièrement utile pour les flux de travail d'analyse de sécurité dans lesquels vous devez standardiser les formats de journaux de différents AWS services dans un schéma cohérent pour une analyse en aval.

Paramètres

eventSource (obligatoire)

Spécifie le AWS service ou le processus qui produit les événements du journal à convertir. Les valeurs valides sont :

  • CloudTrail- CloudTrail journaux

  • Route53Resolver- Journaux du résolveur Route 53

  • VPCFlow- Journaux de flux Amazon VPC

  • EKSAudit- Journaux d'audit Amazon EKS

  • AWSWAF- AWS WAF journaux

ocsfVersion (obligatoire)

Spécifie la version du schéma OCSF à utiliser pour les événements du journal transformé. Versions actuellement prises en charge : V1.1, V1.5

mappingVersion (facultatif)

Spécifie la version du mappage de transformation OCSF. Contrôle la logique de transformation appliquée lors de la conversion des journaux au format OCSF. Si ce n'est pas spécifié, utilise la dernière version disponible au moment de la création de la politique. Les politiques existantes ne sont pas automatiquement mises à niveau lorsque de nouvelles versions de mappage sont publiées. Dernière version actuelle :v1.5.0.

Remarque : Non pris en charge quand ocsfVersion c'est le casV1.1.

source (facultatif)

Le chemin d'accès au champ du journal des événements que vous souhaitez analyser. En cas d'omission, l'intégralité du message du journal est analysée.

Exemple

L'exemple suivant montre comment convertir les journaux parseToOCSF de flux VPC au format OCSF :

{
  "parseToOCSF": {
    "eventSource": "VPCFlow",
    "ocsfVersion": "V1.1"
  }
}

L'exemple suivant montre comment spécifier une version de mappage particulière pour un comportement de transformation cohérent :

{
  "parseToOCSF": {
    "eventSource": "CloudTrail",
    "ocsfVersion": "V1.5",
    "mappingVersion": "v1.5.0"
  }
}