parseToOCSF - CloudWatch Registri Amazon

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

parseToOCSF

Il parseToOCSF processore converte i log in eventi Open Cybersecurity Schema Framework (OCSF). OCSF è uno standard aperto che fornisce uno schema comune per i dati di sicurezza, che consente una migliore interoperabilità e analisi tra diversi strumenti e piattaforme di sicurezza.

Questo processore è particolarmente utile per i flussi di lavoro di analisi della sicurezza in cui è necessario standardizzare i formati di registro di vari AWS servizi in uno schema coerente per l'analisi a valle.

Parametri

eventSource(richiesto)

Speciifica il AWS servizio o il processo che produce gli eventi di registro da convertire. I valori validi sono:

  • CloudTrail- registri CloudTrail

  • Route53Resolver- Registri Route 53 Resolver

  • VPCFlow- Registri di flusso di Amazon VPC

  • EKSAudit- Registri di controllo di Amazon EKS

  • AWSWAF- registri AWS WAF

ocsfVersion(richiesto)

Speciifica quale versione dello schema OCSF utilizzare per gli eventi di registro trasformati. Versioni attualmente supportate: V1.1, V1.5

mappingVersion (facoltativo)

Specifica la versione di mappatura delle trasformazioni OCSF. Controlla quale logica di trasformazione viene applicata durante la conversione dei log in formato OCSF. Se non specificato, utilizza l'ultima versione disponibile al momento della creazione della politica. Le politiche esistenti non vengono aggiornate automaticamente quando vengono rilasciate nuove versioni di mappatura. Ultima versione attuale:v1.5.0.

Nota: Non supportato quando lo ocsfVersion èV1.1.

source (facoltativo)

Il percorso del campo nel registro dell'evento che desideri analizzare. Se omesso, viene analizzato l'intero messaggio di registro.

Esempio

L'esempio seguente mostra come utilizzare per parseToOCSF convertire i log di flusso VPC in formato OCSF:

{
  "parseToOCSF": {
    "eventSource": "VPCFlow",
    "ocsfVersion": "V1.1"
  }
}

L'esempio seguente mostra come specificare una particolare versione di mappatura per un comportamento di trasformazione coerente:

{
  "parseToOCSF": {
    "eventSource": "CloudTrail",
    "ocsfVersion": "V1.5",
    "mappingVersion": "v1.5.0"
  }
}