Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Marco de esquema de ciberseguridad abierto (OCSF) en Security Lake
<a name="open-cybersecurity-schema-framework"></a>

## ¿Qué es OCSF?
<a name="what-is-ocsf"></a>

El [Open Cybersecurity Schema Framework (OCSF)](https://schema.ocsf.io/) es un esfuerzo colaborativo AWS y de código abierto realizado por socios líderes de la industria de la ciberseguridad. El OCSF proporciona un esquema estándar para los eventos de seguridad comunes, define los criterios de control de versiones para facilitar la evolución del esquema e incluye un proceso de autogobierno para los productores y consumidores de registros de seguridad. El código fuente público de OCSF está alojado en. [GitHub](https://github.com/ocsf/ocsf-schema)

Security Lake convierte automáticamente los registros y eventos que provienen de un esquema de OCSF compatible de forma nativa Servicios de AWS. Tras la conversión a OCSF, Security Lake almacena los datos en un depósito de Amazon Simple Storage Service (Amazon S3) (un depósito Región de AWS por depósito) en su servidor.Cuenta de AWS Los registros y eventos que se escriben en Security Lake desde fuentes personalizadas deben seguir el esquema OCSF y el formato Apache Parquet. Los suscriptores pueden tratar los registros y eventos como registros genéricos de Parquet o aplicar la clase de eventos del esquema OCSF para interpretar con mayor precisión la información contenida en un registro.

## Clases de eventos de OCSF
<a name="ocsf-event-classes"></a>

Los registros y eventos de un [origen](source-management.md) de Security Lake determinada coinciden con una clase de evento específica definida en OCSF. La actividad de DNS, la actividad de SSH y la autenticación son ejemplos de [clases de eventos en OCSF](https://schema.ocsf.io/classes?extensions=). Puede especificar la clase de evento que coincide con un origen determinado. 

## Identificación del origen de OCSF
<a name="ocsf-source-identification"></a>

El OCSF utiliza una variedad de campos para ayudarle a determinar dónde se originó un conjunto específico de registros o eventos. Estos son los valores de los campos relevantes Servicios de AWS que Security Lake admite de forma nativa como fuentes. 

`The OCSF source identification for AWS log sources (Version 1) are listed in the following table.`


| origen | metadata.product.name | metadata.product.vendor\_name | metadata.product.feature.name | class\_name | metadata.versión | 
| --- | --- | --- | --- | --- | --- | 
| CloudTrail Eventos de datos Lambda | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.0.0-rc.2` | 
| CloudTrail Eventos de gestión | `CloudTrail` | `AWS` | `Management` | `API Activity`, `Authentication` o `Account Change` | `1.0.0-rc.2` | 
| CloudTrail Eventos de datos de S3 | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.0.0-rc.2` | 
| Route 53 | `Route 53` | `AWS` | `Resolver Query Logs` | `DNS Activity` | `1.0.0-rc.2` | 
| CSPM de Security Hub | `Security Hub CSPM` | `AWS` | Coincide con el valor CSPM de [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html)Security Hub | `Security Finding` | `1.0.0-rc.2` | 
| Logs de flujo de VPC | `Amazon VPC` | `AWS` | `Flowlogs` | `Network Activity` | `1.0.0-rc.2` | 

`The OCSF source identification for AWS log sources (Version 2) are listed in the following table.`


| origen | metadata.product.name | metadata.product.vendor\_name | metadata.product.feature.name | class\_name | metadata.versión | 
| --- | --- | --- | --- | --- | --- | 
| CloudTrail Eventos de datos Lambda | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.1.0` | 
| CloudTrail Eventos de gestión | `CloudTrail` | `AWS` | `Management` | `API Activity`, `Authentication` o `Account Change` | `1.1.0` | 
| CloudTrail Eventos de datos de S3 | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.1.0` | 
| Route 53 | `Route 53` | `AWS` | `Resolver Query Logs` | `DNS Activity` | `1.1.0` | 
| CSPM de Security Hub | AWS Coincide con el valor del formato de búsqueda de seguridad (ASFF) [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html) | AWS Coincide con el valor del formato de búsqueda de seguridad (ASFF) [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html) | Coincide con [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html)el valor del ASFF `ProductFields` | `Vulnerability Finding, Compliance Finding, or Detection Finding` | `1.1.0` | 
| Logs de flujo de VPC | `Amazon VPC` | `AWS` | `Flowlogs` | `Network Activity` | `1.1.0` | 
| Registros de auditoría de EKS | `Amazon EKS` | `AWS` | `Elastic Kubernetes Service` | `API Activity` | `1.1.0` | 
| AWS WAF Registros v2 | `AWS WAF` | `AWS` | `—` | `HTTP Activity` | `1.1.0` |