Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Cadre de schéma de cybersécurité ouvert (OCSF) dans Security Lake
<a name="open-cybersecurity-schema-framework"></a>

## Qu'est-ce que l'OCSF ?
<a name="what-is-ocsf"></a>

L'[Open Cybersecurity Schema Framework (OCSF)](https://schema.ocsf.io/) est un effort collaboratif AWS et open source mené par des partenaires de premier plan dans le secteur de la cybersécurité. L'OCSF fournit un schéma standard pour les événements de sécurité courants, définit des critères de version pour faciliter l'évolution du schéma et inclut un processus d'autogouvernance pour les producteurs et les consommateurs de journaux de sécurité. Le code source public de l'OCSF est hébergé sur [GitHub](https://github.com/ocsf/ocsf-schema).

Security Lake convertit automatiquement les journaux et les événements provenant du schéma OCSF pris en charge Services AWS de manière native. Après la conversion au format OCSF, Security Lake stocke les données dans un compartiment Amazon Simple Storage Service (Amazon S3) (un compartiment Région AWS par compartiment) dans votre.Compte AWS Les journaux et les événements écrits dans Security Lake à partir de sources personnalisées doivent respecter le schéma OCSF et le format Apache Parquet. Les abonnés peuvent traiter les journaux et les événements comme des enregistrements Parquet génériques ou appliquer la classe d'événements du schéma OCSF pour interpréter plus précisément les informations contenues dans un enregistrement.

## Cours d'événements OCSF
<a name="ocsf-event-classes"></a>

Les journaux et les événements provenant d'une [source](source-management.md) Security Lake donnée correspondent à une classe d'événements spécifique définie dans OCSF. L'activité DNS, l'activité SSH et l'authentification sont des exemples de [classes d'événements dans OCSF](https://schema.ocsf.io/classes?extensions=). Vous pouvez spécifier à quelle classe d'événements correspond une source donnée. 

## Identification de la source OCSF
<a name="ocsf-source-identification"></a>

L'OCSF utilise divers champs pour vous aider à déterminer l'origine d'un ensemble spécifique de journaux ou d'événements. Il s'agit des valeurs des champs pertinents Services AWS qui sont prises en charge nativement en tant que sources dans Security Lake. 

`The OCSF source identification for AWS log sources (Version 1) are listed in the following table.`


| Source | metadata.product.name | metadata.product.vendor\_name | metadata.product.feature.name | nom\_classe | métadonnées.version | 
| --- | --- | --- | --- | --- | --- | 
| CloudTrail Événements relatifs aux données Lambda | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.0.0-rc.2` | 
| CloudTrail Événements de gestion | `CloudTrail` | `AWS` | `Management` | `API Activity`, `Authentication` ou `Account Change` | `1.0.0-rc.2` | 
| CloudTrail Événements liés aux données S3 | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.0.0-rc.2` | 
| Route 53 | `Route 53` | `AWS` | `Resolver Query Logs` | `DNS Activity` | `1.0.0-rc.2` | 
| Security Hub CSPM | `Security Hub CSPM` | `AWS` | Correspond à la valeur CSPM de [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html)Security Hub | `Security Finding` | `1.0.0-rc.2` | 
| Journaux de flux VPC | `Amazon VPC` | `AWS` | `Flowlogs` | `Network Activity` | `1.0.0-rc.2` | 

`The OCSF source identification for AWS log sources (Version 2) are listed in the following table.`


| Source | metadata.product.name | metadata.product.vendor\_name | metadata.product.feature.name | nom\_classe | métadonnées.version | 
| --- | --- | --- | --- | --- | --- | 
| CloudTrail Événements relatifs aux données Lambda | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.1.0` | 
| CloudTrail Événements de gestion | `CloudTrail` | `AWS` | `Management` | `API Activity`, `Authentication` ou `Account Change` | `1.1.0` | 
| CloudTrail Événements liés aux données S3 | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.1.0` | 
| Route 53 | `Route 53` | `AWS` | `Resolver Query Logs` | `DNS Activity` | `1.1.0` | 
| Security Hub CSPM | Correspond àAWS la valeur du format de recherche de sécurité (ASFF) [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html) | Correspond àAWS la valeur du format de recherche de sécurité (ASFF) [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html) | Correspond à [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html)la valeur d'ASFF `ProductFields` | `Vulnerability Finding, Compliance Finding, or Detection Finding` | `1.1.0` | 
| Journaux de flux VPC | `Amazon VPC` | `AWS` | `Flowlogs` | `Network Activity` | `1.1.0` | 
| Journaux d'audit EKS | `Amazon EKS` | `AWS` | `Elastic Kubernetes Service` | `API Activity` | `1.1.0` | 
| AWS WAF Journaux v2 | `AWS WAF` | `AWS` | `—` | `HTTP Activity` | `1.1.0` |