翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Security Lake でサイバーセキュリティスキーマフレームワーク (OCSF) を開く
## OCSFとは何ですか
[Open Cybersecurity Schema Framework (OCSF)](https://schema.ocsf.io/) は、サイバーセキュリティ業界のAWSおよび主要なパートナーによる、オープンソースの共同作業です。OCSF は、一般的なセキュリティイベントの標準スキーマを提供し、スキーマの進化を容易にするバージョニング基準を定義し、セキュリティログの作成者と利用者を対象とした自己管理プロセスを組み込んでいます。OCSF の公開ソースコードは [GitHub](https://github.com/ocsf/ocsf-schema) でホストされています。
Security Lake は、ネイティブにサポートされているログとイベントAWS のサービスを OCSF スキーマに自動的に変換します。OCSF に変換すると、Security Lake はデータを の Amazon Simple Storage Service (Amazon S3) バケット (1 つにつき 1 つのバケットAWS リージョン) に保存しますAWS アカウント。カスタムソースからセキュリティレイクに書き込まれるログとイベントは、OCSF スキーマと Apache Parquet 形式に準拠している必要があります。サブスクライバーは、ログとイベントを汎用の Parquet レコードとして扱うことも、OCSF スキーマのイベントクラスを適用してレコードに含まれる情報をより正確に解釈することもできます。
## OCSF イベントクラス
特定の Security Lake [ソース](source-management.md)からのログとイベントは、OCSF で定義された特定のイベントクラスと一致します。[OCSFのイベントクラス](https://schema.ocsf.io/classes?extensions=)には、DNS アクティビティ、SSH アクティビティ、認証などがあります。特定のソースがどのイベントクラスと一致するかを指定できます。
## OCSFソースの識別
OCSF は、さまざまなフィールドを使用して、特定のログやイベントの発生元を特定するのに役立ちます。これらは、Security Lake のソースとしてネイティブにサポートされているAWS のサービスの関連フィールドの値です。
`The OCSF source identification for AWS log sources (Version 1) are listed in the following table.`
| ソース | metadata.product.name | metadata.product.vendor\_name | metadata.product.feature.name | class\_name | metadata.version |
| --- | --- | --- | --- | --- | --- |
| CloudTrail Lambda データイベント | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.0.0-rc.2` |
| CloudTrail 管理イベント | `CloudTrail` | `AWS` | `Management` | `API Activity`, `Authentication`, または `Account Change` | `1.0.0-rc.2` |
| CloudTrail S3 データイベント | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.0.0-rc.2` |
| Route 53 | `Route 53` | `AWS` | `Resolver Query Logs` | `DNS Activity` | `1.0.0-rc.2` |
| Security Hub CSPM | `Security Hub CSPM` | `AWS` | Security Hub の CSPM [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html)値と一致 | `Security Finding` | `1.0.0-rc.2` |
| VPC フローログ | `Amazon VPC` | `AWS` | `Flowlogs` | `Network Activity` | `1.0.0-rc.2` |
`The OCSF source identification for AWS log sources (Version 2) are listed in the following table.`
| ソース | metadata.product.name | metadata.product.vendor\_name | metadata.product.feature.name | class\_name | metadata.version |
| --- | --- | --- | --- | --- | --- |
| CloudTrail Lambda データイベント | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.1.0` |
| CloudTrail 管理イベント | `CloudTrail` | `AWS` | `Management` | `API Activity`, `Authentication`, または `Account Change` | `1.1.0` |
| CloudTrail S3 データイベント | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.1.0` |
| Route 53 | `Route 53` | `AWS` | `Resolver Query Logs` | `DNS Activity` | `1.1.0` |
| Security Hub CSPM | AWS Security Finding 形式 (ASFF) [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html)の値と一致する | AWS Security Finding 形式 (ASFF) [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html)の値と一致する | ASFF [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html)の値と一致 `ProductFields` | `Vulnerability Finding, Compliance Finding, or Detection Finding` | `1.1.0` |
| VPC フローログ | `Amazon VPC` | `AWS` | `Flowlogs` | `Network Activity` | `1.1.0` |
| EKS 監査ログ | `Amazon EKS` | `AWS` | `Elastic Kubernetes Service` | `API Activity` | `1.1.0` |
| AWS WAF v2 ログ | `AWS WAF` | `AWS` | `—` | `HTTP Activity` | `1.1.0` |