As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Estrutura aberta do esquema de segurança cibernética (OCSF) no Security Lake
## O que é o OCSF?
O [Open Cybersecurity Schema Framework (OCSF)](https://schema.ocsf.io/) é um esforço colaborativo AWS e de código aberto de parceiros líderes no setor de segurança cibernética. O OCSF fornece um esquema padrão para eventos de segurança comuns, define critérios de versionamento para viabilizar a evolução do esquema e inclui um processo de autogovernança para desenvolvedores e consumidores de logs de segurança. O código-fonte público do OCSF está hospedado em. [GitHub](https://github.com/ocsf/ocsf-schema)
O Security Lake converte automaticamente registros e eventos provenientes de suporte nativo para o esquema Serviços da AWS OCSF. Após a conversão para OCSF, o Security Lake armazena os dados em um bucket do Amazon Simple Storage Service (Amazon S3) (um bucket por) em seu.Região da AWSConta da AWS Os logs e eventos gravados no Security Lake a partir de fontes personalizadas devem seguir o esquema do OCSF e o formato Apache Parquet. Os assinantes podem tratar os logs e eventos como logs genéricos do Parquet ou aplicar a classe de eventos do esquema do OCSF para interpretar com mais precisão as informações contidas em um registro.
## Classes de evento do OCSF
Os logs e eventos de uma determinada [fonte](source-management.md) do Security Lake correspondem a uma classe de evento específica definida no OCSF. Atividade do DNS, Atividade de SSH e Autenticação são exemplos de [classes de eventos no OCSF](https://schema.ocsf.io/classes?extensions=). Você pode especificar a qual classe de evento uma determinada fonte corresponde.
## Identificação da fonte do OCSF
O OCSF usa uma variedade de campos para ajudá-lo a determinar a origem de um conjunto específico de logs ou eventos. Esses são os valores dos campos relevantes Serviços da AWS que são suportados nativamente como fontes no Security Lake.
`The OCSF source identification for AWS log sources (Version 1) are listed in the following table.`
| Fonte | metadata.product.name | metadata.product.vendor\_name | metadata.product.feature.name | class\_name | metadados.versão |
| --- | --- | --- | --- | --- | --- |
| CloudTrail Eventos de dados Lambda | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.0.0-rc.2` |
| CloudTrail Eventos de gerenciamento | `CloudTrail` | `AWS` | `Management` | `API Activity`, `Authentication` ou `Account Change` | `1.0.0-rc.2` |
| CloudTrail Eventos de dados do S3 | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.0.0-rc.2` |
| Route 53 | `Route 53` | `AWS` | `Resolver Query Logs` | `DNS Activity` | `1.0.0-rc.2` |
| CSPM do Security Hub | `Security Hub CSPM` | `AWS` | Corresponde ao valor [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html)CSPM do Security Hub | `Security Finding` | `1.0.0-rc.2` |
| Logs de fluxo da VPC | `Amazon VPC` | `AWS` | `Flowlogs` | `Network Activity` | `1.0.0-rc.2` |
`The OCSF source identification for AWS log sources (Version 2) are listed in the following table.`
| Fonte | metadata.product.name | metadata.product.vendor\_name | metadata.product.feature.name | class\_name | metadados.versão |
| --- | --- | --- | --- | --- | --- |
| CloudTrail Eventos de dados Lambda | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.1.0` |
| CloudTrail Eventos de gerenciamento | `CloudTrail` | `AWS` | `Management` | `API Activity`, `Authentication` ou `Account Change` | `1.1.0` |
| CloudTrail Eventos de dados do S3 | `CloudTrail` | `AWS` | `Data` | `API Activity` | `1.1.0` |
| Route 53 | `Route 53` | `AWS` | `Resolver Query Logs` | `DNS Activity` | `1.1.0` |
| CSPM do Security Hub | Corresponde ao AWS valor do formato de descoberta de segurança (ASFF) [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html) | Corresponde ao AWS valor do formato de descoberta de segurança (ASFF) [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html) | Corresponde [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingFilters.html)ao valor do ASFF `ProductFields` | `Vulnerability Finding, Compliance Finding, or Detection Finding` | `1.1.0` |
| Logs de fluxo da VPC | `Amazon VPC` | `AWS` | `Flowlogs` | `Network Activity` | `1.1.0` |
| Registros de auditoria do EKS | `Amazon EKS` | `AWS` | `Elastic Kubernetes Service` | `API Activity` | `1.1.0` |
| AWS WAF Registros v2 | `AWS WAF` | `AWS` | `—` | `HTTP Activity` | `1.1.0` |