放标准,使其适用于任何环境、任何应用程序、任何解决方案提供商,并符合现有的安全标准和流程。OCSF 是一个开源框架,与我们的数据字典方法类似,旨在解决上述初始问题,并通过定义一个字段子集(这些字段将根据分析师的使用情况进行模式化)来处理我们方法中出现的痛点。
我们的首席信任官 Vikram Rao 表示: “每家公司都面临着快速数字化转型的迫切需求。但构建满足互联网规模数字信任水平的安全态势可能是一项重大挑战。像 OCSF 这样的新标准降低了安全团队的复杂性,使他们能够专注于更具影响力的工作,例如威胁分析和攻击预防。”
测试运行 Salesforce 检测和
响应工程团队对 OCSF 进行了评估,既考虑在 Salesforce 生成的日志上强制 手机号数据库列表 执行此模式,又调整我们当前的规范化方法以使用 OCSF 定义的模式输出日志,而不是来自事件数据字典的自定义模式。
为了更好地理解 OCSF,我们首先进行了一项练习,将一个假设的 Salesforce 安全检测事件转换为 OCSF 格式并进行评估。以下是该事件在我们当前 DDI 格式和 OCSF 格式下的屏幕截图对比。
Salesforce 安全事件 – DDI Schematized
Salesforce 安全事件 – OCSF 概要
我们发现了可能有用的有趣字段(例如“修复对象”)。此字段有助于链接知识库文章。它的描述将有助于下游分析人员对事件进行分类。
我们已率先启动内部团
队合作,进行原型设计,评估内部应用程序日志 sfdc_applog 的转型,最终 现代解决方案提供自然的声音 使其成为符合 OCSF 标准的日志生成器。我们期待未来继续合作。如果您想使用此架构来标准化您的日志,请立即开始并 fork OCSF GitHub [此处]。
大声呼喊
开放网络安全架构框架 (OCSF) 项目旨在简化厂商中立框架下的数据分类,帮助安全团队减少数据规范化时间,将更多
Salesforce 对此充满期待,并且是 OCSF 的早期采用者。我们早期进 萨玛旅游 行的这些练习,将我们最常用的几种日志类型事件转换为 OCSF,迈出了重要的一步,并帮助不同的内部团队了解了该框架。鉴于OCSF是整个安全行业的开放标准和协作成果,众多利益相关者正在采用该标准并推动其发展,它有潜力在所有组织中实现安全数据湖的民主化。
最后,为了使 OCSF 发挥最大影响力,我们需要云提供商和安全供应商协调一致,并以 OCSF 模式提供日志。如果您也参与其中,请帮助我们打破界限,使其成为安全社区的标准!