Modelo de datos comunes del Open Cybersecurity Schema Framework (OCSF) en Datadog
Cloud SIEM recopila y analiza datos de una amplia gama de fuentes, como servicios en la nube, cortafuegos, redes, aplicaciones y sistemas TI. Dado que estos servicios emiten datos en diferentes formatos, a menudo se requiere un esfuerzo considerable para normalizar y preparar los logs antes de poder realizar un análisis significativo de las amenazas.
El Open Cybersecurity Schema Framework (OCSF) es un estándar de código abierto e independiente del proveedor para organizar y clasificar los datos de eventos de seguridad. Está diseñado para simplificar y unificar la forma en que se estructuran los logs de seguridad en todas las plataformas y productos, lo que permite una detección de amenazas continua y una investigación más rápida.
En Datadog, la compatibilidad con OCSF se integra directamente en Datadog Cloud SIEM para que puedas obtener datos de logs estandarizados y normalizados sin necesidad de configuración manual. Los logs de seguridad entrantes se enriquecen automáticamente con atributos compatibles con OCSF en el momento de la ingesta a través de pipelines predefinidos. Todos los valores de OCSF están contenidos en el atributo exclusivo OCSF y se suman a los demás procesos que transforman y enriquecen los logs. Consulta Pipelines OCSF compatibles predefinidos para ver una lista de integraciones de Log Management compatibles con OCSF.
La integración de OCSF en Cloud SIEM de Datadog permite:
- Reglas de detección simplificadas: Una estructura de atributos unificada significa que la lógica de detección puede escribirse una vez y aplicarse a múltiples fuentes.
- Investigaciones simplificadas: Los analistas ya no tienen que recordar los formatos específicos de fuente, ya que un solo esquema permite realizar una única consulta a todos los proveedores.
- Correlación de fuentes cruzadas: La lógica de detección puede correlacionar eventos a través de servicios dispares (por ejemplo, phishing y escalada de privilegios).
- Mantenimiento escalable de la integración: OCSF permite expectativas de esquema continuas, incluso cuando se añaden nuevas fuentes de datos.
Modelo OCSF
Para normalizar tus datos de seguridad, OCSF reasigna tus datos basándose en los siguientes componentes:
- Tipos de datos, atributos, objetos y matrices
- Clases y categorías de eventos
- Perfiles
- Extensiones
Tipos de datos, atributos, objetos y matrices
Tipos de datos, atributos, objetos y matrices son los principales componentes del modelo OCSF.
| Nombre | Descripción |
|---|
| Tipos de datos | Los tipos de datos definen elementos de datos como enteros, cadenas, números con coma flotante y valores booleanos. |
| Atributos | Los atributos son los componentes básicos del marco de trabajo. Se utilizan para proporcionar el lenguaje común de tus datos, independientemente de la fuente. Consulta el diccionario de atributos para obtener una lista de todos los atributos. |
| Objetos | Los objetos son colecciones de atributos relacionados que representan las entidades, como un proceso, dispositivo, usuario, malware o archivo. |
| Matrices | Las matrices admiten cualquiera de los tipos de datos, incluidos los tipos complejos. |
Categorías y clases de actos
Los eventos de seguridad dentro del modelo OCSF están organizados en categorías, que son agrupaciones claras que clasifican los eventos basados en su tipo de datos. Consulta Categorías OCSF para obtener más información y ver una lista de categorías disponibles. Las categorías se dividen a su vez en clases de eventos. Por ejemplo, hay seis clases para la categoría Identity & Access Management. Consulta Clases de Eventos OCSF para obtener más información.
Perfiles
Los perfiles son una clase de atributos que se pueden superponer opcionalmente a las clases de eventos y a los objetos que hacen referencia a ellos. Añaden información adicional a una clase de evento existente y son independientes de las categorías de eventos. Consulta Perfiles OCSF para ver una lista de perfiles y la documentación Perfiles OCSF para obtener más información.
Extensiones
Opcionalmente puedes añadir extensiones, como nuevos atributos, objetos, categorías, perfiles y clases de eventos, a los esquemas OCSF. Consulta Extensiones OCSF para obtener más información.
Pipelines OCSF predefinidos compatibles
Las siguientes integraciones de Log Management son compatibles con los pipelines OCSF predefinidos:
- 1Password
- Auth0
- AWS CloudTrail
- Cisco DUO
- Cisco Meraki
- Cloudflare
- Crowdstrike
- GCP Audit Logs
- GitHub
- Google Workspace
- Jumpcloud
- Kubernetes Audit Logs
- LastPass
- Microsoft 365
- Okta
- Salesforce
- Slack
- Snowflake
Consulta Pipelines seguridad - OCSF
Cloud SIEM OCSF reasigna datos de logs en pipelines de integración de Log Management. Consulta Pipelines OCSF predefinidos compatibles para obtener más detalles.
Para ver la biblioteca de pipelines de integración de una fuente:
- Ve a Pipelines de logs.
- Haz clic en Browse Pipeline Library (Buscar en la biblioteca de pipelines).
- Busca la integración que te interesa (por ejemplo, Okta) y haz clic en ella.
- Para ver los pipelines OCSF de Okta, desplázate hasta el final de la lista de procesadores para ver la integración Okta.
Para ver el pipeline OCSF de solo lectura de una integración fuente:
- Ve a Pipelines de logs.
- Selecciona tu pipeline.
- Desplázate hasta los pipelines OCSF al final de los procesadores del pipeline.
- Haz clic en el pipeline OCSF para ver los procesadores de reasignación asociados.
- Haz clic en el icono del ojo en el pipeline OCSF para ver información como la siguiente:
- Versión del esquema OCSF
- Clase
- Perfil
Nota: La clonación del pipeline principal convierte los pipelines OCSF en pipelines de logs, en lugar de pipelines de seguridad.
Ver datos de OCSF en logs
Para ver los datos de OCSF en logs:
- Ve al Explorador de logs.
- Introduce una búsqueda para tus logs.
- Haz clic en un log.
- En el panel lateral, desplázate hasta los atributos `ocsf` JSON para ver datos de OCSF.
Referencias adicionales
Más enlaces, artículos y documentación útiles:
