我们的目标是建立一个开放标准,使境、任何应用程序、任何解决方案提供商,并符合现有的安全标准和流程。ocsf 是一个开源框架,与我们的数据字典方法类似,旨在解决上述初始问题,并通过定义一个字段子集(这些字段将根据分析师的使用情况进行模式化)来处理我们方法中出现的痛点。
我们的首席信任官 vikram rao 表示: “每家公司都面临着快速数字化转型的迫切需求。但构建满足互联网规模数字信任水平的安全态势可能是一项重大挑战。像 ocsf 这样的新标准降低了安全团队的复杂性,使他们能够专注于更具影响力的工作,例如威胁分析和攻击预防。”
测试运行
salesforce 检测和响应工程团队对 ocsf 进行了评估,既考虑在 salesforce 生成的日志上强制执行此模式,又调整我们当前的规范化方法以使用 ocsf 定义的模式输出日志,而不是来自事件数据字典的自定义模式。
为了更好地理解 ocsf,我们首先进行了一项练习,将一个假设的 salesforce 安全检测事 阿尔及利亚 whatsapp 移动数据库 件转换为 ocsf 格式并进行评估。以下是该事件在我们当前 ddi 格式和 ocsf 格式下的屏幕截图对比。
salesforce 安全事件 - ddi schematized
salesforce 安全事件 - ocsf 概要
我们发现了可能有用的有趣字段(例如“修复对象”)。此字段有助于链接知识库文章。它的描述将有助于下游分析人员对事件进行分类。
我们已率先启动内部团队合作,进行原型设计,评估内部应用程序日志 sfdc_applog 的转型,最终使其成为符合 ocsf 标准的日志生成器。我们期待未来继续合作。如果您想使用此架构来标准化您的日志,请立即开始并 fork ocsf github [此处]。