开放网络安全架构(OCSF)的关键要点

当前网络安全环境中最普遍的挑战之一是工具供应商过多，所有这些供应商都以自己的本机或细微的架构或格式生成遥测数据或数据。随着网络安全在组织中的可见性不断提高，团队需要集成、实施和管理的网络安全供应商和工具的数量也在增加。网络安全专业人员必须花时间让工具作为一个有凝聚力的投资组合协同工作，这分散了他们识别和解决网络安全漏洞和威胁的努力。

这个问题不会被忽视。最近，亚马逊网络服务（AWS）与Splunk，CrowdStrike，Palo Alto，Rapid7和JupiterOne等其他领导者一起宣布发布开放网络安全架构框架（OCSF）项目。该公告承认安全专业人员需要与专有数据格式和输出搏斗的问题，而不是他们在风险和威胁的实际角色中。鉴于该行业已经面临重大的劳动力挑战、倦怠和疲劳，这是有问题的。通过标准化安全产品架构和格式，安全从业人员可以花更多时间解决给组织带来风险的威胁。

以下是对OCSF的解释，包括其一些核心方面，如数据类型、属性字典和分类法，所有这些都在详细的了解开放网络安全框架指南中列出。

什么是开放式网络安全架构框架？

OCSF承诺支持与供应商无关的方法，行业和安全工具供应商社区可以团结起来，帮助使安全产品组合更无缝地协同工作。它这样做的同时，提供了一个可定制且功能强大的架构，组织可以开箱即用，但仍然可以根据独特的配置文件、要求和环境进行定制。

该架构旨在标准化和规范化网络安全工具生成的数据。它不仅限于网络领域或其相关事件，尽管这是该项目的最初重点。对于那些感兴趣的人，您可以使用OCSF的模式浏览器，如下所示。

导航到架构浏览器时，可以看到当前的扩展，目前只是开发。您还可以查看架构支持的配置文件：云、域安全、文件安全、主机、恶意软件、信誉和用户。该架构围绕四个关键角色构建：作者、制作者、映射者和分析师。每个都与创建和扩展架构、生成事件、将事件从其他源的事件转换为架构以及最终从架构搜索、编写规则和创建报告等活动相关联。角色与职业领域中的现有角色一致，例如，配备 SIEM 的 SOC 分析师，或以 OCSF 架构格式生成遥测数据的供应商。

如前所述，OCSF类别为技术领域的流行技术和活动提供支持。例如，在架构浏览器中查看容器生命周期活动事件类，可以看到它支持下面讨论的核心租户，例如活动、类别和类，但它也可以提供其他信息，例如计数、持续时间，甚至使用的 HTTP 方法。

这些标题（如架构所称）报告有关容器的安装、删除、启动或停止的相关信息，其中包含丰富的现成各种元数据字段。云活动也是如此，它可以提供对云 API、存储活动和虚拟机事件的洞察。架构中的这些字段可用于捕获和丰富核心信息，例如有关云控制和数据计划中的活动、关联的存储和基础虚拟机以及用于托管云工作负载的计算容量的信息。

OCSF分类法

OCSF的分类法围绕六个基本结构：

• 数据类型
• 属性和数组
• 属性字典
• 事件类
• 类别
• 配置文件和扩展

数据类型包括字符串和整数等常见形式，还包括时间戳和 IP 地址等标量数据类型。属性是字段及其相应数据类型的唯一标识符名称。OCSF 属性字典涵盖了所有可用属性及其关联类型作为框架的核心。例如，事件类将是一组特定的属性。事件类涵盖特定类别的活动或指标，例如系统和网络活动或安全发现。

如前所述，配置文件与云等域保持一致，并将其他属性覆盖到事件类和对象上，以便更好地进行筛选。最后，扩展允许在保留核心架构的同时扩展架构。这在尝试添加新属性和事件类时很有用，这使得架构动态且灵活。

OCSF富集和分类支持

OCSF还支持所谓的扩充，它采用一个基本对象，并允许在收集或处理事件期间但在存储之前添加其他信息。这支持在存储之前的处理活动中将收集的信息（如 IP 和 MAC 地址）与特定的入侵指标 （IoC） 相关联。

OCSF架构支持对事件进行分类，以便更好地组织和理解。特定类别可能包括系统、网络和审计活动以及调查结果，或者在配置文件的情况下，还包括云活动。

OCSF和流行的MITRE ATT&CK框架之间有着密切的关系。恶意软件等配置文件将 MITRE ATT&CK 信息添加到系统活动类中。与MITRE ATT&CK还有其他相似之处——例如，与OCSF中的类别和ATT&CK中的策略或事件类和ATT&CK技术等术语的相关性。差异包括ATT&CK对子技术的支持，以及ATT&CK是专有的，由MITRE控制，而OCSF在供应商和更广泛的安全社区中是开放和可扩展的。

OCSF向所有人开放参与

许多安全专业人员及其各自的组织已经认识到对与供应商无关的安全架构的需求。虽然最初的项目贡献者群体包括网络安全供应商领域一些最著名的名字，但OCSF支持其他人的贡献，并提供相关的OCSF贡献指南。

动态威胁形势导致许多组织的工具蔓延。围绕行业标准架构和数据规范化进行整合有助于提高 SIEM 和 SOC 的效率，并最大限度地提高从业者识别和响应相关威胁的机会。