セキュリティコミュニティの皆様、ついにOCSFが本格的に動き出します。前回のブログでは、ベンダーに依存しない共通の分類法を提供して、形式の異なるデータの正規化を支援するオープンソースプロジェクト、Open Cybersecurity Schema Framework (OCSF)の躍進についてご報告しました。今回は、OCSFが新たに達成した重要な成果をご紹介します。
Amazon Security LakeとSplunk Add-On for AWSの一般提供開始
2022年11月のAWS re:Inventでパブリックプレビューが発表されたAmazon Security Lakeの一般提供が開始されました。Amazon Security Lakeでは、データスキーマにOCSF、ストレージ形式にParquetを使って、Amazon VPC、AWS CloudTrail、Amazon Route 53、Amazon S3、AWS Lambdaなどのアマゾン ウェブ サービス(AWS)やサードパーティのソリューションを含む80種類のソースのセキュリティデータを統合できます。
Splunkは、AWS Amazon Security Lakeのローンチパートナー兼OCSFステアリングコミッティのフェローメンバーとして、Splunk Add-On for AWS v.7.0の一般提供を開始しました。このアドオンにより、Amazon Security LakeのデータをSplunkプラットフォームに取り込み、詳細な分析に利用できます。Splunk Enterprise Securityでも、Amazon Security Lakeのデータを活用してストリーミング分析を実行し、内部脅威、認証情報の悪用、ラテラルムーブメント、Living off the Land攻撃などの兆候を示す不審な挙動をリアルタイムで検出できます。
SplunkプラットフォームとAmazon Security Lakeをご利用になる場合は、Splunk Add-On for AWSの導入をご検討ください。 インストールガイド(英語)とリリースノート(英語)もご活用ください。
OCSF RC 3のパブリックレビュー開始
OCSFオープンコンソーシアムは、これまでの努力の成果として、リリース候補3(RC3)のパブリックレビューを開始しました。この新しいスキーマバージョンは、業界やメンバーがこのリリースに自社製品を対応させるために短期間で評価した後、一般提供リリース(1.0 GA)として公開される予定です。1.xのリリーストレインでは、スキーマに新しいクラス、オブジェクト、カテゴリが追加される予定で、いずれもRC3や1.0 GAとの後方互換性が維持されます。
この数週間に、RC3のリリースに向けたいくつかの重要な変更が行われました。まず「Access Control」カテゴリに代わる「Identity and Access Management」カテゴリが追加され、主要なクラウドプラットフォームとデスクトップオペレーティングシステムのイベントのモデル化を改良するために、新規クラスの追加といくつかのクラスの更新が行われました。また、スキーマ、スキーマブラウザ、APIサーバーに、LinuxとWindowsのオペレーティングシステム固有の拡張機能が追加されました(詳しくはこちらをご覧ください)。さらに、スキーマブラウザの機能が拡張され、MITRE D3FENDのオブジェクト参照用のリンク、特定のイベントクラスのオブジェクト間の関係を示す相関関係グラフ、属性やオブジェクトの相互参照と同様の、プロファイルの詳細と相互参照が追加されました。
私はよく、OCSFメンバーやその他の関係者から、プログラムやサービスのイベントに適したイベントクラスの選び方を尋ねられます。詳しい回答は、OCSFドキュメントリポジトリのスキーマに関するFAQで「How do I create a typical OCSF event?(一般的なOCSFイベントを作成するにはどうすればよいですか?)」の項に記載していますが、簡単に言えば、まず、目的のイベントに最適なOCSFカテゴリ(「Identity and Access Management」カテゴリなど)を選択してから、そのイベントの種類が適切に定義されているクラスを選択します。すべてのOCSFイベントには、該当するイベントクラスの具体的なアクティビティの種類を示すactivity_id列挙が含まれます。そのあと、そのクラスに適用できるプロファイル(「Security Control」、「Cloud」など)を1つ以上選択します。プロファイルを選択することで、標準クラスに具体的なコンテキストを追加できます。
適切なイベントクラスが見つからない場合は、フレームワークの機能を使っていつでもスキーマを拡張できます。その方法については、こちらをご覧ください。または、OCSFに参加してコアスキーマの開発にご協力いただくこともできます。 ご興味のある方は、info@ocsf.ioまでご連絡ください。
OCSF RC3のパブリックレビューはこちらから入手できます。ぜひお試しいただき、GitHubまたはSlackのOCSFメンバーワークスペースからご感想をお寄せください(こちらのSlackワークスペースにまだご参加いただいていない方で、参加をご希望の場合は、info@ocsf.ioにご連絡ください)。
このブログはこちらの英語ブログの翻訳、前園 曙宏によるレビューです。
