OCSF pour normaliser les événements de sécurité

Les bonnes pratiques de réponse à incidents, par exemple le NIST 800-61 ou le standard ISO 27035 distinguent l’évènement de l’incident de sécurité. Pour avoir une chance de détecter les attaques ciblées et discrètes, il faut collecter le maximum d’informations, définir et tester des règles de corrélation que les analystes du SOC vont traiter. Le cadre OCSF (Open Cybersecurity Schema Framework) est un projet Open Source sous licence Apache 2.0. Il propose une normalisation des événements de sécurité pour faciliter l’interopérabilité entre les outils. Ce cadre est utilisé par exemple pour sécuriser les environnements du Cloud AWS au travers le service Security Lake. Ce service centralise les événements de sécurité. OCSF peut être utilisé en complément de la base de techniques d’attaques MITRE ATT&CK.

 

Le schéma OCSF

OCSF est agnostique au format de stockage et au type de données. Le schéma est écrit en JSON.

OSCF

Source : projet OCSFRe

Le référentiel comprend :

  • Les personnes : l’auteur qui créé ou étend un schéma, le producteur qui génèrent des événements natifs, le mappeur qui translate les événements provenant d’une autre source et l’analyste qui utilise les données.
  • Les catégories de données  : types (caractères, booléen, entiers), attributs (processus, utilisateur, équipement, malware, fichier…), classe et profil d’évènements (activité DNS ou SSH par exemple…), extension (pour les nouveaux attributs, objets, profiles…).

Par exemple, le service d’AWS Security Lake convertit automatiquement les logs et les événements qui proviennent d’autres services d’AWS (CloudTrail, Route 53, Security Hub, VPC) au schéma OSCF. CISCO propose aussi des solutions pour adapter les logs de ses produits au schéma OCSF.

Catégories

OCSF a défini un premier tableau de catégories qu’un SOC peut utiliser en complément du MITRE ATT&CK et des outils de type SOAR. Quelques exemples de catégories :

  • Systèmes
  • Sécurité
  •  Audits
  • Réseau
  •  Cloud
  •  Virtualisation
  • Base de données.
  •  Application
  •  Configuration

Contributeurs

Annoncé durant le Black Hat de Las Vegas en 2022, les contributeurs initiaux sont Cloudflare, CrowdStrike, DTEX, IBM Security, IronNet, JupiterOne, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Splunk, Sumo Logic, Tanium, Trend Micro et Zscaler.

 

Cloud, SOC, RéponseIncidents