Open Cybersecurity Schema Framework (OCSF) 隨 V1.0 架構發佈一起起飛

我們很少看到網路安全供應商拋開競爭差異和雄心壯志，努力實現有利於整個網路安全社區的共同目標。 開放式網路安全架構框架（Open Cybersecurity Schema Framework OCSF）已被證明是全行業富有成效的合作的一個例子，旨在為全球企業、政府和個人提供更安全的環境。

自成立以來的短短一年內，OCSF的貢獻組織數量增加了八倍以上，發佈了其核心安全架構的生產版本， 並見證了OCSF原生產品的興起，例如Amazon Security Lake和AWS AppFabric。

OCSF是由Splunk，AWS，IBM和其他15家安全和技術公司創建的開源專案，可説明消除安全數據孤島並跨安全工具標準化數據格式，以幫助防禦者消除數據規範化 「稅」，並更快，更全面地檢測和消除網路威脅。 OCSF透過提供用於開發數據架構的可擴展框架以及與供應商無關的核心安全架構來實現這一目標。

安全供應商和其他數據生產者為其特定域採用和擴展OCSF模式，並將其現有模式映射到OCSF，以説明安全團隊簡化安全工具之間的數據攝取和交換，以實現更快，更準確的威脅檢測和調查。 將OCSF用於其內部數據湖項目的組織對自己的分析用例有一個易於理解的標準化目標。

OCSF受益於數百名參與者——現在不僅包括供應商，還包括企業、教育機構和個人貢獻者——他們不斷完善和擴展架構以適應各種安全和IT用例。 OCSF體現了開源軟體的原則：透明度、參與和協作。

OCSF的價值
大型企業可以擁有一百多種安全解決方案。 為了能夠準確查明高級威脅，安全團隊必須全面分析其安全工具堆疊中的數據。

由於不同的安全解決方案使用不同的數據格式，安全和檢測工程團隊最終會花費時間和資源來規範化數據，然後才能執行識別和響應網路攻擊所需的分析和調查。 即使組織有能力構建和維護説明安全工具交換數據的自動「轉換器」，也需要一個架構，如果它不全面和可擴展，許多與安全相關的資訊在翻譯中會丟失或失真。

OCSF説明組織解決安全數據差異問題。 利用OCSF模式的安全解決方案以相同的一致格式生成數據，同時明確捕獲安全資訊的完整語義。 因此，防禦者可以節省時間、精力和成本來規範不同的安全數據，並更快地開始分析它。

OCSF模式
正如我在之前的部落格中所討論的，OCSF模式建立在OCSF框架之上。 架構開發為一組類別、事件類、配置檔、字典和可驗證數據類型。 自 RC2 架構候選版本以來，對框架進行了一些改進，最引人注目的是隨 RC3 候選版本引入的平台擴展。 第一個平臺擴展是為Linux開發的，緊隨其後的是Windows特定模式重構為Windows平台擴展。
這些擴展在結構上與任何其他架構擴展（例如供應商或組織擴展）相同，但是，核心的平臺擴展被視為標準化OCSF 1.0架構的一部分。

RC2 和 RC3 核心架構之間有相當多的添加、更改和改進，太多了，無法在此討論。 去年 5 月宣佈的 RC3 的意圖是使其成為今天宣佈的 1.0 GA 的最終候選者。 只有由多個貢獻者同意的最重要的更改請求才被考慮並接受 1.0。 這些更改中的大多數最終都是改進的描述和使用範例，但是在嘗試實施時，很少有內容在嘗試實現時脫穎而出為必需的更改。 如果您已經針對 RC3 實現了，那麼您很可能適合使用 1.0。

如果您的實現基於 RC2，我鼓勵您探索 OCSF 模式瀏覽器並比較 RC2 和 1.0 模式以全面調查這些更改，因為 1.0 包含對 RC2 的許多改進。

向前，向上
作為OCSF與AWS和IBM的聯合創始人和指導委員會成員 ，Splunk很高興看到超過145個組織和435名個人參與者的參與如何推動OCSF成為解決關鍵客戶問題的全行業計劃。 如今，使用基於 OSCF 架構的解決方案的安全團隊可以更快地從數據中提取更大的價值，從而幫助他們的組織得到更好的保護和更具彈性。

1.0 版本顯然是一個重要的里程碑，但還有更多內容要發佈。 我們邀請您參與即將推出的 1.1 作品。

網路安全社區的任何成員都可以從OCSF中受益併為之做出貢獻。 我們鼓勵捍衛者更多地瞭解OCSF專案以及如何加入OCSF GitHub網站。