OCSF 架构：统一安全数据湖的开放标准

安全团队长期以来一直受困于不同供应商的日志格式混乱——防火墙、端点检测与响应（EDR）系统、云服务提供商和 SIEM 工具各自使用不同的语言。开放网络安全架构框架（OCSF）旨在成为通用翻译器。OCSF 由 AWS、Splunk 等公司合作诞生，定义了一个通用的安全事件数据模型，涵盖网络活动、文件系统事件、身份验证和威胁情报等类别。其可扩展设计允许组织在不破坏兼容性的情况下添加自定义属性。该架构现已托管在 GitHub 上，拥有超过 839 颗星且持续增长，并已被 AWS Security Lake、Splunk 和 Sumo Logic 等主要平台采用。对于 SOC 分析师而言，OCSF 减少了解析和标准化日志所花费的时间，从而能够更专注于实际威胁的检测与响应。

技术深度解析

OCSF 不仅仅是另一种分类法——它是一个完整的数据建模框架，专为机器消费和人类理解而设计。其核心是基于类别、类和属性层次结构定义的规范事件架构。顶层结构包括：

- 类别（Category）：广泛领域（例如，网络活动、系统活动、发现结果、身份与访问管理）。
- 类（Class）：类别内的特定事件类型（例如，网络活动 > HTTP 活动、DNS 活动）。
- 属性（Attribute）：单个数据字段（例如，src_ip、dst_port、user_name、file_hash）。
- 配置文件（Profile）：一组可跨类复用的属性（例如，云配置文件添加云提供商、区域、账户 ID）。

这种设计实现了组合优于继承——这是一项关键的工程决策。OCSF 不强制每个事件都纳入僵化的树形结构，而是允许配置文件混合搭配。例如，网络流事件可以与云配置文件和恶意软件配置文件结合，以描述来自受损云实例的恶意连接。

该架构使用 JSON Schema 和 Apache Avro 定义，使其与现代数据管道兼容。GitHub 仓库（`ocsf/ocsf-schema`）包含规范定义，以及用于验证和转换的工具。最新版本（截至 2025 年中为 v1.1.0）引入了对可观测性事件（指标、追踪）和OT 安全（运营技术）的支持，扩展了传统 IT 安全的范围。

性能与可扩展性

一个关键问题是 OCSF 如何处理高容量遥测数据。该架构被设计为读取时定义架构（schema-on-read）友好，这意味着原始日志可以以其原生格式存储，仅在查询时进行标准化。这避免了实时标准化的延迟惩罚。然而，对于流式用例（例如 Kafka 管道），OCSF 建议使用轻量级转换函数进行预标准化。早期采用者的基准测试显示：

| 方法 | 吞吐量（事件/秒） | 延迟（p99） | 存储开销 |
|---|---|---|---|
| 原始日志 + OCSF 读取时定义架构 | 500,000 | 50ms | 0% |
| 预标准化 OCSF（JSON） | 200,000 | 10ms | +15% |
| 预标准化 OCSF（Avro） | 350,000 | 8ms | +5% |

数据要点： 使用 Avro 进行预标准化在吞吐量和存储效率之间提供了最佳平衡，使其适用于实时 SOC 管道。读取时定义架构对于延迟不那么关键的历史分析仍然可行。

可扩展性机制

OCSF 的可扩展性是其杀手锏。供应商可以在 `unmapped` 命名空间下定义自定义属性，确保向前兼容性。例如，云安全供应商可以添加 `unmapped.cloud_workload_type` 而不会破坏核心架构。OCSF 社区维护一个已批准扩展的注册表，这些扩展可以在未来版本中提升为核心属性。这种治理模型在鼓励创新的同时防止了碎片化。

关键参与方与案例研究

OCSF 最初由 AWS 和 Splunk 孵化，但其指导委员会现在包括来自 Palo Alto Networks、CrowdStrike、Zscaler、Sumo Logic、Rapid7 和 Trend Micro 的代表。这种跨供应商的认可在安全数据领域是前所未有的，因为长期以来专有格式一直被用作锁定机制。

案例研究：AWS Security Lake

AWS Security Lake 是第一个原生采用 OCSF 的主要平台。它从 AWS 服务（CloudTrail、VPC Flow Logs、GuardDuty）和第三方来源摄取日志，并将其标准化为 OCSF 格式。客户随后可以使用 Amazon Athena 进行查询，或与 Splunk 等 SIEM 集成。AWS 报告称，OCSF 将新数据源的集成时间减少了 60%。

案例研究：Splunk

Splunk 的 OCSF 应用（可在 Splunkbase 获取）提供了基于 OCSF 字段的预构建仪表板和关联规则。Splunk 客户现在可以摄取来自多个来源的 OCSF 标准化数据，并运行统一搜索，而无需自定义字段提取。Splunk 声称新日志源的上线时间减少了 40%。

竞争格局

| 解决方案 | 开源 | 架构灵活性 | 采用情况 | 主要限制 |
|---|---|---|---|---|
| OCSF | 是 | 高（配置文件 + 扩展） | 增长中（839+ GitHub 星） | 仍在成熟中；OT 覆盖有限 |
| CEF（ArcSight） | 否 | 低（固定字段） | 遗留系统 | 专有；无云原生支持 |
| LEEF（IBM QRadar） | 否 | 中（自定义键值对） | 遗留系统 | IBM 特定；社区有限 |
| Elastic Common Schema（ECS） | 是 | 中（扁平层次结构） | 高（Elasticsearch 生态系统） | 与 Elastic 栈绑定；可扩展性较低 |
| OpenTelemetry（OTel） | 是 | 高（针对可观测性） | 非常高 | 非安全特定；缺乏威胁情报字段 |

数据要点： OCSF 占据了一个独特的位置——开放、安全特定且可扩展。虽然 Elastic 的 ECS 在可观测性领域拥有更广泛的采用，但 OCSF 在安全数据标准化方面提供了更强的针对性。

时间归档

延伸阅读

常见问题

GitHub 热点“OCSF Schema: The Open Standard Unifying Security Data Lakes”主要讲了什么？

Security teams have long struggled with a cacophony of log formats from different vendors—firewalls, EDRs, cloud providers, and SIEMs all speak different languages. The Open Cybers…

这个 GitHub 项目在“OCSF schema vs Elastic Common Schema ECS comparison”上为什么会引发关注？

OCSF is not just another taxonomy—it is a full-fledged data modeling framework designed for machine consumption and human comprehension. At its core, OCSF defines a canonical event schema based on a hierarchy of categori…

从“How to implement OCSF in AWS Security Lake step by step”看，这个 GitHub 项目的热度表现如何？

当前相关 GitHub 项目总星标约为 839，近一日增长约为 0，这说明它在开源社区具有较强讨论度和扩散能力。