{"id":60282,"date":"2025-09-30T10:49:48","date_gmt":"2025-09-30T18:49:48","guid":{"rendered":"https:\/\/www.sumologic.com\/blog\/ocsf-for-security-hub-sumo-logic-und-aws-sprechen-dieselbe-sprache"},"modified":"2025-11-10T08:30:13","modified_gmt":"2025-11-10T16:30:13","slug":"sumo-logic-aws-ocsf-security-hub","status":"publish","type":"blog","link":"https:\/\/www.sumologic.com\/de\/blog\/sumo-logic-aws-ocsf-security-hub","title":{"rendered":"OCSF for Security Hub: Sumo Logic und AWS sprechen dieselbe Sprache"},"content":{"rendered":"\n
\n
\n
\n
\n
\"\"<\/figure>\n<\/div>\n\n\n

<\/p>\n\n\n\n

In der Technologie liegt der Beweis f\u00fcr eine dauerhafte Beziehung in der Infrastruktur \u2013 die Pipelines, Sicherheitsdienste und Logging-Systeme m\u00fcssen nahtlos zusammenarbeiten, lange bevor jemand das Ergebnis sieht.\u00a0<\/p>\n\n\n\n

Genau das haben Sumo Logic und AWS aufgebaut. Ausgerichtet an offenen Standards wie OCSF (Open Cybersecurity Schema Framework)<\/a>, integriert mit Diensten wie Security Hub und GuardDuty und verbunden durch gemeinsame Telemetrie, erm\u00f6glicht es Cloud-Sicherheit und Observability in gro\u00dfem Ma\u00dfstab. Es ist nicht beil\u00e4ufig, nicht nur transaktional, sondern eine Partnerschaft, die \u00fcber die Zeit aufgebaut wurde, um in den kritischen Bereichen pr\u00e4sent zu sein \u2013 gemeinsame Werkzeuge, konsistente Erwartungen und die L\u00f6sung der Infrastrukturprobleme, damit Kunden sich auf die Aufgaben konzentrieren k\u00f6nnen, die wirklich wichtig sind.<\/p>\n\n\n\n

Gemeinsam haben wir daf\u00fcr gesorgt, dass AWS-Ergebnisse nativ \u00fcber OCSF in Sumo Logic einflie\u00dfen, sodass weniger benutzerdefinierte Zuordnungen erforderlich sind. Wir haben eine Integration mit Amazon Security Lake umgesetzt,<\/a> sodass Kunden alle relevanten Cloud-Telemetriedaten zentral sammeln k\u00f6nnen, ohne eigene Datenpipelines entwickeln oder betreiben zu m\u00fcssen. Und wir haben unsere gemeinsamen F\u00e4higkeiten in den Bereichen KI und ML mit Diensten wie Amazon Bedrock erweitert, die eine schnellere Erkennung, Untersuchung und Reaktion auf der Grundlage einer zuverl\u00e4ssigen Grundlage erm\u00f6glichen. Das sind keine punktuellen Integrationen, sondern das Ergebnis einer jahrelangen Abstimmung, die es den Sicherheits- und Beobachtungsteams erm\u00f6glicht, weniger Zeit mit dem Umgang mit Daten zu verbringen und mehr Zeit mit der Verteidigung, dem Aufbau und der Bereitstellung von L\u00f6sungen zu verbringen.<\/p>\n\n\n\n

Was sich bei Security Hub ge\u00e4ndert hat \u2013 und warum das wichtig ist<\/h2>\n\n\n\n

AWS hat sich auf drei praktische Probleme konzentriert, mit denen Sicherheitsteams t\u00e4glich konfrontiert sind: Signalfragmentierung, fehlender Kontext und die Kosten f\u00fcr benutzerdefiniertes Mapping.<\/p>\n\n\n\n

Erstens: Security Hub erstellt jetzt Exposure Findings. Anstelle von isolierten Warnmeldungen werden die Ergebnisse in GuardDuty, Inspector und Macie miteinander in Beziehung gesetzt, um zu zeigen, welche Gef\u00e4hrdungen wirklich wichtig sind. Zu den Priorit\u00e4tsfaktoren geh\u00f6ren die Verwertbarkeit, die Auswirkungen und die Ressourcenbelastung, sodass aus dem L\u00e4rm eine klare To-Do-Liste wird. Nehmen wir zum Beispiel an, dass GuardDuty ungew\u00f6hnliche API-Aufrufe markiert, Inspector eine kritische Sicherheitsl\u00fccke aufzeigt und Macie sensible Daten identifiziert. In diesem Fall liefert Security Hub ein Exposure Finding: Diese dem Internet ausgesetzte EC2-Instanz ist verwundbar, enth\u00e4lt sensible Daten und wird aktiv ausgekundschaftet.<\/em> In Sumo Logic flie\u00dft diese Erkenntnis direkt in den Entit\u00e4tskontext ein, der mit dem Nutzerverhalten und anderen Telemetriedaten verkn\u00fcpft ist, sodass Analysten das gesamte Risikobild in einer Ansicht sehen k\u00f6nnen.<\/p>\n\n\n\n

Zweitens gruppiert Security Hub die Ergebnisse der verschiedenen Dienste, damit die Teams die Beziehungen zwischen einer Bedrohung, einer Schwachstelle und einer Fehlkonfiguration erkennen k\u00f6nnen. Durch korrelierte Insights erhalten Teams den notwendigen Kontext, um vom Triage-Prozess zur gezielten Behebung zu gelangen. Ein GuardDuty-Alarm \u00fcber verd\u00e4chtige Scans in Kombination mit einem Inspector, der einen offenen SSH-Port und eine Fehlkonfiguration der IAM-Berechtigungen entdeckt hat, ergibt beispielsweise ein Narrativ: Dieses Asset k\u00f6nnte verwundbar, falsch konfiguriert oder aktiv angegriffen sein.<\/em> Sumo Logic nimmt diese gruppierte Ansicht auf, gleicht sie mit MITRE ATT&CK-Techniken<\/a>und verbindet sie mit Workflows und Playbooks, so dass Analysten schnell von \u201ewas passiert ist\u201c zu \u201ewas zu tun ist\u201c wechseln k\u00f6nnen.<\/p>\n\n\n\n

Drittens hat AWS OCSF in den Ablauf integriert. Die Ergebnisse werden in OCSF bereitgestellt, und die Automatisierungsregeln k\u00f6nnen auf diese Attribute ohne eigenes Parsing reagieren. Beispiel: Schweregrad = Hoch und Ressourcentyp = EC2, dann isoliere die Instanz. Da Sumo Logic OCSF nativ unterst\u00fctzt, flie\u00dfen diese Attribute sauber in Dashboards, Analysen und Automatisierungen ein und sorgen f\u00fcr eine einheitliche Reaktion in AWS- und Hybridumgebungen.<\/p>\n\n\n\n

OCSF: die Infrastruktur, auf die es wirklich ankommt<\/h2>\n\n\n\n

OCSF<\/a> ist ein offenes Schema, das Ereignis- und Fundformate vorhersehbar und versionierbar machen soll. AWS und andere Branchenteilnehmer haben OCSF in Dienste wie Security Lake und Security Hub integriert, damit Telemetriedaten fr\u00fcher und einheitlicher normalisiert werden. Wenn Protokolle und Ergebnisse einem Standardschema folgen, sind Integrationen keine einmaligen Engineering-Projekte mehr.\u00a0<\/a><\/p>\n\n\n\n

F\u00fcr die Kunden hat das drei unmittelbare Auswirkungen:<\/p>\n\n\n\n

    \n
  1. Weniger anf\u00e4lliges Engineering<\/strong>. Es werden nicht mehr Dutzende individuelle Parser f\u00fcr jede neue Datenquelle oder jeden Anbieter ben\u00f6tigt.<\/li>\n\n\n\n
  2. Schnellere Zeit bis zum Insight<\/strong>. Normalisierte Daten k\u00f6nnen sofort in Erkennungen und Dashboards einflie\u00dfen.<\/li>\n\n\n\n
  3. Bessere Automatisierung<\/strong>. Wenn Automatisierungsregeln auf vorhersehbaren Feldern arbeiten, laufen Playbooks zuverl\u00e4ssig.<\/li>\n<\/ol>\n\n\n\n

    Der Schwung des OCSF ist innerhalb und au\u00dferhalb der AWS sichtbar. AWS Security Lake<\/a> normalisiert Logs in OCSF-Klassen, und die breite Community arbeitet an der Governance, damit das Schema weiterentwickelt werden kann, ohne Verbraucher zu beeintr\u00e4chtigen. Wenn Sie OCSF jetzt einf\u00fchren, ist das nicht nur praktisch, sondern auch zukunftssicher.\u00a0<\/a><\/p>\n\n\n\n

    Sumo Logic liefert echte Ergebnisse, kein weiteres Format<\/h2>\n\n\n\n

    Die native OCSF-Unterst\u00fctzung von Sumo Logic f\u00fcr Security Hub-Ergebnisse bedeutet, dass die Kunden keine \u00dcbersetzer sein m\u00fcssen. Die Ergebnisse flie\u00dfen in Sumo Logic ein, sind bereits auf OCSF abgebildet ist und liefern drei praktische Ergebnisse:<\/p>\n\n\n\n