OCSF(Open Cybersecurity Schema Framework) 의 이벤트 클래스(class_uid) & 활동 유형(Activity Type) 정리한 목록

 

 

 

OCSF(Open Cybersecurity Schema Framework)는 다양한 사이버 보안 이벤트를 활동 유형(Activity Type)으로 분류하며, 각 이벤트 클래스(class_uid)마다 고유한 활동 ID(activity_id)와 이름(activity_name)을 정의합니다. 아래는 주요 OCSF 이벤트 클래스별 활동 유형을 정리한 목록입니다.

---

1. 시스템 활동 (System Activity) | class_uid: 1001

• 활동 ID 및 이름:
  • 1: Created (리소스 생성)
  • 2: Deleted (리소스 삭제)
  • 3: Modified (리소스 수정)
  • 4: Read (리소스 읽기)
  • 5: Logged In (사용자 로그인)
  • 6: Logged Out (사용자 로그아웃)
  • 7: Privilege Escalation (권한 상승 시도)

예시:

{
  "class_uid": 1001,
  "activity_id": 5,
  "activity_name": "Logged In",
  "user": {"username": "admin"},
  "severity": "Medium"
}

---

2. 네트워크 활동 (Network Activity) | class_uid: 4001

• 활동 ID 및 이름:
  • 1: Traffic Detected (트래픽 탐지)
  • 2: Traffic Denied (트래픽 차단)
  • 3: Connection Established (연결 수립)
  • 4: Connection Terminated (연결 종료)
  • 5: Port Scan Detected (포트 스캔 탐지)

예시:

{
  "class_uid": 4001,
  "activity_id": 2,
  "activity_name": "Traffic Denied",
  "src_endpoint": {"ip": "192.168.1.10"},
  "dst_endpoint": {"ip": "10.0.0.5"},
  "protocol": "TCP"
}

---

3. 탐지 결과 (Findings) | class_uid: 2001

• 활동 ID 및 이름:
  • 1: Finding Created (위협 탐지 생성)
  • 2: Finding Updated (탐지 결과 업데이트)
  • 3: Finding Closed (탐지 결과 종료)
  • 4: False Positive (오탐지로 분류)

예시:

{
  "class_uid": 2001,
  "activity_id": 1,
  "activity_name": "Finding Created",
  "finding_type": "Malware Detection",
  "severity": "High"
}

---

4. 계정 활동 (Account Activity) | class_uid: 3001

• 활동 ID 및 이름:
  • 1: User Created (사용자 계정 생성)
  • 2: User Deleted (사용자 계정 삭제)
  • 3: Password Changed (비밀번호 변경)
  • 4: Role Assigned (역할 부여)
  • 5: Suspicious Login (의심스러운 로그인 시도)

예시:

{
  "class_uid": 3001,
  "activity_id": 5,
  "activity_name": "Suspicious Login",
  "user": {"username": "user123"},
  "geo_location": {"country": "Unknown"}
}

---

5. 파일 활동 (File Activity) | class_uid: 1005

• 활동 ID 및 이름:
  • 1: File Created (파일 생성)
  • 2: File Deleted (파일 삭제)
  • 3: File Modified (파일 수정)
  • 4: File Renamed (파일 이름 변경)
  • 5: File Copied (파일 복사)

예시:

{
  "class_uid": 1005,
  "activity_id": 3,
  "activity_name": "File Modified",
  "file_path": "/etc/passwd",
  "severity": "High"
}

---

6. 멀웨어 활동 (Malware Activity) | class_uid: 5001

• 활동 ID 및 이름:
  • 1: Malware Detected (멀웨어 탐지)
  • 2: Malware Quarantined (멀웨어 격리)
  • 3: Malware Cleaned (멀웨어 제거 완료)
  • 4: Execution Blocked (멀웨어 실행 차단)

예시:

{
  "class_uid": 5001,
  "activity_id": 1,
  "activity_name": "Malware Detected",
  "malware_name": "WannaCry",
  "file_hash": "a1b2c3d4..."
}

---

7. 클라우드 활동 (Cloud Activity) | class_uid: 6001

• 활동 ID 및 이름:
  • 1: VM Created (가상 머신 생성)
  • 2: VM Deleted (가상 머신 삭제)
  • 3: S3 Bucket Accessed (S3 버킷 접근)
  • 4: Security Group Modified (보안 그룹 수정)
  • 5: Unauthorized API Call (권한 없는 API 호출)

예시:

{
  "class_uid": 6001,
  "activity_id": 5,
  "activity_name": "Unauthorized API Call",
  "api_endpoint": "s3:GetObject",
  "user_arn": "arn:aws:iam::123456789012:user/attacker"
}

---

8. 기타 주요 클래스

• 인증 활동 (Authentication Activity): 2: MFA 실패, 3: 인증 토큰 만료.
• 디바이스 활동 (Device Activity): 1: 디바이스 연결, 2: 디바이스 차단.
• 레지스트리 활동 (Registry Activity): 레지스트리 키 수정/삭제.

---

활동 유형 활용 가이드

1. SIEM 연동: activity_id를 필터링해 특정 이벤트(예: activity_id=5 = 의심스러운 로그인)에 대한 알림 설정.
2. 자동화 워크플로우: SOAR 플랫폼에서 activity_id=4 (멀웨어 실행 차단) 이벤트 발생 시 방화벽 정책 자동 업데이트.
3. 보고서 생성: class_uid 및 activity_id를 기반으로 주간 보안 리포트 자동 생성.

---

OCSF 공식 스키마 참고

모든 활동 유형은 OCSF GitHub Schema에서 확인할 수 있습니다.

• 각 이벤트 클래스의 JSON 스키마 파일(예: network_activity.json) 내부에 activity_id와 설명이 포함됨.
• 버전별 업데이트 사항은 Release Notes에서 확인.

---

주의사항

• 버전 관리: OCSF 스키마는 주기적으로 업데이트되므로, 사용 중인 버전을 명시해야 함.
• 커스텀 확장: 표준 활동 유형 외에 extensions 필드를 활용해 조직별 활동 추가 가능.

OCSF의 활동 유형을 효과적으로 활용하면 위협 탐지 정확도와 대응 속도를 혁신적으로 개선할 수 있습니다! 🛡️🔍