ECS est un standard de structuration des données de sécurité développé par Elastic. Il définit un ensemble de champs communs pour organiser les logs et événements.
Permettre une uniformisation des données dans l’écosystème Elastic pour :
- faciliter la recherche
- simplifier les corrélations
- améliorer la détection dans un SIEM
ECS impose une structure standard avec des champs comme :
source.ipdestination.ipevent.categoryuser.name
Chaque événement est normalisé selon cette nomenclature.
- Très intégré avec Elasticsearch et Kibana
- Facile à mettre en place si tu utilises la stack Elastic
- Bon pour les environnements centralisés
- Fortement lié à l’écosystème Elastic
- Moins universel dans des environnements multi outils
OCSF est un standard ouvert conçu pour normaliser les données de cybersécurité à grande échelle.
Créer un langage commun universel entre différents outils de sécurité :
- cloud
- EDR
- SIEM
- XDR
OCSF définit :
- des catégories d’événements (authentication, network activity, process activity)
- une structure standardisée
- un modèle orienté objets plus riche que ECS
Exemple de champs :
actor.user.namesrc_endpoint.ipactivity_name
- Multi vendors et open
- Adapté aux environnements cloud et hybrides
- Réduit fortement les efforts d’intégration entre outils
- Adoption encore en cours
- Moins mature que ECS dans certains outils historiques
| Critère | ECS | OCSF |
|---|---|---|
| Origine | Elastic | Initiative open multi vendors |
| Portée | Écosystème Elastic | Universelle |
| Architecture | Champs standardisés | Modèle orienté événements |
| Cas d’usage | SIEM Elastic | SOC moderne multi outils |
| Adoption | Mature | En forte croissance |
- ECS est idéal si ton environnement repose sur Elastic
- OCSF est plus adapté pour une architecture moderne, distribuée et multi outils