Erfassung von Informationen über Cyberbedrohungen

Der erste Schritt im Aufnahmeprozess besteht darin, die Cyber Threat Intelligence (CTI) -Daten aus den Bedrohungsfeeds in ein Format zu konvertieren, das Ihre Threat-Intelligence-Plattform aufnehmen kann. Dies wird als CTI-Konvertierung bezeichnet. Threat-Feed-Daten können in einer Reihe von Formaten vorliegen, z. B. in Structured Threat Information Expression (STIX). Sie müssen die eingehenden Daten in ein vorhersehbares und leicht zu verarbeitendes Format umstrukturieren, das für die Sicherheitsprodukte geeignet ist, die Sie in Ihrer Umgebung verwenden. AWS

Für maximale Kompatibilität empfehlen wir, die Daten in ein JSON-Format zu konvertieren. Beispielsweise AWS Step Functionskönnen Daten im JSON-Format verarbeitet werden, und Automatisierungsworkflows können dieses Format einfacher und konsistenter verarbeiten. Weitere Informationen zur Erstellung automatisierter Workflows finden Sie im nächsten Abschnitt, Automatisierung präventiver und detektiver Sicherheitskontrollen.

Um die Erfassung von CTI-Daten zu beschleunigen, können Sie die Datentransformationen automatisieren. Die Daten werden bei der Aufnahme konvertiert und dann direkt an die Threat Intelligence-Plattform weitergeleitet. Sie können eine AWS Lambda Funktion verwenden, um die Transformation abzuschließen, und Sie können den Prozess AWS-Services beispielsweise über Amazon AWS Step Functions oder Amazon EventBridge orchestrieren.

Wenn Sie CTI aufnehmen, können Sie wählen, welche Attribute extrahiert und beibehalten werden sollen. Der genaue Umfang der erforderlichen Details kann je nach Ihren Geschäftsanforderungen variieren. Für Aktualisierungen von Firewalls und anderen Sicherheitsdiensten empfehlen wir jedoch die folgenden Mindestanforderungen:

• IP-Adresse und Domain

• Bedrohung

• Fügen Sie Ihre internen Bedrohungslisten hinzu oder entfernen Sie sie von diesen

Extrahieren Sie die Attribute, die Sie verwenden möchten, und formatieren Sie sie dann in eine strukturierte JSON-Vorlage.