Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ingerir inteligencia sobre ciberamenazas
El primer paso del proceso de ingesta consiste en convertir los datos de inteligencia sobre ciberamenazas (CTI) de las fuentes de amenazas a un formato que su plataforma de inteligencia de amenazas pueda asimilar. Esto se denomina conversión de CTI. Los datos del feed de amenazas pueden venir en varios formatos, como Structured Threat Information Expression (STIX
Para lograr la máxima compatibilidad, le recomendamos que convierta los datos a un formato JSON. Por ejemplo, AWS Step Functionspuede consumir datos en formato JSON y los flujos de trabajo de automatización pueden consumir este formato de manera más fácil y coherente. Encontrará más información sobre la creación de flujos de trabajo automatizados en la siguiente sección, Automatización de los controles de seguridad preventivos y de detección.
Para acelerar la ingesta de datos de CTI, puede automatizar las transformaciones de datos. Los datos se convierten a medida que se ingieren y, a continuación, se transfieren directamente a la plataforma de inteligencia de amenazas. Puedes usar una AWS Lambda función para completar la transformación y puedes organizar el proceso a través Servicios de AWS de AWS Step Functions Amazon EventBridge.
Cuando ingiere CTI, puede elegir qué atributos extraer y conservar. La cantidad exacta de detalles requerida puede variar en función de las necesidades de su empresa. Sin embargo, para actualizar los firewalls y otros servicios de seguridad, recomendamos los siguientes atributos mínimos:
-
Dirección IP y dominio
-
Amenaza
-
Añada o elimine de sus listas de amenazas internas
Extraiga los atributos que desee usar y, a continuación, formatéelos en una plantilla JSON estructurada.
