¿Cómo compartir CTI con tu comunidad de confianza - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

¿Cómo compartir CTI con tu comunidad de confianza

La comunidad a la que envías la información sobre ciberamenazas (CTI) suele ser la misma a la que recibes la CTI. Sin embargo, puede optar por compartirla con más personas. Por ejemplo, puede optar por compartirlo con organizaciones gubernamentales o reguladoras en las que confíe, como el centro nacional de ciberseguridad o los centros de análisis e intercambio de información (ISACs). El objetivo es propagar e implementar rápidamente la CTI agrupando los hallazgos de varias organizaciones. Su plataforma de inteligencia de amenazas gestiona las integraciones de las API para compartirlas con varios feeds.

El envío de la CTI a la comunidad de confianza se produce al mismo tiempo que se implementan controles preventivos y de detección. Los registros se utilizan para ayudar a identificar los eventos de seguridad. Luego, centraliza los eventos y los hallazgos para poder obtener rápidamente una visión general de su Cuentas de AWS postura de seguridad. Luego, sus equipos de seguridad, como sus analistas cibernéticos, pueden identificar cualquier información que pueda ser valiosa. Como ya tiene los resultados AWS Security Hub, puede convertirlos al formato utilizado en la fuente de amenazas, como JSON o STIX. A continuación, envía el CTI al proveedor del feed. Sus plataformas de inteligencia de amenazas ingieren, anonimizan y validan el CTI que usted proporciona. Luego, su CTI se comparte con una comunidad aún más amplia.

La siguiente imagen muestra cómo generar un CTI y luego compartirlo con tu comunidad de confianza, incluidas las autoridades cibernéticas y otros miembros de la comunidad. Servicios de AWS

Flujo de trabajo para generar el CTI y compartirlo con tu comunidad de confianza.

Este diagrama muestra el siguiente flujo de trabajo:

  1. Los hallazgos se crean en AWS Security Hub.

  2. Una AWS Lambda función recupera los resultados de Security Hub y los convierte a un formato que se pueda compartir, como JSON o STIX.

  3. La función Lambda almacena los resultados en una tabla de Amazon DynamoDB.

  4. La plataforma de inteligencia de amenazas de terceros, que se ejecuta en Amazon Elastic Compute Cloud (Amazon EC2) o Amazon Elastic Container Service (Amazon ECS), recupera los resultados de la tabla de DynamoDB.

  5. Un analista cibernético revisa el CTI de la plataforma de inteligencia de amenazas.

  6. La plataforma de inteligencia de amenazas publica el CTI entre la comunidad de confianza, que está formada por otros productores y consumidores de CTI.