Ingestion de renseignements sur les cybermenaces

La première étape du processus d'ingestion consiste à convertir les données de renseignement sur les cybermenaces (CTI) issues des flux de menaces dans un format que votre plateforme de renseignement sur les menaces peut ingérer. C'est ce qu'on appelle la conversion CTI. Les données issues des flux de menaces peuvent être disponibles dans différents formats, tels que STIX (Structured Threat Information Expression). Vous devez restructurer les données entrantes dans un format prévisible et facile à utiliser, adapté aux produits de sécurité que vous utilisez dans votre AWS environnement.

Pour une compatibilité maximale, nous vous recommandons de convertir les données au format JSON. Par exemple, ils AWS Step Functionspeuvent consommer des données au format JSON, et les flux de travail automatisés peuvent utiliser ce format plus facilement et de manière plus cohérente. De plus amples informations sur la création de flux de travail automatisés sont fournies dans la section suivante, Automatisation des contrôles de sécurité préventifs et de détection.

Pour accélérer l'ingestion des données CTI, vous pouvez automatiser les transformations des données. Les données sont converties au fur et à mesure de leur ingestion, puis transmises directement à la plateforme de renseignement sur les menaces. Vous pouvez utiliser une AWS Lambda fonction pour terminer la transformation, et vous pouvez orchestrer le processus via Services AWS telle que AWS Step Functions ou Amazon EventBridge.

Lorsque vous ingérez du CTI, vous pouvez choisir les attributs à extraire et à conserver. La quantité exacte de détails requise peut varier en fonction des besoins de votre entreprise. Toutefois, pour mettre à jour les pare-feux et autres services de sécurité, nous recommandons les attributs minimaux suivants :

• Adresse IP et domaine

• Menace

• Ajouter ou supprimer de vos listes de menaces internes

Extrayez les attributs que vous souhaitez utiliser, puis formatez-les dans un modèle JSON structuré.