Partage du CTI avec votre communauté de confiance - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Partage du CTI avec votre communauté de confiance

La communauté à laquelle vous envoyez des informations sur les cybermenaces (CTI) est généralement la même que celle dont vous recevez les CTI. Cependant, vous pouvez choisir de partager avec un plus grand nombre de personnes. Par exemple, vous pouvez choisir de partager avec des organismes gouvernementaux ou réglementaires en qui vous avez confiance, tels que votre centre national de cybersécurité ou vos centres de partage et d'analyse des informations (ISACs). L'objectif est de propager et de mettre en œuvre rapidement le CTI en mettant en commun les résultats de plusieurs organisations. Votre plateforme de renseignement sur les menaces gère les intégrations d'API pour le partage avec plusieurs flux.

L'envoi du CTI à la communauté de confiance se fait en même temps que la mise en œuvre de contrôles préventifs et de détection. Vous utilisez les journaux pour identifier les événements de sécurité. Ensuite, vous centralisez les événements et les résultats afin d'obtenir rapidement une vue d'ensemble de l'état de sécurité de votre Comptes AWS entreprise. Ensuite, vos équipes de sécurité, telles que vos cyber-analystes, peuvent identifier toute information susceptible d'être utile. Comme vous avez déjà enregistré des résultats AWS Security Hub, vous pouvez les convertir dans le format utilisé par le flux de menaces, tel que JSON ou STIX. Ensuite, vous envoyez le CTI au fournisseur d'alimentation. Leurs plateformes de renseignement sur les menaces ingèrent, anonymisent et valident le CTI que vous fournissez. Ensuite, votre CTI est partagé avec une communauté encore plus large.

L'image suivante montre comment vous pouvez l'utiliser Services AWS pour générer du CTI, puis le partager avec votre communauté de confiance, y compris les autorités cybernétiques et les autres membres de la communauté.

Flux de travail pour générer du CTI et le partager avec votre communauté de confiance.

Ce diagramme montre le flux de travail suivant :

  1. Les résultats sont créés dans AWS Security Hub.

  2. Une AWS Lambda fonction extrait les résultats de Security Hub et les convertit dans un format partageable, tel que JSON ou STIX.

  3. La fonction Lambda stocke les résultats dans une table Amazon DynamoDB.

  4. La plateforme tierce de renseignement sur les menaces, qui fonctionne sur Amazon Elastic Compute Cloud (Amazon EC2) ou Amazon Elastic Container Service (Amazon ECS), extrait les résultats de la table DynamoDB.

  5. Un cyber-analyste examine le CTI dans la plateforme de renseignement sur les menaces.

  6. La plateforme de renseignement sur les menaces publie le CTI auprès de la communauté de confiance, composée d'autres producteurs et consommateurs de CTI.