Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Acquisizione di informazioni sulle minacce informatiche
La prima fase del processo di inserimento consiste nel convertire i dati CTI (Cyber Threat Intelligence) contenuti nei feed delle minacce in un formato che la piattaforma di intelligence sulle minacce possa assimilare. Questa operazione si chiama conversione CTI. I dati relativi ai feed delle minacce possono essere disponibili in diversi formati, come Structured Threat Information Expression (STIX
Per la massima compatibilità, ti consigliamo di convertire i dati in un formato JSON. Ad esempio, AWS Step Functionspuò utilizzare dati in formato JSON e i flussi di lavoro di automazione possono utilizzare questo formato in modo più semplice e coerente. Ulteriori informazioni sulla creazione di flussi di lavoro automatizzati sono disponibili nella sezione successiva, Automatizzazione dei controlli di sicurezza preventivi e investigativi.
Per accelerare l'acquisizione dei dati CTI, puoi automatizzare le trasformazioni dei dati. I dati vengono convertiti man mano che vengono inseriti e quindi trasmessi direttamente alla piattaforma di intelligence sulle minacce. Puoi utilizzare una AWS Lambda funzione per completare la trasformazione e puoi orchestrare il processo tramite Servizi AWS ad esempio o AWS Step Functions Amazon. EventBridge
Quando acquisisci CTI, puoi scegliere quali attributi estrarre e conservare. L'esatta quantità di dettagli richiesta può variare a seconda delle esigenze aziendali. Tuttavia, per aggiornare i firewall e altri servizi di sicurezza, consigliamo i seguenti attributi minimi:
-
Indirizzo IP e dominio
-
Minaccia
-
Aggiungi o rimuovi dagli elenchi di minacce interni
Estrai gli attributi che desideri utilizzare, quindi formattali in un modello JSON strutturato.
