Condivisione di CTI con la tua community di fiducia - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Condivisione di CTI con la tua community di fiducia

La community a cui invii informazioni sulle minacce informatiche (CTI) è in genere la stessa da cui ricevi la CTI. Tuttavia, puoi scegliere di condividere con altri. Ad esempio, puoi scegliere di condividerlo con organizzazioni governative o normative di cui ti fidi, come il tuo centro nazionale per la sicurezza informatica o i centri di condivisione e analisi delle informazioni (ISACs). L'obiettivo è diffondere e implementare rapidamente la CTI raccogliendo i risultati di più organizzazioni. La tua piattaforma di intelligence sulle minacce gestisce le integrazioni delle API per la condivisione con più feed.

L'invio di CTI alla community fiduciaria avviene contemporaneamente all'implementazione di controlli preventivi e investigativi. I log vengono utilizzati per identificare gli eventi di sicurezza. Quindi, centralizzate gli eventi e i risultati in modo da poter ottenere rapidamente una panoramica del vostro livello di sicurezza. Account AWS Quindi, i team addetti alla sicurezza, come gli analisti informatici, possono identificare tutte le informazioni che potrebbero essere preziose. Poiché disponi già dei risultati AWS Security Hub, puoi convertirli nel formato utilizzato dal feed delle minacce, ad esempio JSON o STIX. Quindi, invii il CTI al fornitore del feed. Le loro piattaforme di intelligence sulle minacce acquisiscono, anonimizzano e convalidano il CTI fornito. Quindi, il tuo CTI viene condiviso con una community ancora più ampia.

L'immagine seguente mostra come generare un CTI e poi condividerlo con la tua community di fiducia, comprese le autorità informatiche e gli altri membri della comunità. Servizi AWS

Flusso di lavoro per generare CTI e condividerlo con la tua community di fiducia.

Questo diagramma mostra il seguente flusso di lavoro:

  1. I risultati vengono creati in AWS Security Hub.

  2. Una AWS Lambda funzione recupera i risultati da Security Hub e li converte in un formato condivisibile, come JSON o STIX.

  3. La funzione Lambda memorizza i risultati in una tabella Amazon DynamoDB.

  4. La piattaforma di intelligence sulle minacce di terze parti, in esecuzione su Amazon Elastic Compute Cloud (Amazon EC2) o Amazon Elastic Container Service (Amazon ECS), recupera i risultati dalla tabella DynamoDB.

  5. Un analista informatico esamina il CTI nella piattaforma di intelligence sulle minacce.

  6. La piattaforma di intelligence sulle minacce pubblica il CTI alla comunità fiduciaria, composta da altri produttori e consumatori di CTI.