翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
サイバー脅威インテリジェンスの取り込み
取り込みプロセスの最初のステップは、サイバー脅威インテリジェンス (CTI) データを脅威フィードから脅威インテリジェンスプラットフォームが取り込むことができる形式に変換することです。これは CTI 変換と呼ばれます。脅威フィードデータは、構造化脅威情報式 (STIX)
互換性を最大限に高めるために、データを JSON 形式に変換することをお勧めします。たとえば、 は JSON 形式のデータをAWS Step Functions消費でき、自動化ワークフローはこの形式をより簡単かつ一貫して消費できます。自動ワークフローの構築の詳細については、次のセクションの「予防的および検出的なセキュリティコントロールの自動化」を参照してください。
CTI データの取り込みを高速化するために、データ変換を自動化できます。データは取り込み時に変換され、脅威インテリジェンスプラットフォームに直接渡されます。 AWS Lambda 関数を使用して変換を完了し、 AWS Step Functions や Amazon EventBridge AWS のサービス などの を通じてプロセスをオーケストレーションできます。
CTI を取り込むときに、抽出して保持する属性を選択できます。必要な詳細の正確な量は、ビジネスニーズによって異なります。ただし、ファイアウォールやその他のセキュリティサービスを更新するには、次の最小属性をお勧めします。
-
IP アドレスとドメイン
-
脅威
-
内部脅威リストの追加または削除
使用する属性を抽出し、構造化された JSON テンプレートにフォーマットします。
