CTI を信頼コミュニティと共有する - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CTI を信頼コミュニティと共有する

サイバー脅威インテリジェンス (CTI) を送信するコミュニティは通常、CTI を受け取るコミュニティと同じです。ただし、共有先を増やすこともできます。例えば、国のサイバーセキュリティセンターや情報共有分析センター (ISACs) など、信頼できる政府または規制機関と共有することを選択できます。目標は、複数の組織からの結果をプールすることで、CTI を迅速に伝播して実装することです。脅威インテリジェンスプラットフォームは、複数のフィードと共有するための API 統合を管理します。

信頼コミュニティへの CTI の送信は、予防的コントロールと検出的コントロールの実装と同時に行われます。ログを使用して、セキュリティイベントを識別します。次に、イベントと検出結果を一元化して、 のセキュリティ体制の概要をすばやく把握できるようにします AWS アカウント。その後、サイバーアナリストなどのセキュリティチームは、価値のある情報を特定できます。にすでに検出結果があるため AWS Security Hub、これらの検出結果を JSON や STIX などの脅威フィードで使用される形式に変換できます。次に、CTI をフィードプロバイダーに送信します。脅威インテリジェンスプラットフォームは、指定した CTI を取り込み、匿名化し、検証します。その後、CTI はより広範なコミュニティと共有されます。

次の図は、 AWS のサービス を使用して CTI を生成し、サイバーセキュリティ機関やその他のコミュニティメンバーを含む信頼コミュニティと共有する方法を示しています。

CTI を生成し、信頼コミュニティと共有するためのワークフロー。

この図は、次のワークフローを示しています。

  1. 検出結果は に作成されます AWS Security Hub。

  2. AWS Lambda 関数は Security Hub から検出結果を取得し、JSON や STIX などの共有可能な形式に変換します。

  3. Lambda 関数は、検出結果を Amazon DynamoDB テーブルに保存します。

  4. Amazon Elastic Compute Cloud (Amazon EC2) または Amazon Elastic Container Service (Amazon ECS) で実行されているサードパーティーの脅威インテリジェンスプラットフォームは、DynamoDB テーブルから検出結果を取得します。

  5. サイバーアナリストは、脅威インテリジェンスプラットフォームの CTI を確認します。

  6. 脅威インテリジェンスプラットフォームは、他の CTI プロデューサーとコンシューマーで構成される信頼コミュニティに CTI を発行します。