신뢰 커뮤니티와 CTI 공유 - AWS 권장 가이드

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

신뢰 커뮤니티와 CTI 공유

사이버 위협 인텔리전스(CTI)를 보내는 커뮤니티는 일반적으로 CTI를 받는 커뮤니티와 동일합니다. 그러나 더 많은에 공유하도록 선택할 수 있습니다. 예를 들어 국가 사이버 보안 센터 또는 정보 공유 및 분석 센터(ISACs)와 같이 신뢰할 수 있는 정부 또는 규제 기관과 공유하도록 선택할 수 있습니다. 목표는 여러 조직의 결과를 풀링하여 CTI를 빠르게 전파하고 구현하는 것입니다. 위협 인텔리전스 플랫폼은 여러 피드와 공유하기 위한 API 통합을 관리합니다.

CTI를 신뢰 커뮤니티로 보내는 것은 예방 및 탐지 제어를 구현하는 것과 동시에 이루어집니다. 로그를 사용하여 보안 이벤트를 식별할 수 있습니다. 그런 다음 이벤트와 조사 결과를 중앙 집중화하여의 보안 태세에 대한 개요를 빠르게 확인할 수 있습니다 AWS 계정. 그러면 사이버 분석가와 같은 보안 팀이 가치 있는 정보를 식별할 수 있습니다. 이미 조사 결과가 있으므로 이러한 조사 결과를 JSON 또는 STIX와 같은 위협 피드에서 사용하는 형식으로 변환 AWS Security Hub할 수 있습니다. 그런 다음 CTI를 피드 공급자에게 전송합니다. 위협 인텔리전스 플랫폼은 사용자가 제공하는 CTI를 수집, 익명화 및 검증합니다. 그러면 CTI가 훨씬 더 광범위한 커뮤니티와 공유됩니다.

다음 이미지는 AWS 서비스 를 사용하여 CTI를 생성한 다음 사이버 기관 및 기타 커뮤니티 구성원을 포함한 신뢰 커뮤니티와 공유하는 방법을 보여줍니다.

CTI를 생성하고 신뢰 커뮤니티와 공유하기 위한 워크플로입니다.

이 다이어그램은 다음 워크플로를 보여줍니다.

  1. 결과는에서 생성됩니다 AWS Security Hub.

  2. AWS Lambda 함수는 Security Hub에서 조사 결과를 검색하여 JSON 또는 STIX와 같은 공유 가능한 형식으로 변환합니다.

  3. Lambda 함수는 조사 결과를 Amazon DynamoDB 테이블에 저장합니다.

  4. Amazon Elastic Compute Cloud(Amazon EC2) 또는 Amazon Elastic Container Service(Amazon ECS)에서 실행되는 타사 위협 인텔리전스 플랫폼은 DynamoDB 테이블에서 결과를 검색합니다.

  5. 사이버 분석가가 위협 인텔리전스 플랫폼에서 CTI를 검토합니다.

  6. 위협 인텔리전스 플랫폼은 다른 CTI 생산자와 소비자로 구성된 신뢰 커뮤니티에 CTI를 게시합니다.