As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Ingestão de inteligência sobre ameaças cibernéticas
A primeira etapa do processo de ingestão é converter os dados de inteligência de ameaças cibernéticas (CTI) dos feeds de ameaças em um formato que sua plataforma de inteligência de ameaças possa ingerir. Isso é chamado de conversão CTI. Os dados do feed de ameaças podem vir em vários formatos, como Structured Threat Information Expression (STIX)
Para máxima compatibilidade, recomendamos que você converta os dados em um formato JSON. Por exemplo, AWS Step Functionspode consumir dados no formato JSON, e os fluxos de trabalho de automação podem consumir esse formato de forma mais fácil e consistente. Mais informações sobre a criação de fluxos de trabalho automatizados são fornecidas na próxima seção, Automatizando controles de segurança preventivos e de detetive.
Para acelerar a ingestão de dados de CTI, você pode automatizar as transformações de dados. Os dados são convertidos à medida que são ingeridos e, em seguida, transmitidos diretamente para a plataforma de inteligência contra ameaças. Você pode usar uma AWS Lambda função para concluir a transformação e orquestrar o processo por meio de Serviços da AWS como ou AWS Step Functions Amazon. EventBridge
Ao ingerir CTI, você pode escolher quais atributos extrair e reter. A quantidade exata de detalhes necessários pode variar de acordo com as necessidades da sua empresa. No entanto, para fazer atualizações em firewalls e outros serviços de segurança, recomendamos os seguintes atributos mínimos:
-
Endereço IP e domínio
-
Ameaça
-
Adicione ou remova de suas listas de ameaças internas
Extraia os atributos que você deseja usar e, em seguida, formate-os em um modelo JSON estruturado.
