Compartilhando CTI com sua comunidade de confiança - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Compartilhando CTI com sua comunidade de confiança

A comunidade para a qual você envia inteligência de ameaças cibernéticas (CTI) geralmente é a mesma da qual você recebe CTI. No entanto, você pode optar por compartilhar com mais pessoas. Por exemplo, você pode optar por compartilhar com organizações governamentais ou regulatórias nas quais confia, como o centro nacional de segurança cibernética ou os Centros de Análise e Compartilhamento de Informações (ISACs). O objetivo é propagar e implementar rapidamente a CTI reunindo descobertas de várias organizações. Sua plataforma de inteligência contra ameaças gerencia as integrações de API para compartilhamento com vários feeds.

O envio do CTI para a comunidade de confiança acontece ao mesmo tempo que a implementação de controles preventivos e de detetive. Você usa registros para ajudar a identificar eventos de segurança. Em seguida, você centraliza eventos e descobertas para que possa obter rapidamente uma visão geral da postura de segurança do seu. Contas da AWS Então, suas equipes de segurança, como seus analistas cibernéticos, podem identificar qualquer informação que possa ser valiosa. Como você já tem descobertas em AWS Security Hub, você pode converter essas descobertas no formato usado pelo feed de ameaças, como JSON ou STIX. Em seguida, você envia a CTI para o provedor do feed. Suas plataformas de inteligência de ameaças ingerem, anonimizam e validam a CTI que você fornece. Então, seu CTI é compartilhado com uma comunidade ainda maior.

A imagem a seguir mostra como você pode usar Serviços da AWS para gerar CTI e depois compartilhá-la com sua comunidade de confiança, incluindo autoridades cibernéticas e outros membros da comunidade.

Fluxo de trabalho para gerar CTI e compartilhá-la com sua comunidade de confiança.

Esse diagrama mostra o seguinte fluxo de trabalho:

  1. As descobertas são criadas em AWS Security Hub.

  2. Uma AWS Lambda função recupera as descobertas do Security Hub e as converte em um formato compartilhável, como JSON ou STIX.

  3. A função Lambda armazena as descobertas em uma tabela do Amazon DynamoDB.

  4. A plataforma terceirizada de inteligência de ameaças, que está sendo executada no Amazon Elastic Compute Cloud (Amazon EC2) ou no Amazon Elastic Container Service (Amazon ECS), recupera as descobertas da tabela do DynamoDB.

  5. Um analista cibernético analisa o CTI na plataforma de inteligência de ameaças.

  6. A plataforma de inteligência de ameaças publica o CTI para a comunidade de confiança, que consiste em outros produtores e consumidores de CTI.