本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
摄取网络威胁情报
摄取过程的第一步是将来自威胁源的网络威胁情报 (CTI) 数据转换为威胁情报平台可以摄取的格式。这被称为 CTI 转换。威胁源数据可以采用多种格式,例如结构化威胁信息表达 (STIX)
为了最大限度地提高兼容性,我们建议您将数据转换为 JSON 格式。例如,AWS Step Functions可以使用 JSON 格式的数据,而自动化工作流程可以更轻松、更一致地使用这种格式。下一节 “自动化预防和侦查安全控制” 中提供了有关构建自动化工作流程的更多信息。
为了加快 CTI 数据的摄取,您可以自动进行数据转换。数据在摄取时会进行转换,然后直接传递到威胁情报平台。您可以使用 AWS Lambda 函数来完成转换,也可以通过 AWS 服务 诸如 AWS Step Functions 或 Amazon EventBridge 之类的方法编排流程。
提取 CTI 时,您可以选择提取和保留哪些属性。所需的确切详细信息量可能会因您的业务需求而异。但是,要更新防火墙和其他安全服务,我们建议使用以下最低限度属性:
-
IP 地址和域名
-
威胁
-
在您的内部威胁列表中添加或删除
提取要使用的属性,然后将其格式化为结构化的 JSON 模板。
