本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
与您的信任社区共享 CTI
您向其发送网络威胁情报 (CTI) 的社区通常与您接收网络威胁情报 (CTI) 的社区相同。但是,您可以选择分享给更多人。例如,您可以选择与您信任的政府或监管机构共享,例如您的国家网络安全中心或信息共享和分析中心(ISACs)。目标是通过汇集多个组织的调查结果,快速传播和实施CTI。您的威胁情报平台管理 API 集成,以便与多个 Feed 共享。
向信托社区发送CTI是在实施预防和侦查控制的同时进行的。您可以使用日志来帮助识别安全事件。然后,您可以集中处理事件和调查结果,以便快速了解您的 AWS 账户安全状况。然后,您的安全团队(例如您的网络分析师)可以识别任何可能有价值的信息。由于您在中已经有了调查结果 AWS Security Hub,因此可以将这些发现转换为威胁源使用的格式,例如 JSON 或 STIX。然后,您将 CTI 发送给信息源提供商。他们的威胁情报平台会摄取、匿名化和验证您提供的 CTI。然后,您的CTI将与更广泛的社区共享。
下图显示了 AWS 服务 如何使用生成 CTI,然后与您的信任社区(包括网络管理机构和其他社区成员)共享。
此图显示了以下工作流程:
-
调查结果是在中创建的 AWS Security Hub。
-
AWS Lambda 函数从 Security Hub 检索发现结果并将其转换为可共享的格式,例如 JSON 或 STIX。
-
Lambda 函数将调查结果存储在亚马逊 DynamoDB 表中。
-
在亚马逊弹性计算云(亚马逊 EC2)或亚马逊弹性容器服务(Amazon ECS)上运行的第三方威胁情报平台从DynamoDB表中检索调查结果。
-
网络分析师在威胁情报平台中审查CTI。
-
威胁情报平台将CTI发布给由其他CTI生产者和消费者组成的信任社区。
