部署威胁情报平台 - AWS 规范性指导

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

部署威胁情报平台

威胁情报平台提取、汇总和组织来自多个来源和不同格式的威胁情报数据。它允许分析师查看从其信任社区收到的网络威胁情报 (CTI),确定其优先顺序并采取行动。

OpenCTIMISP 是常见的开源威胁情报平台。 AWS 合作伙伴还提供解决方案,网址为AWS Marketplace。在选择威胁情报平台时,您应该考虑安全团队的技能水平。MISP 既强大又复杂,而且 OpenCTI 具有更直观的用户界面。

选择威胁情报平台时,请考虑以下几点:

  • 功能-该平台是否提供实时监控、威胁检测和分析等功能?

  • 数据源 — 该平台是否使用各种来源,包括威胁源、暗网情报、社交媒体和开源情报?

  • 数据质量 — 平台是否有确保信息准确可靠的流程?

  • 可扩展性 — 该平台能否适应组织不断变化的需求,例如增长和不断演变的威胁?

  • 集成 — 该平台能否与您现有的安全工具和基础设施集成?

  • 用户体验 — 该平台是否易于浏览和使用?

  • 定制 — 能否对平台进行定制以满足贵组织的特定需求?

  • 成本 — 平台是否具有成本效益,包括许可成本和维护要求?

您可以在虚拟私有云 (VPC) 中部署威胁情报平台。您可以将其直接部署在亚马逊弹性计算云 (Amazon EC2) 实例上,也可以使用容器技术,例如亚马逊弹性容器服务 (Amazon ECS) Service AWS Fargate或。有关为现代应用程序开发选择合适的 AWS 容器服务的更多信息,请参阅选择 AWS 容器服务