本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
擷取網路威脅情報
擷取程序的第一步是將威脅饋送的網路威脅情報 (CTI) 資料轉換為威脅情報平台可以擷取的格式。這稱為 CTI 轉換。威脅饋送資料可能有多種格式,例如結構化威脅資訊表達式 (STIX)
為了獲得最大的相容性,建議您將資料轉換為 JSON 格式。例如, AWS Step Functions可以使用 JSON 格式的資料,而自動化工作流程可以更輕鬆且一致地使用這種格式。下一節提供建置自動化工作流程的詳細資訊:自動化預防性和偵測性安全控制。
若要加速擷取 CTI 資料,您可以自動化資料轉換。資料會在擷取時轉換,然後直接傳遞至威脅情報平台。您可以使用 AWS Lambda 函數來完成轉換,也可以透過 AWS 服務 AWS Step Functions 或 Amazon EventBridge 來協調程序。
當您擷取 CTI 時,您可以選擇要擷取和保留的屬性。所需的確切詳細資訊量可能會因您的業務需求而有所不同。不過,若要更新防火牆和其他安全服務,建議您使用下列最低屬性:
-
IP 地址和網域
-
威脅
-
從您的內部威脅清單中新增或移除
擷取您要使用的屬性,然後將其格式化為結構化 JSON 範本。
