本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
與您的信任社群共用 CTI
您傳送網路威脅情報 (CTI) 至 的社群通常與您接收 CTI 的社群相同。不過,您可以選擇與更多 共用。例如,您可以選擇與您信任的政府或法規組織共用,例如您的國家網路安全中心或資訊共用和分析中心 (ISACs)。目標是透過匯集多個組織的調查結果,快速傳播和實作 CTI。您的威脅情報平台會管理 API 整合,以便與多個摘要共用。
將 CTI 傳送至信任社群,與實作預防性和偵測性控制同時發生。您可以使用日誌來協助識別安全事件。然後,您可以集中事件和調查結果,以便快速了解 的安全狀態概觀 AWS 帳戶。然後,您的安全團隊,例如您的網路分析師,可以識別任何可能有價值的資訊。由於您在 中已有問題清單 AWS Security Hub,因此您可以將這些問題清單轉換為威脅饋送所使用的格式,例如 JSON 或 STIX。然後,您將 CTI 傳送至饋送提供者。他們的威脅情報平台會擷取、匿名化和驗證您提供的 CTI。然後,您的 CTI 會與更廣泛的社群共用。
下圖顯示如何使用 AWS 服務 產生 CTI,然後與您的信任社群共用,包括網路授權機構和其他社群成員。
此圖表顯示下列工作流程:
-
問題清單會在 中建立 AWS Security Hub。
-
AWS Lambda 函數會從 Security Hub 擷取問題清單,並將其轉換為可分割格式,例如 JSON 或 STIX。
-
Lambda 函數會將問題清單存放在 Amazon DynamoDB 資料表中。
-
在 Amazon Elastic Compute Cloud (Amazon EC2) 或 Amazon Elastic Container Service (Amazon ECS) 上執行的第三方威脅情報平台,會從 DynamoDB 資料表擷取問題清單。
-
網路分析師會檢閱威脅情報平台中的 CTI。
-
威脅情報平台會將 CTI 發佈至信任社群,該社群由其他 CTI 生產者和消費者組成。
