

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Ingerir inteligencia sobre ciberamenazas
<a name="architecture-ingest-cti"></a>

El primer paso del proceso de ingesta consiste en convertir los datos de inteligencia sobre ciberamenazas (CTI) de las fuentes de amenazas a un formato que su plataforma de inteligencia de amenazas pueda asimilar. *Esto se denomina conversión de CTI.* Los datos del feed de amenazas pueden venir en varios formatos, como [Structured Threat Information Expression (STIX](https://oasis-open.github.io/cti-documentation/stix/intro.html)). Debe reestructurar los datos entrantes en un formato predecible y fácil de consumir que sea adecuado para los productos de seguridad que utilice en su entorno. AWS 

Para lograr la máxima compatibilidad, le recomendamos que convierta los datos a un formato JSON. Por ejemplo, [AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)puede consumir datos en formato JSON y los flujos de trabajo de automatización pueden consumir este formato de manera más fácil y coherente. Encontrará más información sobre la creación de flujos de trabajo automatizados en la siguiente sección, [Automatización de los controles de seguridad preventivos y de detección](architecture-automate-controls.md).

Para acelerar la ingesta de datos de CTI, puede automatizar las transformaciones de datos. Los datos se convierten a medida que se ingieren y, a continuación, se transfieren directamente a la plataforma de inteligencia de amenazas. Puedes usar una AWS Lambda función para completar la transformación y puedes organizar el proceso a través Servicios de AWS de AWS Step Functions [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html).

Cuando ingieres CTI, puedes elegir qué atributos extraer y conservar. La cantidad exacta de detalles requerida puede variar en función de las necesidades de su empresa. Sin embargo, para actualizar los firewalls y otros servicios de seguridad, recomendamos los siguientes atributos mínimos:
+ Dirección IP y dominio
+ Amenaza
+ Añada o elimine de sus listas de amenazas internas

Extraiga los atributos que desee usar y, a continuación, formatéelos en una plantilla JSON estructurada.