

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# サイバー脅威インテリジェンスの取り込み
<a name="architecture-ingest-cti"></a>

取り込みプロセスの最初のステップは、サイバー脅威インテリジェンス (CTI) データを脅威フィードから脅威インテリジェンスプラットフォームが取り込むことができる形式に変換することです。これは *CTI 変換*と呼ばれます。脅威フィードデータは、[構造化脅威情報式 (STIX)](https://oasis-open.github.io/cti-documentation/stix/intro.html) など、さまざまな形式で取得できます。受信データを、 AWS 環境で使用しているセキュリティ製品に適した予測可能で簡単に使用できる形式に再構築する必要があります。

互換性を最大限に高めるために、データを JSON 形式に変換することをお勧めします。たとえば、 は JSON 形式のデータを[AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)消費でき、自動化ワークフローはこの形式をより簡単かつ一貫して消費できます。自動ワークフローの構築の詳細については、次のセクション[「予防的および検出的なセキュリティコントロールの自動化](architecture-automate-controls.md)」を参照してください。

CTI データの取り込みを高速化するために、データ変換を自動化できます。データは取り込み時に変換され、脅威インテリジェンスプラットフォームに直接渡されます。 AWS Lambda 関数を使用して変換を完了し、 AWS Step Functions や [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) AWS のサービス などの を通じてプロセスをオーケストレーションできます。

CTI を取り込むときに、抽出して保持する属性を選択できます。必要な詳細の正確な量は、ビジネスニーズによって異なります。ただし、ファイアウォールやその他のセキュリティサービスを更新するには、次の最小属性をお勧めします。
+ IP アドレスとドメイン
+ 脅威
+ 内部脅威リストへの追加または削除

使用する属性を抽出し、構造化された JSON テンプレートにフォーマットします。