기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
사이버 위협 인텔리전스 수집
수집 프로세스의 첫 번째 단계는 위협 피드의 사이버 위협 인텔리전스(CTI) 데이터를 위협 인텔리전스 플랫폼이 수집할 수 있는 형식으로 변환하는 것입니다. 이를 CTI 변환이라고 합니다. 위협 피드 데이터는 구조화된 위협 정보 표현식(STIX)
호환성을 극대화하려면 데이터를 JSON 형식으로 변환하는 것이 좋습니다. 예를 들어는 JSON 형식의 데이터를 사용할 AWS Step Functions 수 있으며 자동화 워크플로는이 형식을 더 쉽고 일관되게 사용할 수 있습니다. 자동화된 워크플로 구축에 대한 자세한 내용은 다음 섹션인 예방 및 탐지 보안 제어 자동화에 나와 있습니다.
CTI 데이터 수집을 가속화하기 위해 데이터 변환을 자동화할 수 있습니다. 데이터는 수집될 때 변환된 다음 위협 인텔리전스 플랫폼으로 직접 전달됩니다. AWS Lambda 함수를 사용하여 변환을 완료하고 AWS Step Functions 또는 Amazon EventBridge와 AWS 서비스 같은를 통해 프로세스를 오케스트레이션할 수 있습니다.
CTI를 수집할 때 추출하고 유지할 속성을 선택할 수 있습니다. 필요한 정확한 세부 정보는 비즈니스 요구 사항에 따라 다를 수 있습니다. 그러나 방화벽 및 기타 보안 서비스를 업데이트하려면 다음과 같은 최소 속성을 사용하는 것이 좋습니다.
-
IP 주소 및 도메인
-
위협
-
내부 위협 목록에서 추가 또는 제거
사용하려는 속성을 추출한 다음 구조화된 JSON 템플릿으로 형식을 지정합니다.