View a markdown version of this page

사이버 위협 인텔리전스 수집 - AWS 권장 가이드

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사이버 위협 인텔리전스 수집

수집 프로세스의 첫 번째 단계는 위협 피드의 사이버 위협 인텔리전스(CTI) 데이터를 위협 인텔리전스 플랫폼이 수집할 수 있는 형식으로 변환하는 것입니다. 이를 CTI 변환이라고 합니다. 위협 피드 데이터는 구조화된 위협 정보 표현식(STIX)과 같은 다양한 형식으로 제공될 수 있습니다. 수신 데이터를 AWS 환경에서 사용 중인 보안 제품에 적합한 예측 가능하고 쉽게 사용할 수 있는 형식으로 재구성해야 합니다.

호환성을 극대화하려면 데이터를 JSON 형식으로 변환하는 것이 좋습니다. 예를 들어는 JSON 형식의 데이터를 사용할 AWS Step Functions 수 있으며 자동화 워크플로는이 형식을 더 쉽고 일관되게 사용할 수 있습니다. 자동화된 워크플로 구축에 대한 자세한 내용은 다음 섹션인 예방 및 탐지 보안 제어 자동화에 나와 있습니다.

CTI 데이터 수집을 가속화하기 위해 데이터 변환을 자동화할 수 있습니다. 데이터는 수집될 때 변환된 다음 위협 인텔리전스 플랫폼으로 직접 전달됩니다. AWS Lambda 함수를 사용하여 변환을 완료하고 AWS Step Functions 또는 Amazon EventBridge와 AWS 서비스 같은를 통해 프로세스를 오케스트레이션할 수 있습니다.

CTI를 수집할 때 추출하고 유지할 속성을 선택할 수 있습니다. 필요한 정확한 세부 정보는 비즈니스 요구 사항에 따라 다를 수 있습니다. 그러나 방화벽 및 기타 보안 서비스를 업데이트하려면 다음과 같은 최소 속성을 사용하는 것이 좋습니다.

  • IP 주소 및 도메인

  • 위협

  • 내부 위협 목록에서 추가 또는 제거

사용하려는 속성을 추출한 다음 구조화된 JSON 템플릿으로 형식을 지정합니다.