

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Ingestão de inteligência sobre ameaças cibernéticas
<a name="architecture-ingest-cti"></a>

A primeira etapa do processo de ingestão é converter os dados de inteligência de ameaças cibernéticas (CTI) dos feeds de ameaças em um formato que sua plataforma de inteligência de ameaças possa ingerir. Isso é chamado de *conversão CTI*. Os dados do feed de ameaças podem vir em vários formatos, como [Structured Threat Information Expression (STIX)](https://oasis-open.github.io/cti-documentation/stix/intro.html). Você deve reestruturar os dados recebidos em um formato previsível e facilmente consumível, adequado aos produtos de segurança que você está usando em seu ambiente. AWS 

Para máxima compatibilidade, recomendamos que você converta os dados em um formato JSON. Por exemplo, [AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)pode consumir dados no formato JSON, e os fluxos de trabalho de automação podem consumir esse formato de forma mais fácil e consistente. Mais informações sobre a criação de fluxos de trabalho automatizados são fornecidas na próxima seção, [Automatizando controles de segurança preventivos e de detetive](architecture-automate-controls.md).

Para acelerar a ingestão de dados de CTI, você pode automatizar as transformações de dados. Os dados são convertidos à medida que são ingeridos e, em seguida, transmitidos diretamente para a plataforma de inteligência contra ameaças. [Você pode usar uma AWS Lambda função para concluir a transformação e orquestrar o processo por meio de Serviços da AWS como ou AWS Step Functions Amazon. EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)

Ao ingerir CTI, você pode escolher quais atributos extrair e reter. A quantidade exata de detalhes necessários pode variar de acordo com as necessidades da sua empresa. No entanto, para fazer atualizações em firewalls e outros serviços de segurança, recomendamos os seguintes atributos mínimos:
+ Endereço IP e domínio
+ Ameaça
+ Adicione ou remova de suas listas de ameaças internas

Extraia os atributos que você deseja usar e, em seguida, formate-os em um modelo JSON estruturado.