本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 上的網路威脅情報共用 AWS *Amazon Web Services* [(貢獻者](contributors.md)) *2024 年 12 月* ([文件歷史記錄](doc-history.md)) 隨著新風險的出現,保護關鍵雲端工作負載的最佳實務會持續演進。隨著需要保護的網際網路連線資產數量增加,與威脅執行者相關聯的安全事件風險也會增加。*網路威脅情報 (CTI)* 是資料的收集和分析,指出威脅行為者的意圖、機會和能力。它以證據為基礎且可採取行動,並通知網路防禦活動。它通常包含與演員歸因、策略技術和程序、動機或目標相關的資訊。 CTI 可以在組織內、信任社群的組織之間、與資訊共用和分析中心 (ISACs) 共用,或與其他實體共用,例如政府機構。政府機構的範例包括[澳洲網路安全中心 (ACSC)](https://www.cyber.gov.au/) 和美國[網路安全與基礎設施安全局 (CISA)](https://www.cisa.gov/)。 如同所有形式的情報,威脅內容至關重要。CTI 共用會通知動態網路安全風險管理。這對於及時的網路安全防禦、回應和復原至關重要。這可提高網路安全功能的效率和有效性。威脅內容對於區分與不同目標相關的 CTI 功能需求也很重要。例如,複雜的演員可能會以特定企業或政府為目標,而商品演員則使用隨時可用的工具和技術來廣泛攻擊個人和組織。 安全規劃、可觀測性、威脅情報分析、安全控制自動化和信任社群內的共用,是威脅情報生命週期的關鍵部分。 AWS 可協助您自動化手動安全任務,以更精確地偵測威脅、更快回應,並產生您可以共用的高品質威脅情報。您可以探索新的網路攻擊、分析、產生 CTI、共用和套用,所有這些攻擊都旨在防止第二次攻擊發生。 本指南說明如何在 上部署威脅情報平台 AWS。信任社群提供 CTI,平台會擷取 CTI 以識別可行的智慧,並自動化 AWS 環境中的保護和偵測性控制。下圖顯示威脅情報生命週期。CTI 從來源抵達,然後威脅情報平台會處理它。透過使用[受信任的智慧資訊自動交換 (TAXII)](https://oasis-open.github.io/cti-documentation/taxii/intro.html) 通訊協定或[惡意軟體資訊共用平台 (MISP)](https://www.misp-project.org/),CTI 會與信任社群共用以進行動作。 ![\[從來源流回信任社群的威脅情報生命週期。\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/cyber-threat-intelligence-sharing/images/cyber-threat-intelligence-lifecycle.png) 威脅情報平台會使用 CTI 在您的 AWS 環境中自動實作安全控制,或在需要手動動作時通知您的安全團隊。*預防性控制*是一種安全控制,旨在防止事件發生。範例包括使用網路防火牆、DNS 解析程式和其他入侵預防系統 (IPSs) 自動化封鎖已知不良 IP 地址或網域名稱的清單。*偵測性控制*是一種安全控制,旨在於事件發生後偵測、記錄和提醒。範例包括持續監控惡意活動,以及搜尋日誌以取得問題或事件的證據。 您可以在集中式安全可觀測性工具中彙總任何問題清單,例如 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)。然後,您可以與信任社群共用調查結果,以協作方式建立全面的威脅狀況。