Bekerja dengan daftar IP tepercaya dan daftar ancaman - Amazon GuardDuty
Format daftarIzin yang diperlukan untuk mengunggah daftar IP terpercaya dan daftar ancamanMenggunakan enkripsi sisi server untuk daftar IP tepercaya dan daftar ancamanMenambahkan dan mengaktifkan daftar IP tepercaya atau daftar IP ancamanMemperbarui daftar IP tepercaya dan daftar ancamanMenonaktifkan atau menghapus daftar IP tepercaya atau daftar ancaman

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bekerja dengan daftar IP tepercaya dan daftar ancaman

Amazon GuardDuty memantau keamanan AWS lingkungan Anda dengan menganalisis dan memproses Log VPC Aliran, log AWS CloudTrail peristiwa, dan DNS log. Anda dapat menyesuaikan lingkup pemantauan ini dengan mengonfigurasi GuardDuty untuk menghentikan peringatan untuk dipercaya IPs dari daftar IP tepercaya Anda sendiri dan memperingatkan tentang bahaya yang diketahui IPs dari daftar ancaman Anda sendiri.

Daftar IP tepercaya dan daftar ancaman hanya berlaku untuk lalu lintas yang ditujukan untuk alamat IP yang dapat dirutekan secara publik. Efek dari daftar berlaku untuk semua VPC Flow Log dan CloudTrail temuan, tetapi tidak berlaku untuk DNS temuan.

GuardDuty dapat dikonfigurasi untuk menggunakan jenis daftar berikut.

Daftar IP tepercaya

Daftar IP tepercaya terdiri dari alamat IP yang telah Anda percayai untuk komunikasi yang aman dengan AWS infrastruktur dan aplikasi Anda. GuardDuty tidak menghasilkan log VPC aliran atau CloudTrail temuan untuk alamat IP pada daftar IP tepercaya. Anda dapat menyertakan maksimum 2000 alamat IP dan CIDR rentang dalam satu daftar IP tepercaya. Pada waktu tertentu, Anda hanya dapat memiliki satu daftar IP tepercaya yang diunggah per akun AWS per Wilayah.

Daftar IP ancaman

Daftar ancaman terdiri dari alamat IP berbahaya yang diketahui. Daftar ini dapat disediakan oleh intelijen ancaman pihak ketiga atau dibuat khusus untuk organisasi Anda. Selain menghasilkan temuan karena aktivitas yang berpotensi mencurigakan, GuardDuty juga menghasilkan temuan berdasarkan daftar ancaman ini. Anda dapat menyertakan maksimum 250.000 alamat IP dan CIDR rentang dalam satu daftar ancaman. GuardDuty hanya menghasilkan temuan berdasarkan aktivitas yang melibatkan alamat IP dan CIDR rentang dalam daftar ancaman Anda; temuan tidak dihasilkan berdasarkan nama domain. Pada titik waktu tertentu, Anda dapat memiliki hingga enam daftar ancaman yang diunggah Akun AWS per setiap Wilayah.

catatan

Jika Anda menyertakan IP yang sama pada daftar IP tepercaya dan daftar ancaman, IP tersebut akan diproses oleh daftar IP tepercaya terlebih dahulu, dan tidak akan menghasilkan temuan.

Di lingkungan multi-akun, hanya pengguna dari akun akun GuardDuty administrator yang dapat menambahkan dan mengelola daftar IP tepercaya dan daftar ancaman. Daftar IP tepercaya dan daftar ancaman yang diunggah oleh akun akun administrator dikenakan pada GuardDuty fungsionalitas di akun anggotanya. Dengan kata lain, di akun anggota GuardDuty menghasilkan temuan berdasarkan aktivitas yang melibatkan alamat IP berbahaya yang diketahui dari daftar ancaman akun administrator dan tidak menghasilkan temuan berdasarkan aktivitas yang melibatkan alamat IP dari daftar IP tepercaya akun administrator. Untuk informasi selengkapnya, lihat Beberapa akun di Amazon GuardDuty.

Format daftar

GuardDuty menerima daftar dalam format berikut.

Ukuran maksimum setiap file yang menghosting daftar IP tepercaya atau daftar IP ancaman Anda adalah 35MB. Dalam daftar IP tepercaya dan daftar IP ancaman Anda, alamat IP dan CIDR rentang harus muncul satu per baris. Hanya IPv4 alamat yang diterima.

  • Plaintext () TXT

    Format ini mendukung CIDR blok dan alamat IP individual. Daftar contoh berikut menggunakan format Plaintext (TXT).

    192.0.2.0/24
198.51.100.1
203.0.113.1

  • Ekspresi Informasi Ancaman Terstruktur (STIX)

    Format ini mendukung CIDR blok dan alamat IP individual. Daftar contoh berikut menggunakan STIX format.

    <?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:ttp="http://stix.mitre.org/TTP-1"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:example="http://example.com/"
    xsi:schemaLocation="
    http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd
    http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd
    http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd
    http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd
    http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd
    http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd"
    id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16"
    version="1.2">
    <stix:Observables cybox_major_version="1" cybox_minor_version="1">
        <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236">
            <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab">
            <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784">
            <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
    </stix:Observables>
</stix:STIX_Package>

  • Buka Pertukaran Ancaman (OTX) TM CSV

    Format ini mendukung CIDR blok dan alamat IP individual. Daftar contoh berikut menggunakan OTXTM CSV format.

    Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example

  • FireEyeTM dan Kecerdasan SIGHT Ancaman CSV

    Format ini mendukung CIDR blok dan alamat IP individual. Daftar contoh berikut menggunakan FireEyeTM CSV format.

    reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

  • Pakan Intelijen Proofpoint TM ET CSV

    Format ini hanya mendukung alamat IP individual. Daftar contoh berikut menggunakan Proofpoint CSV format. Parameter ports bersifat opsional. Jika Anda melewati port, pastikan untuk meninggalkan tanda koma (,) di akhir.

    ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80

  • AlienVaultUmpan Reputasi TM

    Format ini hanya mendukung alamat IP individual. Daftar contoh berikut menggunakan AlienVault format.

    198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3

Izin yang diperlukan untuk mengunggah daftar IP terpercaya dan daftar ancaman

Berbagai IAM identitas memerlukan izin khusus untuk bekerja dengan daftar IP tepercaya dan daftar ancaman di. GuardDuty Identitas dengan kebijakan AmazonGuardDutyFullAccess terkelola terlampir hanya dapat mengganti nama dan menonaktifkan daftar IP tepercaya yang diunggah dan daftar ancaman.

Untuk memberikan berbagai identitas akses penuh untuk bekerja dengan daftar IP tepercaya dan daftar ancaman (selain mengganti nama dan menonaktifkan, ini termasuk menambahkan, mengaktifkan, menghapus, dan memperbarui lokasi atau nama daftar), pastikan bahwa tindakan berikut ada dalam kebijakan izin yang dilampirkan ke pengguna, grup, atau peran: 

{
    "Effect": "Allow",
    "Action": [
        "iam:PutRolePolicy",
        "iam:DeleteRolePolicy"
    ],
    "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
penting

Tindakan ini tidak termasuk dalam kebijakan yang AmazonGuardDutyFullAccess dikelola.

Menggunakan enkripsi sisi server untuk daftar IP tepercaya dan daftar ancaman

GuardDuty mendukung jenis enkripsi berikut untuk daftar: SSE - AES256 dan SSE -KMS. SSE-C tidak didukung. Untuk informasi selengkapnya tentang jenis enkripsi untuk S3, lihat Melindungi data menggunakan enkripsi sisi server.

Jika daftar Anda dienkripsi menggunakan enkripsi sisi server SSE - KMS Anda harus memberikan AWSServiceRoleForAmazonGuardDutyizin peran GuardDuty terkait layanan untuk mendekripsi file untuk mengaktifkan daftar. Tambahkan pernyataan berikut ke kebijakan KMS kunci dan ganti ID akun dengan milik Anda sendiri: 

{
    "Sid": "AllowGuardDutyServiceRole",
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    },
    "Action": "kms:Decrypt*",
    "Resource": "*"
}

Menambahkan dan mengaktifkan daftar IP tepercaya atau daftar IP ancaman

Pilih salah satu metode akses berikut untuk menambahkan dan mengaktifkan daftar IP tepercaya atau daftar IP ancaman.

Console
(Opsional) langkah 1: Mengambil lokasi URL daftar Anda

  1. Buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/

  2. Di panel navigasi, pilih Bucket.

  3. Pilih nama bucket Amazon S3 yang berisi daftar spesifik yang ingin Anda tambahkan.

  4. Pilih nama objek (daftar) untuk melihat detailnya.

  5. Di bawah tab Properties, salin S3 URI untuk objek ini.

Langkah 2: Menambahkan daftar IP tepercaya atau daftar ancaman
penting

Secara default, pada titik waktu tertentu, Anda hanya dapat memiliki satu daftar IP tepercaya. Demikian pula, Anda dapat memiliki hingga enam daftar ancaman.

  1. Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

  2. Di panel navigasi, pilih Daftar.

  3. Pada halaman Manajemen daftar, pilih Tambahkan daftar IP tepercaya atau Tambahkan daftar ancaman.

  4. Berdasarkan pilihan Anda, kotak dialog akan muncul. Lakukan langkah-langkah berikut:

    1. Untuk nama Daftar, masukkan nama untuk daftar Anda.

      Kendala penamaan daftar — Nama daftar Anda dapat mencakup huruf kecil, huruf besar, angka, tanda hubung (-), dan garis bawah (_).

    2. Untuk Lokasi, berikan lokasi tempat Anda mengunggah daftar Anda. Jika Anda belum memilikinya, lihatStep 1: Fetching location URL of your list.

      Format lokasi URL

      • https://s3.amazonaws.com/bucket.name/file.txt

      • https://s3-aws-region.amazonaws.com/bucket.name/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • http://bucket.s3-aws-region.amazonaws.com/file.txt

      • s3://bucket.name/file.txt

    3. Pilih kotak centang Saya setuju.

    4. Pilih Tambah daftar. Secara default, Status daftar yang ditambahkan tidak aktif. Agar daftar menjadi efektif, Anda harus mengaktifkan daftar.

Langkah 3: Mengaktifkan daftar IP tepercaya atau daftar ancaman

  1. Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

  2. Di panel navigasi, pilih Daftar.

  3. Pada halaman Manajemen daftar, pilih daftar yang ingin Anda aktifkan.

  4. Pilih Tindakan, lalu pilih Aktifkan. Mungkin diperlukan waktu hingga 15 menit agar daftar menjadi efektif.

API/CLI
Untuk daftar IP tepercaya

  • Jalankan C reateIPSet. Pastikan untuk memberikan akun detectorId anggota yang ingin Anda buat daftar IP tepercaya ini.

    Kendala penamaan daftar — Nama daftar Anda dapat mencakup huruf kecil, huruf besar, angka, tanda hubung (-), dan garis bawah (_).

    • Atau, Anda dapat melakukan ini dengan menjalankan AWS Command Line Interface perintah berikut dan pastikan untuk mengganti detector-id dengan ID detektor dari akun anggota yang akan Anda perbarui daftar IP tepercaya.

      aws guardduty create-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --format Plaintext --location https://s3.amazonaws.com/amzn-s3-demo-bucket2/DOC-EXAMPLE-SOURCE-FILE.format --activate
Untuk daftar ancaman

  • Jalankan CreateThreatIntelSet. Pastikan untuk memberikan akun detectorId anggota yang ingin Anda buat daftar ancaman ini.

    • Atau, Anda dapat melakukan ini dengan menjalankan AWS Command Line Interface perintah berikut. Pastikan untuk memberikan akun anggota yang ingin Anda buat daftar ancaman. detectorId

      aws guardduty create-threat-intel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --format Plaintext --location https://s3.amazonaws.com/amzn-s3-demo-bucket2/DOC-EXAMPLE-SOURCE-FILE.format --activate
catatan

Setelah Anda mengaktifkan atau memperbarui daftar IP apa pun, GuardDuty mungkin memerlukan waktu hingga 15 menit untuk menyinkronkan daftar.

Memperbarui daftar IP tepercaya dan daftar ancaman

Anda dapat memperbarui nama daftar atau alamat IP yang ditambahkan ke daftar yang telah ditambahkan dan diaktifkan. Jika Anda memperbarui daftar, Anda harus mengaktifkannya lagi GuardDuty untuk menggunakan versi terbaru dari daftar.

Pilih salah satu metode akses untuk memperbarui IP tepercaya atau daftar ancaman.

Console

  1. Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

  2. Di panel navigasi, pilih Daftar.

  3. Pada halaman Manajemen daftar, pilih kumpulan IP tepercaya atau daftar ancaman yang ingin Anda perbarui.

  4. Pilih Tindakan, dan kemudian pilih Edit.

  5. Dalam kotak dialog Perbarui daftar, perbarui informasi sesuai kebutuhan.

    Kendala penamaan daftar — Nama daftar Anda dapat mencakup huruf kecil, huruf besar, angka, tanda hubung (-), dan garis bawah (_).

  6. Pilih kotak centang Saya setuju, lalu pilih Perbarui daftar. Nilai di kolom Status akan berubah menjadi Tidak Aktif.

  7. Mengaktifkan kembali daftar yang diperbarui

    1. Pada halaman Manajemen daftar, pilih daftar yang ingin Anda aktifkan lagi.

    2. Pilih Tindakan, lalu pilih Aktifkan.

API/CLI

  1. Jalankan UpdateIPSetuntuk memperbarui daftar IP tepercaya.

    • Atau, Anda dapat menjalankan AWS CLI perintah berikut untuk memperbarui daftar IP tepercaya dan pastikan untuk mengganti detector-id dengan ID detektor akun anggota yang akan Anda perbarui daftar IP tepercaya.

      aws guardduty update-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --ip-set-id d4b94fc952d6912b8f3060768example --activate

  2. Jalankan UpdateThreatIntelSetuntuk memperbarui daftar ancaman

    • Atau, Anda dapat menjalankan AWS CLI perintah berikut untuk memperbarui daftar ancaman dan pastikan untuk mengganti detector-id dengan ID detektor akun anggota yang akan Anda perbarui daftar ancaman.

      aws guardduty update-threatintel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --threat-intel-set-id d4b94fc952d6912b8f3060768example --activate

Menonaktifkan atau menghapus daftar IP tepercaya atau daftar ancaman

Pilih salah satu metode akses untuk menghapus (dengan menggunakan konsol) atau menonaktifkan (dengan menggunakanAPI/CLI) daftar IP tepercaya, atau daftar ancaman.

Console

  1. Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

  2. Di panel navigasi, pilih Daftar.

  3. Pada halaman Manajemen daftar, pilih daftar yang ingin Anda hapus.

  4. Pilih Tindakan, lalu pilih Hapus.

  5. Konfirmasikan tindakan dan pilih Hapus. Daftar spesifik tidak akan lagi tersedia di tabel.

API/CLI
  1. Untuk daftar IP tepercaya

    Jalankan UpdateIPSetuntuk memperbarui daftar IP tepercaya.

    • Atau, Anda dapat menjalankan AWS CLI perintah berikut untuk memperbarui daftar IP tepercaya dan pastikan untuk mengganti detector-id dengan ID detektor akun anggota yang akan Anda perbarui daftar IP tepercaya.

      Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan detectorId ListDetectors API.

      aws guardduty update-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --ip-set-id d4b94fc952d6912b8f3060768example --no-activate
  2. Untuk daftar ancaman

    Jalankan UpdateThreatIntelSetuntuk memperbarui daftar ancaman

    • Atau, Anda dapat menjalankan AWS CLI perintah berikut untuk memperbarui daftar IP tepercaya dan pastikan untuk mengganti detector-id dengan ID detektor akun anggota yang akan Anda perbarui daftar ancaman.

      aws guardduty update-threatintel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --threat-intel-set-id d4b94fc952d6912b8f3060768example --no-activate