本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用可信 IP 列表和威胁列表
Amazon 通过分析和处理VPC流日志、 AWS CloudTrail 事件日志和日志来 GuardDuty 监控您的 AWS 环境安全。DNS您可以自定义此监控范围,配置 GuardDuty 为停止IPs来自您自己的可信 IP 列表的可信警报,并对自己的威胁列表IPs中的已知恶意软件发出警报。
可信 IP 列表和威胁列表仅适用于发往公开可路由 IP 地址的流量。列表的效果适用于所有VPC流日志和 CloudTrail 调查结果,但不适用于DNS调查结果。
GuardDuty 可以配置为使用以下类型的列表。
- 可信 IP 列表
-
可信 IP 列表由您信任的 IP 地址组成,这些地址用于与您的 AWS 基础架构和应用程序进行安全通信。 GuardDuty 不会为可信 IP 列表上的 IP 地址生成VPC流日志或 CloudTrail 查找结果。单个可信 IP 列表中最多可以包含 2000 个 IP 地址和CIDR范围。在任何给定时间,每个区域的每个 AWS 账户只能上传一个可信 IP 列表。
- 威胁 IP 列表
-
威胁列表由已知的恶意 IP 地址组成。此列表可以由第三方威胁情报提供,也可以专门为您的组织创建。除了由于可能存在可疑活动而生成发现结果外, GuardDuty 还会根据这些威胁列表生成调查结果。单个威胁列表中最多可以包含 250,000 个 IP 地址和CIDR范围。 GuardDuty 仅根据涉及威胁列表中 IP 地址和CIDR范围的活动生成调查结果;这些发现结果不是根据域名生成的。在任何给定时间点, AWS 账户 每个区域最多可以上传六个威胁列表。
注意
如果在可信 IP 列表和威胁列表中包含相同的 IP,则可信 IP 列表将首先处理该 IP,并且不会生成调查发现。
在多账户环境中,只有 GuardDuty 管理员账户中的用户才能添加和管理可信 IP 列表和威胁列表。管理员账户账户上传的可信 IP 列表和威胁列表会被强加到其成员账户的 GuardDuty 功能上。换句话说,在成员账户 GuardDuty 中,根据涉及管理员账户威胁列表中已知恶意 IP 地址的活动生成调查结果,而不会根据涉及管理员账户可信 IP 列表中 IP 地址的活动生成调查结果。有关更多信息,请参阅 在 Amazon 中管理多个账户 GuardDuty。
列表格式
GuardDuty 接受以下格式的列表。
托管可信 IP 列表或威胁 IP 列表的每个文件的最大大小为 35MB。在您的可信 IP 列表和威胁 IP 列表中,IP 地址和CIDR范围必须每行显示一个。只接受IPv4地址。
-
纯文本 () TXT
此格式支持CIDR区块和单个 IP 地址。以下示例列表使用纯文本 (TXT) 格式。
192.0.2.0/24 198.51.100.1 203.0.113.1
-
结构化威胁信息表达 (STIX)
此格式支持CIDR区块和单个 IP 地址。以下示例列表使用了该STIX格式。
<?xml version="1.0" encoding="UTF-8"?> <stix:STIX_Package xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:stix="http://stix.mitre.org/stix-1" xmlns:stixCommon="http://stix.mitre.org/common-1" xmlns:ttp="http://stix.mitre.org/TTP-1" xmlns:cybox="http://cybox.mitre.org/cybox-2" xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2" xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2" xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1" xmlns:example="http://example.com/" xsi:schemaLocation=" http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd" id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16" version="1.2"> <stix:Observables cybox_major_version="1" cybox_minor_version="1"> <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236"> <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab"> <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784"> <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> </stix:Observables> </stix:STIX_Package>
-
开放威胁交换 (OTX) TM CSV
此格式支持CIDR区块和单个 IP 地址。以下示例列表使用了该
OTXTM
CSV格式。Indicator type, Indicator, Description CIDR, 192.0.2.0/24, example IPv4, 198.51.100.1, example IPv4, 203.0.113.1, example
-
FireEyeTM i SIGHT 威胁情报 CSV
此格式支持CIDR区块和单个 IP 地址。以下示例列表使用一种
FireEyeTM
CSV格式。reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime 01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400 01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400 01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
-
Proofpoint TM ET 情 CSV
此格式仅支持单个 IP 地址。以下示例列表使用了该
Proofpoint
CSV格式。ports
参数是可选的。如果跳过端口,请确保在末尾留一个逗号(,)。ip, category, score, first_seen, last_seen, ports (|) 198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
-
AlienVaultTM 信誉提要
此格式仅支持单个 IP 地址。以下示例列表使用
AlienVault
格式。198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3 203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
上传可信 IP 列表和威胁列表所需的权限
各种IAM身份需要特殊权限才能在中使用可信 IP 列表和威胁列表 GuardDuty。已附加 AmazonGuardDutyFullAccess 托管策略的身份只能重命名和停用上传的可信 IP 列表和威胁列表。
要授予各种身份使用可信 IP 列表和威胁列表的完全访问权限(除重命名和停用外,还包括添加、激活、删除和更新列表的位置或名称),确保附加到用户、组或角色的权限策略中包含以下操作:
{ "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::
555555555555
:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }
重要
这些操作未包含在 AmazonGuardDutyFullAccess
托管策略中。
对可信 IP 列表和威胁列表使用服务器端加密
GuardDuty 支持列表的以下加密类型:SSE-AES256 和 SSE-KMS。SSE不支持-C。有关 S3 加密类型的更多信息,请参阅使用服务器端加密保护数据。
如果您的列表使用服务器端加密进行SSE加密,KMS则必须向 GuardDuty 服务相关角色授予解密文件的AWSServiceRoleForAmazonGuardDuty权限才能激活列表。在KMS密钥策略中添加以下声明,并将账户 ID 替换为您自己的账户 ID:
{ "Sid": "AllowGuardDutyServiceRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
123456789123
:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }, "Action": "kms:Decrypt*", "Resource": "*" }
添加和激活可信 IP 列表或威胁 IP 列表
选择以下访问方法之一添加和激活可信 IP 列表或威胁 IP 列表。
注意
激活或更新任何 IP 列表后,最多 GuardDuty 可能需要 15 分钟才能同步该列表。
更新可信 IP 列表和威胁列表
您可以更新列表名称,或更新添加到已添加并激活的列表中的 IP 地址。如果您更新了列表,则必须重新激活该列表 GuardDuty 才能使用最新版本的列表。
选择一种访问方法更新可信 IP 或威胁列表。
停用或删除可信 IP 列表或威胁列表
选择一种访问方法来删除(使用控制台)或停用(使用API/CLI)可信 IP 列表或威胁列表。