使用信任 IP 清單和威脅清單 - Amazon GuardDuty
清單格式上傳信任 IP 清單和威脅清單所需的許可對信任 IP 清單和威脅清單使用伺服器端加密新增和啟用信任 IP 清單或威脅 IP 清單更新信任 IP 清單和威脅清單停用或刪除信任 IP 清單或威脅清單

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用信任 IP 清單和威脅清單

Amazon 透過分析和處理VPC流程日誌、 AWS CloudTrail 事件日誌和DNS日誌來 GuardDuty 監控 AWS 環境的安全性。您可以設定 GuardDuty 來停止IPs來自您信任 IP 清單的受信任警示,以及IPs來自您威脅清單的已知惡意警示,藉此自訂此監控範圍。

信任 IP 清單和威脅清單僅適用於以公共可路由的 IP 地址為目的地的流量。清單的效果適用於所有VPC流程日誌和 CloudTrail 調查結果,但不適用於DNS調查結果。

GuardDuty 可設定為使用下列類型的清單。

信任 IP 清單

信任的 IP 清單包含您信任的 IP 地址,以便與 AWS 基礎設施和應用程式進行安全通訊。 GuardDuty 不會在信任的 IP 清單上產生 IP 地址的VPC流量日誌或 CloudTrail 調查結果。您可以在單一受信任 IP 清單中包含最多 2000 個 IP 地址和CIDR範圍。在任何指定的時間,您在每個區域的每個 AWS 帳戶中,僅能上傳一份信任 IP 清單。

威脅 IP 清單

威脅清單包含已知的惡意 IP 地址。此清單可由第三方威脅情報提供,也可以專門為您的組織建立。除了因為潛在可疑活動產生調查結果之外, GuardDuty 也會根據這些威脅清單產生調查結果。您最多可以在單一威脅清單中包含 250,000 個 IP 地址和CIDR範圍。 GuardDuty 僅根據威脅清單中涉及 IP 地址和CIDR範圍的活動產生調查結果;調查結果不會根據網域名稱產生。在任何指定時間點, AWS 帳戶 每個區域最多可上傳六個威脅清單。

注意

如果您同時在信任 IP 清單和威脅清單中包含相同的 IP,則信任 IP 清單會先處理該 IP,而且不會產生調查結果。

在多帳戶環境中,只有來自 GuardDuty 管理員帳戶帳戶的使用者才能新增和管理信任的 IP 清單和威脅清單。由管理員帳戶上傳的信任 IP 清單和威脅清單,會強制執行在其成員帳戶中 GuardDuty 的功能上。換句話說,在成員帳戶中,根據涉及管理員帳戶威脅清單中已知惡意 IP 地址的活動 GuardDuty 產生調查結果,並且不會根據涉及管理員帳戶信任 IP 清單中 IP 地址的活動產生調查結果。如需詳細資訊,請參閱Amazon 中的多個帳戶 GuardDuty

清單格式

GuardDuty 接受下列格式的清單。

託管信任 IP 清單或威脅 IP 清單的每個檔案的大小上限為 35 MB。在您信任的 IP 清單和威脅 IP 清單中,IP 地址和CIDR範圍必須每行顯示一個。只接受IPv4地址。

  • 純文字 (TXT)

    此格式同時支援CIDR區塊和個別 IP 地址。下列範例清單使用純文字 (TXT) 格式。

    192.0.2.0/24
198.51.100.1
203.0.113.1

  • 結構化威脅資訊表達式 (STIX)

    此格式同時支援CIDR區塊和個別 IP 地址。下列範例清單使用 STIX 格式。

    <?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:ttp="http://stix.mitre.org/TTP-1"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:example="http://example.com/"
    xsi:schemaLocation="
    http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd
    http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd
    http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd
    http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd
    http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd
    http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd"
    id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16"
    version="1.2">
    <stix:Observables cybox_major_version="1" cybox_minor_version="1">
        <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236">
            <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab">
            <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784">
            <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
    </stix:Observables>
</stix:STIX_Package>

  • Open Threat Exchange (OTX)TM CSV

    此格式同時支援CIDR區塊和個別 IP 地址。下列範例清單使用 OTXTM CSV 格式。

    Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example

  • FireEyeTM iSIGHT Threat Intelligence CSV

    此格式同時支援CIDR區塊和個別 IP 地址。下列範例清單使用 FireEyeTM CSV 格式。

    reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

  • ProofpointTM ET 情報摘要 CSV

    此格式僅支援個別 IP 地址。下列範例清單使用 Proofpoint CSV 格式。ports 為選用參數。如果跳過連接埠,請務必在結尾留下尾隨逗號 (,)。

    ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80

  • AlienVaultTM 信譽摘要

    此格式僅支援個別 IP 地址。下列範例清單使用 AlienVault 格式。

    198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3

上傳信任 IP 清單和威脅清單所需的許可

各種IAM身分都需要特殊許可,才能使用 中受信任的 IP 清單和威脅清單 GuardDuty。具有連接的 AmazonGuardDutyFullAccess 受管政策的身分,只能重新命名和停用上傳的信任 IP 清單和威脅清單。

若要授予各種身分使用信任 IP 清單和威脅清單 (除了重新命名和停用,還包括新增、啟用、刪除和更新清單的位置或名稱) 的完整存取權限,請確認以下動作存在於連接至使用者、群組或角色的許可政策中:

{
    "Effect": "Allow",
    "Action": [
        "iam:PutRolePolicy",
        "iam:DeleteRolePolicy"
    ],
    "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
重要

這些動作不包含在 AmazonGuardDutyFullAccess 受管政策中。

對信任 IP 清單和威脅清單使用伺服器端加密

GuardDuty 支援下列清單加密類型:SSE-AES256 和 SSE-KMS。SSE不支援 -C。如需有關 S3 的加密類型的詳細資訊,請參閱使用伺服器端加密保護資料

如果您的清單使用伺服器端加密進行加密 SSE-KMS 您必須授予 GuardDuty 服務連結角色AWSServiceRoleForAmazonGuardDuty許可,才能解密檔案,才能啟用清單。將下列陳述式新增至KMS金鑰政策,並以您自己的 ID 取代帳戶 ID:

{
    "Sid": "AllowGuardDutyServiceRole",
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    },
    "Action": "kms:Decrypt*",
    "Resource": "*"
}

新增和啟用信任 IP 清單或威脅 IP 清單

選擇下列其中一種存取方法,以新增並啟用信任 IP 清單或威脅 IP 清單。

Console
(選用) 步驟 1:擷取URL清單的位置

  1. 在 開啟 Amazon S3 主控台https://console.aws.amazon.com/s3/

  2. 在導覽窗格中,選擇 儲存貯體

  3. 選擇 Amazon S3 儲存貯體名稱,其中包含您要新增的特定清單。

  4. 選擇物件 (清單) 名稱以檢視其詳細資訊。

  5. 屬性索引標籤下,複製此物件的 S3URI

步驟 2:新增信任 IP 清單或威脅清單
重要

依預設,在任何指定的時間點,您只能擁有一個信任 IP 清單。同樣地,您可以有最多六個威脅清單。

  1. 在 開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/

  2. 在導覽窗格中,選擇清單

  3. 清單管理頁面上,選擇新增信任 IP 清單新增威脅清單

  4. 根據您的選擇,將出現一個對話框。執行以下步驟:

    1. 針對清單名稱,輸入清單的名稱。

      清單命名限制 – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (_)。

    2. 針對位置,提供您上傳清單的位置。如果您尚未擁有位置,請參閱Step 1: Fetching location URL of your list

      位置格式 URL

      • https://s3.amazonaws.com/bucket.name/file.txt

      • https://s3-aws-region.amazonaws.com/bucket.name/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • http://bucket.s3-aws-region.amazonaws.com/file.txt

      • s3://bucket.name/file.txt

    3. 選取我同意核取方塊。

    4. 選擇新增清單。依預設,新增清單的狀態非作用中。若要使清單生效,您必須啟用清單。

步驟 3:啟用信任 IP 清單或威脅清單

  1. 在 開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/

  2. 在導覽窗格中,選擇清單

  3. 清單管理頁面上,選取您要啟用的清單。

  4. 選擇動作,然後選擇啟用。最多可能需要 15 分鐘的時間才能生效。

API/CLI
針對信任 IP 清單

  • 執行 C reateIPSet。請務必提供您要為其建立此信任 IP 清單之成員帳戶的 detectorId

    清單命名限制 – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (_)。

    • 或者,您可以執行下列 AWS Command Line Interface 命令來完成此操作,並務必使用您要更新信任 IP 清單之成員帳戶的偵測器 ID 來取代 detector-id

      aws guardduty create-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --format Plaintext --location https://s3.amazonaws.com/amzn-s3-demo-bucket2/DOC-EXAMPLE-SOURCE-FILE.format --activate
針對威脅清單

  • 執行 CreateThreatIntelSet。請務必提供您要為其建立此威脅清單之成員帳戶的 detectorId

    • 或者,您也可以執行下列 AWS Command Line Interface 命令來執行此操作。請務必提供您要為其建立威脅清單之成員帳戶的 detectorId

      aws guardduty create-threat-intel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --format Plaintext --location https://s3.amazonaws.com/amzn-s3-demo-bucket2/DOC-EXAMPLE-SOURCE-FILE.format --activate
注意

啟動或更新任何 IP 清單後,最多 GuardDuty 可能需要 15 分鐘的時間來同步清單。

更新信任 IP 清單和威脅清單

您可以更新清單的名稱,或更新已新增並啟用之清單的新增 IP 地址。如果您更新清單,則必須再次啟用 GuardDuty ,才能使用最新版本的清單。

選擇其中一種存取方法來更新信任 IP 清單或威脅清單。

Console

  1. 在 開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/

  2. 在導覽窗格中,選擇清單

  3. 清單管理頁面上,選取您要更新的信任 IP 集或威脅清單。

  4. 選擇動作,然後選擇編輯

  5. 更新清單對話方塊中,視需要更新資訊。

    清單命名限制 – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (_)。

  6. 選中我同意核取方塊,然後選擇更新清單狀態資料欄中的值將變更為非作用中

  7. 重新啟用更新後的清單

    1. 清單管理頁面上,選取您要再次啟用的清單。

    2. 選擇動作,然後選擇啟用

API/CLI

  1. 執行 UpdateIPSet 更新信任的 IP 清單。

    • 或者,您可以執行下列 AWS CLI 命令來更新信任的 IP 清單,並確保detector-id使用您要更新信任 IP 清單之成員帳戶的偵測器 ID 取代 。

      aws guardduty update-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --ip-set-id d4b94fc952d6912b8f3060768example --activate

  2. 執行 UpdateThreatIntelSet 更新威脅清單

    • 或者,您可以執行下列 AWS CLI 命令來更新威脅清單,並確保detector-id使用您要更新威脅清單之成員帳戶的偵測器 ID 取代 。

      aws guardduty update-threatintel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --threat-intel-set-id d4b94fc952d6912b8f3060768example --activate

停用或刪除信任 IP 清單或威脅清單

選擇要刪除 (使用主控台) 或停用 (使用 API/CLI) 受信任 IP 清單或威脅清單的其中一種存取方法。

Console

  1. 在 開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/

  2. 在導覽窗格中,選擇清單

  3. 清單管理頁面上,選取您要刪除的清單。

  4. 選擇動作,然後選擇刪除

  5. 確認動作,然後選擇刪除。特定清單將不再可用於表格中。

API/CLI
  1. 針對信任 IP 清單

    執行 UpdateIPSet 更新信任的 IP 清單。

    • 或者,您可以執行下列 AWS CLI 命令來更新信任的 IP 清單,並確保detector-id使用您要更新信任 IP 清單之成員帳戶的偵測器 ID 取代 。

      若要尋找detectorId您帳戶和目前區域的 ,請參閱https://console.aws.amazon.com/guardduty/主控台中的設定頁面,或執行 ListDetectors API.

      aws guardduty update-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --ip-set-id d4b94fc952d6912b8f3060768example --no-activate
  2. 針對威脅清單

    執行 UpdateThreatIntelSet 更新威脅清單

    • 或者,您可以執行下列 AWS CLI 命令來更新信任的 IP 清單,並確保detector-id使用您要更新威脅清單之成員帳戶的偵測器 ID 取代 。

      aws guardduty update-threatintel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --threat-intel-set-id d4b94fc952d6912b8f3060768example --no-activate