Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Arbeiten mit vertrauenswürdigen IP- und Bedrohungslisten
Amazon GuardDuty überwacht die Sicherheit Ihrer AWS Umgebung, indem es VPC Flow Logs, AWS CloudTrail Event Logs und Logs analysiert und DNS verarbeitet. Sie können diesen Überwachungsumfang anpassen, indem Sie so konfigurieren GuardDuty , dass Warnmeldungen für vertrauenswürdige IP-Adressen IPs aus Ihren eigenen Listen für vertrauenswürdige IP-Adressen und Warnungen bei bekannten bösartigen Bedrohungen IPs aus Ihren eigenen Bedrohungslisten gestoppt werden.
Vertrauenswürdige IP-Adressen-Listen und Bedrohungslisten gelten nur für Datenverkehr, der an öffentlich routingfähige IP-Adressen geleitet wird. Die Auswirkungen einer Liste gelten für alle VPC Flow-Protokolle und CloudTrail Ergebnisse, gelten jedoch nicht für DNS Ergebnisse.
GuardDuty kann so konfiguriert werden, dass die folgenden Listentypen verwendet werden.
- Liste vertrauenswürdiger IPs
-
Listen vertrauenswürdiger IP-Adressen bestehen aus IP-Adressen, denen Sie für die sichere Kommunikation mit Ihrer AWS Infrastruktur und Ihren Anwendungen vertraut haben. GuardDuty generiert kein VPC Datenflussprotokoll oder keine CloudTrail Ergebnisse für IP-Adressen auf vertrauenswürdigen IP-Listen. Sie können maximal 2000 IP-Adressen und CIDR Bereiche in eine einzige Liste vertrauenswürdiger IP-Adressen aufnehmen. Es kann immer nur eine Liste vertrauenswürdiger IPs pro AWS -Konto pro Region hochgeladen werden.
- Liste der bedrohlichen IP-Adressen
-
Bedrohungslisten enthalten bekannte schädliche IP-Adressen. Diese Liste kann von Bedrohungsdaten von Drittanbietern stammen oder speziell für Ihr Unternehmen erstellt werden. Neben der Generierung von Ergebnissen aufgrund einer potenziell verdächtigen Aktivität werden GuardDuty auch Ergebnisse generiert, die auf diesen Bedrohungslisten basieren. Sie können maximal 250.000 IP-Adressen und CIDR Bereiche in eine einzige Bedrohungsliste aufnehmen. GuardDuty generiert nur Ergebnisse auf der Grundlage einer Aktivität, die IP-Adressen und CIDR Bereiche in Ihren Bedrohungslisten einbezieht. Die Ergebnisse werden nicht auf der Grundlage der Domainnamen generiert. Zu jedem Zeitpunkt können Sie AWS-Konto pro Region bis zu sechs hochgeladene Bedrohungslisten hochladen.
Anmerkung
Wenn Sie dieselbe IP-Adresse sowohl in eine Liste vertrauenswürdiger IP-Adressen als auch in eine Bedrohungsliste aufnehmen, wird sie zuerst von der Liste vertrauenswürdiger IP-Adressen verarbeitet und es wird keine Erkenntnis generiert.
In Umgebungen mit mehreren Konten können nur Benutzer mit GuardDuty Administratorkonten vertrauenswürdige IP-Adressen und Bedrohungslisten hinzufügen und verwalten. Listen vertrauenswürdiger IP-Adressen und Bedrohungslisten, die vom Administratorkonto hochgeladen werden, wirken sich negativ auf die GuardDuty Funktionalität der Mitgliedskonten aus. Mit anderen Worten: Bei Mitgliedskonten werden Ergebnisse auf der Grundlage von Aktivitäten GuardDuty generiert, bei denen es sich um bekannte bösartige IP-Adressen aus den Bedrohungslisten des Administratorkontos handelt, und es werden keine Ergebnisse generiert, die auf Aktivitäten basieren, die IP-Adressen aus den vertrauenswürdigen IP-Listen des Administratorkontos betreffen. Weitere Informationen finden Sie unter Mehrere Konten bei Amazon GuardDuty.
Listenformate
GuardDuty akzeptiert Listen in den folgenden Formaten.
Die maximale Größe der Datei, die die Liste zuverlässiger IPs oder die Bedrohungsliste hostet, ist 35 MB. In Ihren Listen für vertrauenswürdige IP-Adressen und Bedrohungslisten müssen IP-Adressen und CIDR Bereiche jeweils eine pro Zeile erscheinen. Es werden nur IPv4 Adressen akzeptiert.
-
Klartext () TXT
Dieses Format unterstützt sowohl CIDR Block- als auch einzelne IP-Adressen. Die folgende Beispielliste verwendet das Plaintext (TXT) -Format.
192.0.2.0/24 198.51.100.1 203.0.113.1
-
Strukturierter Ausdruck von Bedrohungsinformationen () STIX
Dieses Format unterstützt sowohl CIDR Block- als auch einzelne IP-Adressen. In der folgenden Beispielliste wird das STIX Format verwendet.
<?xml version="1.0" encoding="UTF-8"?> <stix:STIX_Package xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:stix="http://stix.mitre.org/stix-1" xmlns:stixCommon="http://stix.mitre.org/common-1" xmlns:ttp="http://stix.mitre.org/TTP-1" xmlns:cybox="http://cybox.mitre.org/cybox-2" xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2" xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2" xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1" xmlns:example="http://example.com/" xsi:schemaLocation=" http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd" id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16" version="1.2"> <stix:Observables cybox_major_version="1" cybox_minor_version="1"> <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236"> <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab"> <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784"> <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> </stix:Observables> </stix:STIX_Package>
-
Öffnen Sie Threat Exchange (OTX) TM CSV
Dieses Format unterstützt sowohl CIDR Block- als auch einzelne IP-Adressen. In der folgenden Beispielliste wird das
OTXTM
CSV Format verwendet.Indicator type, Indicator, Description CIDR, 192.0.2.0/24, example IPv4, 198.51.100.1, example IPv4, 203.0.113.1, example
-
FireEyeTM steht SIGHT für Threat Intelligence CSV
Dieses Format unterstützt sowohl CIDR Block- als auch einzelne IP-Adressen. Die folgende Beispielliste verwendet ein
FireEyeTM
CSV Format.reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime 01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400 01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400 01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
-
Proofpoint TM ET Intelligence Feed CSV
Dieses Format unterstützt ausschließlich individuelle IP-Adressen. Die folgende Beispielliste verwendet das
Proofpoint
CSV Format. Der Parameterports
ist optional. Wenn Sie den Port überspringen, achten Sie darauf, am Ende ein Komma (,) zu hinterlassen.ip, category, score, first_seen, last_seen, ports (|) 198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
-
AlienVaultTM Reputation Feed
Dieses Format unterstützt ausschließlich individuelle IP-Adressen. Die folgende Beispielliste verwendet das
AlienVault
-Format.198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3 203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
Erforderliche Berechtigungen für das Hochladen von Listen mit vertrauenswürdigen IPs und Bedrohungslisten
Verschiedene IAM Identitäten erfordern spezielle Berechtigungen, um mit vertrauenswürdigen IP-Listen und Bedrohungslisten in GuardDuty arbeiten zu können. Eine Identität, der die verwaltete Richtlinie AmazonGuardDutyFullAccess angefügt ist, kann nur hochgeladene Listen mit vertrauenswürdigen IPs und Bedrohungslisten umbenennen und deaktivieren.
Um verschiedenen Identitäten vollen Zugriff auf die Arbeit mit vertrauenswürdigen IP-Listen und Bedrohungslisten zu erteilen (dies umfasst neben dem Umbenennen und Deaktivieren auch das Hinzufügen, Aktivieren, Löschen und Aktualisieren des Speicherorts oder der Namen der Listen), stellen Sie sicher, dass die folgenden Aktionen in der einem Benutzer, einer Gruppe oder einer Rolle zugewiesenen Berechtigungsrichtlinie vorhanden sind:
{ "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::
555555555555
:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }
Wichtig
Diese Aktionen sind nicht in der verwalteten Richtlinie AmazonGuardDutyFullAccess
enthalten.
Verwenden der serverseitigen Verschlüsselung für Listen vertrauenswürdiger IPs und Bedrohungslisten
GuardDuty unterstützt die folgenden Verschlüsselungstypen für Listen: SSE - AES256 und SSE -KMS. SSE-C wird nicht unterstützt. Weitere Informationen zu Verschlüsselungstypen für S3 finden Sie unter Schützen von Daten mit serverseitiger Verschlüsselung.
Wenn Ihre Liste serverseitig verschlüsselt ist, müssen SSE KMS Sie der GuardDuty dienstbezogenen Rolle die AWSServiceRoleForAmazonGuardDutyBerechtigung zum Entschlüsseln der Datei erteilen, um die Liste zu aktivieren. Fügen Sie der KMS Schlüsselrichtlinie die folgende Aussage hinzu und ersetzen Sie die Konto-ID durch Ihre eigene:
{ "Sid": "AllowGuardDutyServiceRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
123456789123
:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }, "Action": "kms:Decrypt*", "Resource": "*" }
Hinzufügen und Aktivieren einer vertrauenswürdigen IP-Liste oder einer Bedrohungs-IP-Liste
Wählen Sie eine der folgenden Zugriffsmethoden, um eine vertrauenswürdige IP-Liste oder eine Bedrohungs-IP-Liste hinzuzufügen und zu aktivieren.
Anmerkung
Nachdem Sie eine IP-Liste aktiviert oder aktualisiert haben, GuardDuty kann es bis zu 15 Minuten dauern, bis die Liste synchronisiert ist.
Aktualisieren von Listen zuverlässiger IPs und Bedrohungslisten
Sie können den Namen einer Liste oder die IP-Adressen aktualisieren, die einer Liste hinzugefügt wurden, die bereits hinzugefügt und aktiviert wurde. Wenn Sie eine Liste aktualisieren, müssen Sie sie erneut aktivieren, GuardDuty um die neueste Version der Liste verwenden zu können.
Wählen Sie eine der Zugriffsmethoden, um eine vertrauenswürdige IP oder Bedrohungsliste zu aktualisieren.
Deaktivieren oder Löschen einer vertrauenswürdigen IP- oder Bedrohungsliste
Wählen Sie eine der Zugriffsmethoden, um eine Liste vertrauenswürdiger IP-Adressen oder Bedrohungen zu löschen (mithilfe der KonsoleCLI) oder zu deaktivieren (mithilfe vonAPI/).