Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de listas de IP de confianza y listas de amenazas
Amazon GuardDuty supervisa la seguridad de su AWS entorno mediante el análisis y el procesamiento de registros de VPC flujo, registros de AWS CloudTrail eventos y DNS registros. Puede personalizar este alcance de monitoreo configurándolo GuardDuty para detener las alertas de confianza IPs de sus propias listas de IP de confianza y alertar sobre amenazas conocidas como maliciosas IPs de sus propias listas de amenazas.
Las listas de IP de confianza y de amenazas se aplican únicamente al tráfico destinado a direcciones IP direccionables públicamente. Los efectos de una lista se aplican a todos los registros de VPC flujo y a las CloudTrail conclusiones, pero no a las DNS conclusiones.
GuardDuty se puede configurar para usar los siguientes tipos de listas.
- Lista de IP de confianza
-
Las listas de IP de confianza se componen de direcciones IP en las que ha confiado para una comunicación segura con su AWS infraestructura y sus aplicaciones. GuardDuty no genera registros VPC de flujo ni CloudTrail encuentra direcciones IP en listas de IP confiables. Puede incluir un máximo de 2000 direcciones IP y CIDR rangos en una sola lista de IP de confianza. Solo puede tener una lista de IP de confianza cargada a la vez por cuenta y región de AWS .
- Lista de IP de amenazas
-
Las listas de amenazas están formadas por direcciones IP malintencionadas conocidas. La inteligencia sobre amenazas de terceros puede ofrecer esta lista, que también se puede crear específicamente para su organización. Además de generar hallazgos debido a una actividad potencialmente sospechosa, GuardDuty también genera hallazgos basados en estas listas de amenazas. Puede incluir un máximo de 250 000 direcciones IP y CIDR rangos en una sola lista de amenazas. GuardDuty solo genera resultados en función de una actividad que incluya direcciones IP y CIDR rangos en sus listas de amenazas; los hallazgos no se generan en función de los nombres de dominio. En un momento dado, puede cargar hasta seis listas de amenazas Cuenta de AWS por región.
nota
Si incluye la misma IP en una lista de IP de confianza y una lista de amenazas, la lista de IP de confianza la procesará primero y no generará ningún resultado.
En entornos con varias cuentas, solo los usuarios de cuentas de GuardDuty administrador pueden añadir y gestionar listas de IP fiables y listas de amenazas. Las listas de direcciones IP fiables y las listas de amenazas que carga la cuenta de administrador están sujetas a la GuardDuty funcionalidad de las cuentas de los miembros. En otras palabras, en las cuentas de los miembros GuardDuty genera resultados basados en actividades que involucran direcciones IP maliciosas conocidas de las listas de amenazas de la cuenta de administrador, y no genera hallazgos basados en actividades que involucran direcciones IP de las listas de IP confiables de la cuenta de administrador. Para obtener más información, consulte Administrar varias cuentas en Amazon GuardDuty.
Formatos de las listas
GuardDuty acepta listas en los siguientes formatos.
El tamaño máximo de cada archivo que aloja la lista de IP de confianza o la lista de IP de amenazas es de 35 MB. En sus listas de IP confiables y listas de IP de amenazas, las direcciones IP y los CIDR rangos deben aparecer uno por línea. Solo se aceptan IPv4 direcciones.
-
Texto sin formato () TXT
Este formato admite direcciones IP individuales y en CIDR bloque. La siguiente lista de ejemplos utiliza el formato Plaintext (TXT).
192.0.2.0/24 198.51.100.1 203.0.113.1
-
Expresión estructurada de información sobre amenazas () STIX
Este formato admite direcciones IP individuales y en CIDR bloque. En la siguiente lista de ejemplos se utiliza STIX este formato.
<?xml version="1.0" encoding="UTF-8"?> <stix:STIX_Package xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:stix="http://stix.mitre.org/stix-1" xmlns:stixCommon="http://stix.mitre.org/common-1" xmlns:ttp="http://stix.mitre.org/TTP-1" xmlns:cybox="http://cybox.mitre.org/cybox-2" xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2" xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2" xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1" xmlns:example="http://example.com/" xsi:schemaLocation=" http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd" id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16" version="1.2"> <stix:Observables cybox_major_version="1" cybox_minor_version="1"> <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236"> <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab"> <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784"> <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> </stix:Observables> </stix:STIX_Package>
-
Open Threat Exchange (OTX) TM CSV
Este formato admite direcciones IP individuales y en CIDR bloque. En la siguiente lista de ejemplos se utiliza
OTXTM
CSV este formato.Indicator type, Indicator, Description CIDR, 192.0.2.0/24, example IPv4, 198.51.100.1, example IPv4, 203.0.113.1, example
-
FireEyeTM es inteligencia de SIGHT amenazas CSV
Este formato admite direcciones IP individuales y en CIDR bloque. En la siguiente lista de ejemplos se utiliza un
FireEyeTM
CSV formato.reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime 01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400 01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400 01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
-
Fuente de inteligencia de Proofpoint TM ET CSV
Este formato admite solo direcciones IP individuales. En la siguiente lista de ejemplos se utiliza este
Proofpoint
CSV formato. El parámetroports
es opcional. Si omite el puerto, asegúrese de dejar una coma (,) al final.ip, category, score, first_seen, last_seen, ports (|) 198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
-
AlienVaultFuente de reputación de TM
Este formato admite solo direcciones IP individuales. En la siguiente lista de ejemplo se utiliza el formato
AlienVault
.198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3 203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
Permisos necesarios para cargar listas de IP de confianza y listas de amenazas
Varias IAM identidades requieren permisos especiales para funcionar con listas de IP confiables y listas de amenazas GuardDuty. Una identidad con la política administrada AmazonGuardDutyFullAccess adjunta solo puede cambiar de nombre y desactivar las listas de IP de confianza y las listas de amenazas cargadas.
Para conceder a diferentes identidades acceso completo para trabajar con listas de IP de confianza y listas de amenazas (además de cambiar de nombre y desactivar estas listas, esto incluye la adición, activación, eliminación y actualización de la ubicación o el nombre de las listas), asegúrese de que las siguientes acciones estén presentes en la política de permisos adjunta a un usuario, grupo o rol:
{ "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::
555555555555
:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }
importante
Estas acciones no se incluyen en la política administrada AmazonGuardDutyFullAccess
.
Uso del cifrado del servidor para listas de IP de confianza y listas de amenazas
GuardDuty admite los siguientes tipos de cifrado para las listas: SSE - AES256 y SSE -KMS. SSE-C no es compatible. Para obtener más información sobre los tipos de cifrado para S3, consulte Protección de los datos con el cifrado del servidor.
Si su lista está cifrada mediante el cifrado del lado del servidorSSE, KMS debe conceder al rol GuardDuty vinculado al servicio AWSServiceRoleForAmazonGuardDutypermiso para descifrar el archivo a fin de activar la lista. Añada la siguiente declaración a la política de KMS claves y sustituya el ID de cuenta por el suyo propio:
{ "Sid": "AllowGuardDutyServiceRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
123456789123
:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }, "Action": "kms:Decrypt*", "Resource": "*" }
Adición y activación de una lista de IP de confianza o una lista de IP de amenazas
Elija uno de los siguientes métodos de acceso para agregar y activar una lista de IP de confianza o una lista de IP de amenazas.
nota
Tras activar o actualizar cualquier lista de IP, la sincronización de la lista GuardDuty puede tardar hasta 15 minutos.
Actualización de las listas de IP de confianza y listas de amenazas
Puede actualizar el nombre de una lista o las direcciones IP agregadas a una lista que ya se haya agregado y activado. Si actualiza una lista, debe volver a activarla GuardDuty para poder utilizar la última versión de la lista.
Elija uno de los métodos de acceso para actualizar una lista de IP de confianza o de amenazas.
Desactivación o eliminación de una lista de IP de confianza o una lista de amenazas
Elija uno de los métodos de acceso para eliminar (mediante la consola) o desactivar (medianteAPI/CLI) una lista de direcciones IP de confianza o una lista de amenazas.