Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de listas de IP de confianza y listas de amenazas
Amazon GuardDuty supervisa la seguridad de su AWS entorno mediante el análisis y el procesamiento de los registros de flujo de VPC, los registros de AWS CloudTrail eventos y los registros de DNS. Puede personalizar este alcance de monitoreo configurándolo GuardDuty para detener las alertas de IP confiables de sus propias listas de IP confiables y alertar sobre IP maliciosas conocidas de sus propias listas de amenazas.
Las listas de IP de confianza y de amenazas se aplican únicamente al tráfico destinado a direcciones IP direccionables públicamente. Los efectos de una lista se aplican a todos los registros de flujo de la VPC y a CloudTrail las conclusiones, pero no a las conclusiones del DNS.
GuardDuty se puede configurar para usar los siguientes tipos de listas.
- Lista de IP de confianza
-
Las listas de IP de confianza se componen de direcciones IP en las que ha confiado para una comunicación segura con su AWS infraestructura y sus aplicaciones. GuardDuty no genera un registro de flujo de VPC ni encuentra CloudTrail direcciones IP en listas de IP confiables. Puede incluir un máximo de 2000 direcciones IP y rangos de CIDR en una única lista de IP de confianza. Solo puede tener una lista de IP de confianza cargada a la vez por cuenta y región de AWS .
- Lista de IP de amenazas
-
Las listas de amenazas están formadas por direcciones IP malintencionadas conocidas. La inteligencia sobre amenazas de terceros puede ofrecer esta lista, que también se puede crear específicamente para su organización. Además de generar hallazgos debido a una actividad potencialmente sospechosa, GuardDuty también genera hallazgos basados en estas listas de amenazas. Puede incluir un máximo de 250 000 direcciones IP y rangos de CIDR en una sola lista de amenazas. GuardDuty solo genera resultados en función de una actividad que incluya direcciones IP y rangos de CIDR en sus listas de amenazas; los hallazgos no se generan en función de los nombres de dominio. En un momento dado, puede cargar hasta seis listas de amenazas Cuenta de AWS por región.
nota
Si incluye la misma IP en una lista de IP de confianza y una lista de amenazas, la lista de IP de confianza la procesará primero y no generará ningún resultado.
En entornos con varias cuentas, solo los usuarios de cuentas de GuardDuty administrador pueden añadir y gestionar listas de IP fiables y listas de amenazas. Las listas de direcciones IP fiables y las listas de amenazas que carga la cuenta de administrador están sujetas a la GuardDuty funcionalidad de las cuentas de los miembros. En otras palabras, en las cuentas de los miembros GuardDuty genera resultados basados en actividades que involucran direcciones IP maliciosas conocidas de las listas de amenazas de la cuenta de administrador, y no genera hallazgos basados en actividades que involucran direcciones IP de las listas de IP confiables de la cuenta de administrador. Para obtener más información, consulte Administrar varias cuentas en Amazon GuardDuty.
Formatos de las listas
GuardDuty acepta listas en los siguientes formatos.
El tamaño máximo de cada archivo que aloja la lista de IP de confianza o la lista de IP de amenazas es de 35 MB. En las listas de IP de confianza y las listas de IP de amenazas, las direcciones IP y los rangos de CIDR deben aparecer de uno en uno en cada línea. Solo se aceptan direcciones IPv4.
-
Texto sin formato (TXT)
Este formato admite direcciones IP individuales y de bloque de CIDR. En la siguiente lista de ejemplo se utiliza texto sin formato (TXT).
192.0.2.0/24 198.51.100.1 203.0.113.1 -
Structured Threat Information Expression (STIX)
Este formato admite direcciones IP individuales y de bloque de CIDR. En la siguiente lista de ejemplo se utiliza el formato STIX.
<?xml version="1.0" encoding="UTF-8"?> <stix:STIX_Package xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:stix="http://stix.mitre.org/stix-1" xmlns:stixCommon="http://stix.mitre.org/common-1" xmlns:ttp="http://stix.mitre.org/TTP-1" xmlns:cybox="http://cybox.mitre.org/cybox-2" xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2" xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2" xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1" xmlns:example="http://example.com/" xsi:schemaLocation=" http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd" id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16" version="1.2"> <stix:Observables cybox_major_version="1" cybox_minor_version="1"> <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236"> <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab"> <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784"> <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> </stix:Observables> </stix:STIX_Package> -
CSV de Open Threat Exchange (OTX)TM
Este formato admite direcciones IP individuales y de bloque de CIDR. En la siguiente lista de ejemplo se utiliza el formato de CSV de
OTXTM.Indicator type, Indicator, Description CIDR, 192.0.2.0/24, example IPv4, 198.51.100.1, example IPv4, 203.0.113.1, example -
FireEyeTM iSight Threat Intelligence (CSV)
Este formato admite direcciones IP individuales y de bloque de CIDR. En la siguiente lista de ejemplo se utiliza un formato de CSV de
FireEyeTM.reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime 01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400 01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400 01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400 -
CSV de ProofpointTM ET Intelligence Feed
Este formato admite solo direcciones IP individuales. En la siguiente lista de ejemplo se utiliza el formato de CSV de
Proofpoint. El parámetroportses opcional. Si omite el puerto, asegúrese de dejar una coma (,) al final.ip, category, score, first_seen, last_seen, ports (|) 198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80 -
AlienVaultFuente de reputación de TM
Este formato admite solo direcciones IP individuales. En la siguiente lista de ejemplo se utiliza el formato
AlienVault.198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3 203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
Permisos necesarios para cargar listas de IP de confianza y listas de amenazas
Varias identidades de IAM requieren permisos especiales para funcionar con listas de IP confiables y listas de amenazas. GuardDuty Una identidad con la política administrada AmazonGuardDutyFullAccess adjunta solo puede cambiar de nombre y desactivar las listas de IP de confianza y las listas de amenazas cargadas.
Para conceder a diferentes identidades acceso completo para trabajar con listas de IP de confianza y listas de amenazas (además de cambiar de nombre y desactivar estas listas, esto incluye la adición, activación, eliminación y actualización de la ubicación o el nombre de las listas), asegúrese de que las siguientes acciones estén presentes en la política de permisos adjunta a un usuario, grupo o rol:
{ "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }
importante
Estas acciones no se incluyen en la política administrada AmazonGuardDutyFullAccess.
Uso del cifrado del servidor para listas de IP de confianza y listas de amenazas
GuardDuty admite los siguientes tipos de cifrado para las listas: SSE-AES256 y SSE-KMS. No se admite SSE-C. Para obtener más información sobre los tipos de cifrado para S3, consulte Protección de los datos con el cifrado del servidor.
Si su lista está cifrada mediante el cifrado SSE-KMS del lado del servidor, debe conceder al rol GuardDuty AWSServiceRoleForAmazonGuardDutyvinculado al servicio permiso para descifrar el archivo a fin de activar la lista. Agregue la siguiente declaración a la política de claves de KMS y sustituya el ID de cuenta por el suyo:
{ "Sid": "AllowGuardDutyServiceRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }, "Action": "kms:Decrypt*", "Resource": "*" }
Adición y activación de una lista de IP de confianza o una lista de IP de amenazas
Elija uno de los siguientes métodos de acceso para agregar y activar una lista de IP de confianza o una lista de IP de amenazas.
nota
Después de activar o actualizar cualquier lista de IP, la sincronización de la lista GuardDuty puede tardar hasta 15 minutos.
Actualización de las listas de IP de confianza y listas de amenazas
Puede actualizar el nombre de una lista o las direcciones IP agregadas a una lista que ya se haya agregado y activado. Si actualiza una lista, debe volver a activarla GuardDuty para poder utilizar la última versión de la lista.
Elija uno de los métodos de acceso para actualizar una lista de IP de confianza o de amenazas.
Desactivación o eliminación de una lista de IP de confianza o una lista de amenazas
Elija uno de los métodos de acceso para eliminar (mediante la consola) o desactivar (mediante la API o CLI) una lista de IP de confianza o una lista de amenazas.
