Uso de listas de IP de confianza y listas de amenazas - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de listas de IP de confianza y listas de amenazas

Amazon GuardDuty supervisa la seguridad de su AWS entorno mediante el análisis y el procesamiento de registros de VPC flujo, registros de AWS CloudTrail eventos y DNS registros. Puede personalizar este alcance de monitoreo configurándolo GuardDuty para detener las alertas de confianza IPs de sus propias listas de IP de confianza y alertar sobre amenazas conocidas como maliciosas IPs de sus propias listas de amenazas.

Las listas de IP de confianza y de amenazas se aplican únicamente al tráfico destinado a direcciones IP direccionables públicamente. Los efectos de una lista se aplican a todos los registros de VPC flujo y a las CloudTrail conclusiones, pero no a las DNS conclusiones.

GuardDuty se puede configurar para usar los siguientes tipos de listas.

Lista de IP de confianza

Las listas de IP de confianza se componen de direcciones IP en las que ha confiado para una comunicación segura con su AWS infraestructura y sus aplicaciones. GuardDuty no genera registros VPC de flujo ni CloudTrail encuentra direcciones IP en listas de IP confiables. Puede incluir un máximo de 2000 direcciones IP y CIDR rangos en una sola lista de IP de confianza. Solo puede tener una lista de IP de confianza cargada a la vez por cuenta y región de AWS .

Lista de IP de amenazas

Las listas de amenazas están formadas por direcciones IP malintencionadas conocidas. La inteligencia sobre amenazas de terceros puede ofrecer esta lista, que también se puede crear específicamente para su organización. Además de generar hallazgos debido a una actividad potencialmente sospechosa, GuardDuty también genera hallazgos basados en estas listas de amenazas. Puede incluir un máximo de 250 000 direcciones IP y CIDR rangos en una sola lista de amenazas. GuardDuty solo genera resultados en función de una actividad que incluya direcciones IP y CIDR rangos en sus listas de amenazas; los hallazgos no se generan en función de los nombres de dominio. En un momento dado, puede cargar hasta seis listas de amenazas Cuenta de AWS por región.

nota

Si incluye la misma IP en una lista de IP de confianza y una lista de amenazas, la lista de IP de confianza la procesará primero y no generará ningún resultado.

En entornos con varias cuentas, solo los usuarios de cuentas de GuardDuty administrador pueden añadir y gestionar listas de IP fiables y listas de amenazas. Las listas de direcciones IP fiables y las listas de amenazas que carga la cuenta de administrador están sujetas a la GuardDuty funcionalidad de las cuentas de los miembros. En otras palabras, en las cuentas de los miembros GuardDuty genera resultados basados en actividades que involucran direcciones IP maliciosas conocidas de las listas de amenazas de la cuenta de administrador, y no genera hallazgos basados en actividades que involucran direcciones IP de las listas de IP confiables de la cuenta de administrador. Para obtener más información, consulte Administrar varias cuentas en Amazon GuardDuty.

Formatos de las listas

GuardDuty acepta listas en los siguientes formatos.

El tamaño máximo de cada archivo que aloja la lista de IP de confianza o la lista de IP de amenazas es de 35 MB. En sus listas de IP confiables y listas de IP de amenazas, las direcciones IP y los CIDR rangos deben aparecer uno por línea. Solo se aceptan IPv4 direcciones.

  • Texto sin formato () TXT

    Este formato admite direcciones IP individuales y en CIDR bloque. La siguiente lista de ejemplos utiliza el formato Plaintext (TXT).

    192.0.2.0/24 198.51.100.1 203.0.113.1
  • Expresión estructurada de información sobre amenazas () STIX

    Este formato admite direcciones IP individuales y en CIDR bloque. En la siguiente lista de ejemplos se utiliza STIX este formato.

    <?xml version="1.0" encoding="UTF-8"?> <stix:STIX_Package xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:stix="http://stix.mitre.org/stix-1" xmlns:stixCommon="http://stix.mitre.org/common-1" xmlns:ttp="http://stix.mitre.org/TTP-1" xmlns:cybox="http://cybox.mitre.org/cybox-2" xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2" xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2" xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1" xmlns:example="http://example.com/" xsi:schemaLocation=" http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd" id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16" version="1.2"> <stix:Observables cybox_major_version="1" cybox_minor_version="1"> <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236"> <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab"> <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784"> <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> </stix:Observables> </stix:STIX_Package>
  • Open Threat Exchange (OTX) TM CSV

    Este formato admite direcciones IP individuales y en CIDR bloque. En la siguiente lista de ejemplos se utiliza OTXTM CSV este formato.

    Indicator type, Indicator, Description CIDR, 192.0.2.0/24, example IPv4, 198.51.100.1, example IPv4, 203.0.113.1, example
  • FireEyeTM es inteligencia de SIGHT amenazas CSV

    Este formato admite direcciones IP individuales y en CIDR bloque. En la siguiente lista de ejemplos se utiliza un FireEyeTM CSV formato.

    reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime 01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400 01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400 01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
  • Fuente de inteligencia de Proofpoint TM ET CSV

    Este formato admite solo direcciones IP individuales. En la siguiente lista de ejemplos se utiliza este Proofpoint CSV formato. El parámetro ports es opcional. Si omite el puerto, asegúrese de dejar una coma (,) al final.

    ip, category, score, first_seen, last_seen, ports (|) 198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
  • AlienVaultFuente de reputación de TM

    Este formato admite solo direcciones IP individuales. En la siguiente lista de ejemplo se utiliza el formato AlienVault.

    198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3 203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3

Permisos necesarios para cargar listas de IP de confianza y listas de amenazas

Varias IAM identidades requieren permisos especiales para funcionar con listas de IP confiables y listas de amenazas GuardDuty. Una identidad con la política administrada AmazonGuardDutyFullAccess adjunta solo puede cambiar de nombre y desactivar las listas de IP de confianza y las listas de amenazas cargadas.

Para conceder a diferentes identidades acceso completo para trabajar con listas de IP de confianza y listas de amenazas (además de cambiar de nombre y desactivar estas listas, esto incluye la adición, activación, eliminación y actualización de la ubicación o el nombre de las listas), asegúrese de que las siguientes acciones estén presentes en la política de permisos adjunta a un usuario, grupo o rol:

{ "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }
importante

Estas acciones no se incluyen en la política administrada AmazonGuardDutyFullAccess.

Uso del cifrado del servidor para listas de IP de confianza y listas de amenazas

GuardDuty admite los siguientes tipos de cifrado para las listas: SSE - AES256 y SSE -KMS. SSE-C no es compatible. Para obtener más información sobre los tipos de cifrado para S3, consulte Protección de los datos con el cifrado del servidor.

Si su lista está cifrada mediante el cifrado del lado del servidorSSE, KMS debe conceder al rol GuardDuty vinculado al servicio AWSServiceRoleForAmazonGuardDutypermiso para descifrar el archivo a fin de activar la lista. Añada la siguiente declaración a la política de KMS claves y sustituya el ID de cuenta por el suyo propio:

{ "Sid": "AllowGuardDutyServiceRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }, "Action": "kms:Decrypt*", "Resource": "*" }

Adición y activación de una lista de IP de confianza o una lista de IP de amenazas

Elija uno de los siguientes métodos de acceso para agregar y activar una lista de IP de confianza o una lista de IP de amenazas.

Console
Paso 1 (opcional): buscar la ubicación URL de tu lista
  1. Abra la consola Amazon S3 en https://console.aws.amazon.com/s3/.

  2. En el panel de navegación, elija Buckets.

  3. Elija el nombre del bucket de Amazon S3 que contiene la lista específica que desea agregar.

  4. Elija el nombre del objeto (lista) para consultar sus detalles.

  5. En la pestaña Propiedades, copie el S3 URI de este objeto.

Paso 2: agregación de una lista de IP de confianza o una lista de amenazas
importante

De forma predeterminada, solo puede tener una lista de IP de confianza a la vez. Del mismo modo, puede tener hasta seis listas de amenazas.

  1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación, elija Listas.

  3. En la página List management, seleccione Add a trusted IP list o Add a threat list.

  4. En función de su selección, aparecerá un cuadro de diálogo. Siga estos pasos:

    1. En Nombre de la lista, ingrese un nombre para la lista.

      Restricciones de nomenclatura de listas: el nombre de la lista puede incluir letras minúsculas, mayúsculas, números, guiones (-) y guiones bajos (_).

    2. En Ubicación, indique la ubicación en la que ha cargado la lista. Si aún no la tiene, consulte Step 1: Fetching location URL of your list.

      Formato de ubicación URL
      • https://s3.amazonaws.com/bucket.name/file.txt

      • https://s3-aws-region.amazonaws.com/bucket.name/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • http://bucket.s3-aws-region.amazonaws.com/file.txt

      • s3://bucket.name/file.txt

    3. Active la casilla I agree.

    4. Elija Add list. De forma predeterminada, el estado de la lista agregada es Inactivo. Para que la lista sea efectiva, debe activarla.

Paso 3: activar una lista de IP de confianza o una lista de amenazas
  1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación, elija Listas.

  3. En la página Administración de listas, seleccione la lista que desee activar.

  4. Elija Acciones y, a continuación, elija Activar. La lista puede tardar hasta 15 minutos en ser efectiva.

API/CLI
En el caso de las listas de IP de confianza
  • Ejecute reateIPSetC. Asegúrese de proporcionar el valor de detectorId de la cuenta de miembro para la que desea crear esta lista de IP de confianza.

    Restricciones de nomenclatura de listas: el nombre de la lista puede incluir letras minúsculas, mayúsculas, números, guiones (-) y guiones bajos (_).

    • Como alternativa, puede ejecutar el siguiente comando de la AWS Command Line Interface y asegurarse de sustituir detector-id por el ID de detector de la cuenta de miembro para la que actualizará la lista de IP de confianza.

      aws guardduty create-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --format Plaintext --location https://s3.amazonaws.com/amzn-s3-demo-bucket2/DOC-EXAMPLE-SOURCE-FILE.format --activate
En el caso de las listas de amenazas
  • Corre. CreateThreatIntelSet Asegúrese de proporcionar el valor de detectorId de la cuenta de miembro para la que desea crear esta lista de amenazas.

    • Como alternativa, puede hacerlo ejecutando el siguiente AWS Command Line Interface comando. Asegúrese de proporcionar el valor de detectorId de la cuenta de miembro para la que desea crear una lista de amenazas.

      aws guardduty create-threat-intel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --format Plaintext --location https://s3.amazonaws.com/amzn-s3-demo-bucket2/DOC-EXAMPLE-SOURCE-FILE.format --activate
nota

Tras activar o actualizar cualquier lista de IP, la sincronización de la lista GuardDuty puede tardar hasta 15 minutos.

Actualización de las listas de IP de confianza y listas de amenazas

Puede actualizar el nombre de una lista o las direcciones IP agregadas a una lista que ya se haya agregado y activado. Si actualiza una lista, debe volver a activarla GuardDuty para poder utilizar la última versión de la lista.

Elija uno de los métodos de acceso para actualizar una lista de IP de confianza o de amenazas.

Console
  1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación, elija Listas.

  3. En la página Administración de listas, seleccione el conjunto de IP de confianza o una lista de amenazas que desee actualizar.

  4. Seleccione Acciones y, a continuación, Editar.

  5. En el cuadro de diálogo Actualizar lista, actualice la información según sea necesario.

    Restricciones de nomenclatura de listas: el nombre de la lista puede incluir letras minúsculas, mayúsculas, números, guiones (-) y guiones bajos (_).

  6. Marque la casilla Estoy de acuerdo y, a continuación, elija Actualizar lista. El valor de la columna Estado cambiará a Inactivo.

  7. Reactivación de la lista actualizada
    1. En la página Administración de listas, seleccione la lista que desee volver a activar.

    2. Elija Acciones y, a continuación, elija Activar.

API/CLI
  1. Ejecute UpdateIPSet para actualizar una lista de IP de confianza.

    • Como alternativa, puede ejecutar el siguiente comando de la AWS CLI para actualizar una lista de IP de confianza; asegúrese de sustituir detector-id por el ID de detector de la cuenta de miembro para la que actualizará la lista de IP de confianza.

      aws guardduty update-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --ip-set-id d4b94fc952d6912b8f3060768example --activate
  2. Ejecute UpdateThreatIntelSet para actualizar una lista de amenazas.

    • Como alternativa, puede ejecutar el siguiente comando de la AWS CLI para actualizar una lista de amenazas; asegúrese de sustituir detector-id por el ID de detector de la cuenta de miembro para la que actualizará la lista de amenazas.

      aws guardduty update-threatintel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --threat-intel-set-id d4b94fc952d6912b8f3060768example --activate

Desactivación o eliminación de una lista de IP de confianza o una lista de amenazas

Elija uno de los métodos de acceso para eliminar (mediante la consola) o desactivar (medianteAPI/CLI) una lista de direcciones IP de confianza o una lista de amenazas.

Console
  1. Abra la GuardDuty consola en. https://console.aws.amazon.com/guardduty/

  2. En el panel de navegación, elija Listas.

  3. En la página Administración de listas, seleccione la lista que desee eliminar.

  4. Elija Acciones y, a continuación, elija Eliminar.

  5. Confirme la acción y elija Eliminar. La lista específica ya no estará disponible en la tabla.

API/CLI
  1. En el caso de una lista de IP de confianza

    Ejecute UpdateIPSet para actualizar una lista de IP de confianza.

    • Como alternativa, puede ejecutar el siguiente comando de la AWS CLI para actualizar una lista de IP de confianza; asegúrese de sustituir detector-id por el ID de detector de la cuenta de miembro para la que actualizará la lista de IP de confianza.

      Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la ListDetectorsAPI.

      aws guardduty update-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --ip-set-id d4b94fc952d6912b8f3060768example --no-activate
  2. En el caso de una lista de amenazas

    Ejecute UpdateThreatIntelSet para actualizar una lista de amenazas.

    • Como alternativa, puede ejecutar el siguiente comando de la AWS CLI para actualizar una lista de IP de confianza; asegúrese de sustituir detector-id por el ID de detector de la cuenta de miembro para la que actualizará la lista de amenazas.

      aws guardduty update-threatintel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --threat-intel-set-id d4b94fc952d6912b8f3060768example --no-activate