Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Personnalisation de la détection des menaces à l'aide de listes d'entités et de listes d'adresses IP
Amazon GuardDuty surveille la sécurité de votre AWS environnement en analysant et en traitant les journaux de flux VPC, les journaux d' AWS CloudTrail événements et les journaux DNS. En activant un ou plusieurs plans de GuardDuty protection axés sur les cas d'utilisation (saufSurveillance d'exécution, vous pouvez étendre les fonctionnalités de surveillance qu'ils contiennent). GuardDuty
Grâce aux listes, GuardDuty vous pouvez personnaliser l'étendue de la détection des menaces dans votre environnement. Vous pouvez configurer GuardDuty pour arrêter de générer des résultats à partir de vos sources fiables et générer des résultats pour des sources malveillantes connues à partir de vos listes de menaces. GuardDuty continue de prendre en charge les anciennes listes d'adresses IP et étend la prise en charge aux listes d'entités (recommandé) qui peuvent contenir des adresses IP, des domaines ou les deux.
Rubriques
Comprendre les listes d'entités et les listes d'adresses IP
GuardDuty propose deux approches de mise en œuvre : les listes d'entités (recommandées) et les listes d'adresses IP. Les deux approches vous aident à définir les sources fiables, qui cessent GuardDuty de générer des résultats, et les menaces connues, qui sont GuardDuty utilisées pour générer des résultats.
Les listes d'entités prennent en charge à la fois les adresses IP et les noms de domaine. Ils utilisent un accès direct à Amazon Simple Storage Service (Amazon S3) avec une seule autorisation IAM qui n'a aucune incidence sur les limites de taille des politiques IAM dans plusieurs régions.
Les listes IP ne prennent en charge que les adresses IP et leur utilisation GuardDuty rôle lié à un service (SLR) (SLR), ce qui nécessite des mises à jour des politiques IAM par région, ce qui peut avoir une incidence sur les limites de taille des politiques IAM.
Les listes fiables (listes d'entités et listes d'adresses IP) incluent des entrées auxquelles vous faites confiance pour une communication sécurisée avec votre AWS infrastructure. GuardDuty ne génère pas de résultats pour les entrées répertoriées dans des sources fiables. À tout moment, vous ne pouvez ajouter qu'une seule liste d'entités de confiance et une seule liste d'adresses IP de confiance Compte AWS par région.
Les listes de menaces (listes d'entités et listes d'adresses IP) incluent des entrées que vous avez identifiées comme des sources malveillantes connues. Lorsqu'il GuardDuty détecte une activité impliquant ces sources, il génère des résultats pour vous avertir de problèmes de sécurité potentiels. Vous pouvez créer vos propres listes de menaces ou intégrer des flux de renseignements tiers sur les menaces. Cette liste peut être fournie par des renseignements tiers sur les menaces ou créée spécifiquement pour votre organisation. En plus de générer des résultats en raison d'une activité potentiellement suspecte, il génère GuardDuty également des résultats basés sur une activité impliquant des entrées de vos listes de menaces. À tout moment, vous pouvez télécharger jusqu'à six listes d'entités menaçantes et listes d'adresses IP de menaces Compte AWS par région.
Note
Pour migrer des listes d'adresses IP vers les listes d'entitésConditions requises pour les listes d'entités, suivez, puis ajoutez et activez la liste d'entités requise. Ensuite, vous pouvez choisir de désactiver ou de supprimer la liste d'adresses IP correspondante.
Considérations importantes relatives aux GuardDuty listes
Avant de commencer à travailler avec des listes, prenez connaissance des points suivants :
-
Les listes d'adresses IP et les listes d'entités s'appliquent uniquement au trafic destiné aux adresses IP et aux domaines routables publiquement.
-
Dans une liste d'entités, les entrées s'appliquent aux CloudTrail journaux de flux VPC dans Amazon VPC et aux résultats des journaux de requêtes DNS de Route53 Resolver.
Dans une liste d'adresses IP, les entrées s'appliquent aux CloudTrail journaux de flux VPC contenus dans les résultats d'Amazon VPC, mais pas aux résultats des journaux de requêtes DNS de Route53 Resolver.
-
Si vous incluez la même adresse IP ou le même domaine à la fois dans les listes de confiance et de menaces, cette entrée de la liste de confiance aura la priorité. GuardDuty ne générera pas de résultat s'il existe une activité associée à cette entrée.
-
Dans un environnement multi-comptes, seul le compte GuardDuty administrateur peut gérer les listes. Ce paramètre s'applique automatiquement aux comptes des membres. GuardDuty génère des résultats basés sur une activité impliquant des adresses IP (et des domaines) malveillants connus provenant des sources de menace du compte administrateur, et ne génère pas de résultats basés sur une activité impliquant des adresses IP (et des domaines) provenant des sources fiables du compte administrateur. Pour de plus amples informations, veuillez consulter Plusieurs comptes sur Amazon GuardDuty.
-
Seules IPv4 les adresses sont acceptées. IPv6 les adresses ne sont pas prises en charge.
-
Une fois que vous avez activé, désactivé ou supprimé une liste d'entités ou une liste d'adresses IP, le processus devrait être terminé dans les 15 minutes. Dans certains scénarios, l'exécution de ce processus peut prendre jusqu'à 40 minutes.
-
GuardDuty utilise une liste pour détecter les menaces uniquement lorsque le statut de la liste devient Actif.
-
Chaque fois que vous ajoutez ou mettez à jour une entrée dans l'emplacement du compartiment S3 de la liste, vous devez réactiver la liste. Pour de plus amples informations, veuillez consulter Mettre à jour une liste d'entités ou une liste d'adresses IP.
-
Les listes d'entités et les adresses IP ont des quotas différents. Pour de plus amples informations, veuillez consulter GuardDuty quotas.
Formats de liste
GuardDuty accepte plusieurs formats de fichier pour vos listes et listes d'entités, avec un maximum de 35 Mo par fichier. Chaque format a des exigences et des fonctionnalités spécifiques.
Ce format prend en charge les adresses IP, les plages d'adresses CIDR et les noms de domaine. Chaque entrée doit apparaître sur une ligne distincte.
Exemple de liste d'entités
192.0.2.1 192.0.2.0/24 example.com example.org *.example.org
Exemple de liste d'adresses IP
192.0.2.0/24 198.51.100.1 203.0.113.1
Ce format prend en charge les adresses IP, le bloc CIDR et les noms de domaine. STIX vous permet d'inclure un contexte supplémentaire dans vos informations sur les menaces. GuardDuty traite les adresses IP, les plages d'adresses CIDR et les noms de domaine à partir des indicateurs STIX.
Exemple de liste d'entités
<?xml version="1.0" encoding="UTF-8"?> <stix:STIX_Package xmlns:cyboxCommon="http://cybox.mitre.org/common-2" xmlns:cybox="http://cybox.mitre.org/cybox-2" xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2" xmlns:stix="http://stix.mitre.org/stix-1" xmlns:indicator="http://stix.mitre.org/Indicator-2" xmlns:stixCommon="http://stix.mitre.org/common-1" xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1" xmlns:DomainNameObj="http://cybox.mitre.org/objects#DomainNameObject-1" id="example:Package-a1b2c3d4-1111-2222-3333-444455556666" version="1.2"> <stix:Indicators> <stix:Indicator id="example:indicator-a1b2c3d4-aaaa-bbbb-cccc-ddddeeeeffff" timestamp="2025-08-12T00:00:00Z" xsi:type="indicator:IndicatorType" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <indicator:Title>Malicious domain observed Example</indicator:Title> <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">Domain Watchlist</indicator:Type> <indicator:Observable id="example:Observable-0000-1111-2222-3333"> <cybox:Object id="example:Object-0000-1111-2222-3333"> <cybox:Properties xsi:type="DomainNameObj:DomainNameObjectType"> <DomainNameObj:Value condition="Equals">bad.example.com</DomainNameObj:Value> </cybox:Properties> </cybox:Object> </indicator:Observable> </stix:Indicator> </stix:Indicators> </stix:STIX_Package>
Exemple de liste d'adresses IP
<?xml version="1.0" encoding="UTF-8"?> <stix:STIX_Package xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:stix="http://stix.mitre.org/stix-1" xmlns:stixCommon="http://stix.mitre.org/common-1" xmlns:ttp="http://stix.mitre.org/TTP-1" xmlns:cybox="http://cybox.mitre.org/cybox-2" xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2" xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2" xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1" xmlns:example="http://example.com/" xsi:schemaLocation=" http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd" id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16" version="1.2"> <stix:Observables cybox_major_version="1" cybox_minor_version="1"> <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236"> <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab"> <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784"> <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> </stix:Observables> </stix:STIX_Package>
Ce format prend en charge le bloc CIDR, les adresses IP individuelles et les domaines. Ce format de fichier comporte des valeurs séparées par des virgules.
Exemple de liste d'entités
Indicator type, Indicator, Description CIDR, 192.0.2.0/24, example IPv4, 198.51.100.1, example IPv4, 203.0.113.1, example Domain name, example.net, example
Exemple de liste d'adresses IP
Indicator type, Indicator, Description CIDR, 192.0.2.0/24, example IPv4, 198.51.100.1, example IPv4, 203.0.113.1, example
Ce format prend en charge le bloc CIDR, les adresses IP individuelles et les domaines. Les exemples de listes suivants utilisent le format FireEyeTM CSV.
Exemple de liste d'entités
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime 01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400 01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400 01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400 01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
Exemple de liste d'adresses IP
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime 01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400 01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400 01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
Au format ProofPoint CSV, vous pouvez ajouter des adresses IP ou des noms de domaine dans une seule liste. La liste d'exemples suivante utilise le format CSV Proofpoint. La fourniture d'une valeur pour le ports paramètre est facultative. Lorsque vous ne le fournissez pas, laissez une virgule (,) à la fin.
Exemple de liste d'entités
domain, category, score, first_seen, last_seen, ports (|) 198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
Exemple de liste d'adresses IP
ip, category, score, first_seen, last_seen, ports (|) 198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
La liste d'exemples suivante utilise le format AlienVault.
Exemple de liste d'entités
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3 192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3 192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3 www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3 www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
Exemple de liste d'adresses IP
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3 203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
Comprendre les statuts des listes
Lorsque vous ajoutez une liste d'entités ou une liste d'adresses IP, GuardDuty affiche le statut de cette liste. La colonne État indique si la liste est effective et si une action est requise. La liste suivante décrit les valeurs de statut valides :
-
Actif — Indique que la liste est actuellement utilisée pour la détection personnalisée des menaces.
-
Inactif — Indique que la liste n'est actuellement pas utilisée. Pour utiliser cette liste GuardDuty à des fins de détection des menaces dans votre environnement, consultez Étape 3 : Activation d'une liste d'entités ou d'une liste d'adresses IP dansMettre à jour une liste d'entités ou une liste d'adresses IP.
Lorsque vous mettez à jour une liste, le statut passe automatiquement à Inactif. Vous devez l'activer à nouveau pour GuardDuty prendre en compte la dernière version des informations mises à jour.
-
Erreur — Indique que la liste présente un problème. Passez le curseur sur le statut pour afficher les détails de l'erreur.
-
Activation : indique que le processus d'activation de la liste GuardDuty a été lancé. Vous pouvez continuer à surveiller le statut de cette liste. S'il n'y a pas d'erreur, le statut doit passer à Actif. Tant que le statut reste Activation, vous ne pouvez effectuer aucune action sur cette liste. Le statut de la liste peut prendre quelques minutes pour passer à Active.
-
Désactivation : indique que le processus de désactivation de la liste GuardDuty a été lancé. Vous pouvez continuer à surveiller le statut de cette liste. S'il n'y a pas d'erreur, le statut doit passer à Inactif. Tant que le statut reste Désactivation, vous ne pouvez effectuer aucune action sur cette liste.
-
Supprimer en attente : indique que la liste est en cours de suppression. Bien que le statut reste « Supprimer en attente », vous ne pouvez effectuer aucune action sur cette liste.
