Utilisation de listes d'adresses IP approuvées et de listes de menaces

Amazon GuardDuty surveille la sécurité de votre AWS environnement en analysant et en traitant les journaux de VPC flux, les journaux d' AWS CloudTrail événements et DNS les journaux. Vous pouvez personnaliser cette étendue de surveillance en la configurant de manière GuardDuty à arrêter les alertes relatives aux personnes fiables à IPs partir de vos propres listes d'adresses IP fiables et à émettre des alertes en cas IPs de maliciel connu à partir de vos propres listes de menaces.

Les listes d'adresses IP approuvées et les listes de menaces s'appliquent uniquement au trafic destiné aux adresses IP publiquement routables. Les effets d'une liste s'appliquent à tous les journaux de VPC flux et à tous CloudTrail les résultats, mais pas aux DNS résultats.

GuardDuty peut être configuré pour utiliser les types de listes suivants.

Liste d'adresses IP approuvées

Les listes d'adresses IP fiables sont des adresses IP auxquelles vous avez fait confiance pour sécuriser les communications avec votre AWS infrastructure et vos applications. GuardDuty ne génère pas de journal de VPC flux ni de CloudTrail résultats pour les adresses IP figurant sur des listes d'adresses IP fiables. Vous pouvez inclure un maximum de 2 000 adresses IP et CIDR plages dans une seule liste d'adresses IP fiables. À tout moment, vous pouvez avoir seulement une liste d'adresses IP approuvées chargée par compte AWS et par région.

Liste d'adresses IP de menaces

Les listes de menaces répertorient les adresses IP malveillantes connues. Cette liste peut être fournie par des renseignements tiers sur les menaces ou créée spécifiquement pour votre organisation. En plus de générer des résultats en raison d'une activité potentiellement suspecte, il génère GuardDuty également des résultats basés sur ces listes de menaces. Vous pouvez inclure un maximum de 250 000 adresses IP et CIDR plages dans une seule liste de menaces. GuardDuty génère uniquement des résultats basés sur une activité impliquant des adresses IP et des CIDR plages dans vos listes de menaces ; les résultats ne sont pas générés sur la base des noms de domaine. À tout moment, vous pouvez télécharger jusqu'à six listes de menaces Compte AWS par région.

Note

Si vous incluez la même adresse IP à la fois dans une liste d'adresses IP approuvées et dans une liste de menaces, elle sera d'abord traitée par la liste d'adresses IP approuvées et ne générera aucun résultat.

Dans les environnements multicomptes, seuls les utilisateurs GuardDuty disposant de comptes d'administrateur peuvent ajouter et gérer des listes d'adresses IP fiables et des listes de menaces. Les listes d'adresses IP fiables et les listes de menaces téléchargées par le compte administrateur sont imposées aux GuardDuty fonctionnalités de ses comptes membres. En d'autres termes, les comptes membres GuardDuty génèrent des résultats basés sur des activités impliquant des adresses IP malveillantes connues figurant dans les listes de menaces du compte administrateur, mais ne génère pas de résultats basés sur des activités impliquant des adresses IP figurant dans les listes d'adresses IP fiables du compte administrateur. Pour de plus amples informations, veuillez consulter Gestion de plusieurs comptes sur Amazon GuardDuty.

Formats de liste

GuardDuty accepte les listes dans les formats suivants.

La taille maximale de chaque fichier hébergeant votre liste d'adresses IP autorisées ou liste d'adresses IP de menaces est de 35 Mo. Dans vos listes d'adresses IP fiables et de menaces, les adresses IP et les CIDR plages d'adresses IP doivent apparaître une par ligne. Seules IPv4 les adresses sont acceptées.

• Texte brut () TXT

  Ce format prend en charge à la fois les adresses IP par CIDR blocs et les adresses IP individuelles. La liste d'exemples suivante utilise le format Plaintext (TXT).

  192.0.2.0/24
  198.51.100.1
  203.0.113.1

• Expression structurée des informations sur les menaces (STIX)

  Ce format prend en charge à la fois les adresses IP par CIDR blocs et les adresses IP individuelles. La liste d'exemples suivante utilise ce STIX format.

  <?xml version="1.0" encoding="UTF-8"?>
  <stix:STIX_Package
      xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
      xmlns:stix="http://stix.mitre.org/stix-1"
      xmlns:stixCommon="http://stix.mitre.org/common-1"
      xmlns:ttp="http://stix.mitre.org/TTP-1"
      xmlns:cybox="http://cybox.mitre.org/cybox-2"
      xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2"
      xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
      xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
      xmlns:example="http://example.com/"
      xsi:schemaLocation="
      http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd
      http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd
      http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd
      http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd
      http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd
      http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd"
      id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16"
      version="1.2">
      <stix:Observables cybox_major_version="1" cybox_minor_version="1">
          <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236">
              <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245">
                  <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                      <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value>
                  </cybox:Properties>
              </cybox:Object>
          </cybox:Observable>
          <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab">
              <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d">
                  <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                      <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value>
                  </cybox:Properties>
              </cybox:Object>
          </cybox:Observable>
          <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784">
              <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391">
                  <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                      <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value>
                  </cybox:Properties>
              </cybox:Object>
          </cybox:Observable>
      </stix:Observables>
  </stix:STIX_Package>

• Ouvrez Threat Exchange (OTX) ^TM CSV

  Ce format prend en charge à la fois les adresses IP par CIDR blocs et les adresses IP individuelles. La liste d'exemples suivante utilise ce OTXTM CSV format.

  Indicator type, Indicator, Description
  CIDR, 192.0.2.0/24, example
  IPv4, 198.51.100.1, example
  IPv4, 203.0.113.1, example

• FireEye^TM est le renseignement SIGHT sur les menaces CSV

  Ce format prend en charge à la fois les adresses IP par CIDR blocs et les adresses IP individuelles. La liste d'exemples suivante utilise un FireEyeTM CSV format.

  reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
  
  01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
  
  01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
  
  01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

• Fil d'information Proofpoint ^TM ET CSV

  Ce format ne prend en charge que les adresses IP individuelles. La liste d'exemples suivante utilise ce Proofpoint CSV format. Le paramètre ports est facultatif. Si vous ignorez le port, veillez à laisser une virgule (,) à la fin.

  ip, category, score, first_seen, last_seen, ports (|)
  198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
  203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80

• AlienVaultFil de réputation ^TM

  Ce format ne prend en charge que les adresses IP individuelles. La liste d'exemples suivante utilise le format AlienVault.

  198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
  203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3

Autorisations requises pour charger les listes d'adresses IP approuvées et les listes de menaces

Les différentes IAM identités nécessitent des autorisations spéciales pour pouvoir utiliser des listes d'adresses IP fiables et des listes de menaces GuardDuty. Une identité avec la stratégie gérée AmazonGuardDutyFullAccess attachée peut uniquement renommer et désactiver les listes d'adresses IP approuvées et les listes des menaces chargées .

Pour accorder à différentes identités un accès complet à la gestion des listes d'adresses IP approuvées et des listes des menaces (en plus de renommer et de désactiver, cela inclut l'ajout, l'activation, la suppression et la mise à jour de l'emplacement ou du nom des listes), assurez-vous que les actions suivantes sont présentes dans la stratégie d'autorisations attachée à un utilisateur, un groupe ou un rôle :

{
    "Effect": "Allow",
    "Action": [
        "iam:PutRolePolicy",
        "iam:DeleteRolePolicy"
    ],
    "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}

Important

Ces actions ne sont pas incluses dans la politique gérée AmazonGuardDutyFullAccess.

Utilisation du chiffrement côté serveur pour les listes d'adresses IP approuvées et les listes de menaces

GuardDuty prend en charge les types de chiffrement suivants pour les listes : SSE - AES256 et SSE -KMS. SSE-C n'est pas pris en charge. Pour de plus amples informations sur les types de chiffrement pour S3, veuillez consulter Protection des données à l'aide du chiffrement côté serveur.

Si votre liste est chiffrée à l'aide du chiffrement SSE côté serveur, KMS vous devez accorder au rôle GuardDuty lié au service l'AWSServiceRoleForAmazonGuardDutyautorisation de déchiffrer le fichier afin d'activer la liste. Ajoutez la déclaration suivante à la politique KMS clé et remplacez l'identifiant du compte par le vôtre :

{
    "Sid": "AllowGuardDutyServiceRole",
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    },
    "Action": "kms:Decrypt*",
    "Resource": "*"
}

Ajouter et activer une liste d'adresses IP approuvées ou une liste d'adresses IP de menaces

Choisissez l'une des méthodes d'accès suivantes pour ajouter et activer une liste d'adresses IP approuvées ou une liste d'adresses IP de menaces.

Console

(Facultatif) Étape 1 : Récupération de URL l'emplacement de votre liste

1. Ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

2. Dans le volet de navigation, choisissez Compartiments.

3. Choisissez le nom du compartiment Amazon S3 contenant la liste spécifique que vous souhaitez ajouter.

4. Choisissez le nom de l'objet (liste) pour en afficher les détails.

5. Sous l'onglet Propriétés, copiez le S3 URI de cet objet.

Étape 2 : ajout d'une liste d'adresses IP approuvées ou d'une liste de menaces

Important

Par défaut, à tout moment, vous pouvez avoir seulement une liste d'adresses IP approuvées. De même, vous pouvez avoir jusqu'à six listes de menaces.

1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

2. Dans le panneau de navigation, choisissez Listes.

3. Sur la page List management, choisissez Add a trusted IP list ou Add a threat list.

4. En fonction de votre sélection, une boîte de dialogue s'affiche. Procédez comme suit :

   1. Pour Nom de la liste, saisissez un nom pour votre liste.

      Contraintes de dénomination des listes : le nom de votre liste peut inclure des lettres minuscules, des lettres majuscules, des chiffres, des tirets (-) et des traits de soulignement (_).

   2. Pour Emplacement, indiquez l'emplacement où vous avez chargé votre liste. Si vous ne l'avez pas encore fait, veuillez consulter Step 1: Fetching location URL of your list.

      Format de localisation URL

      • https://s3.amazonaws.com/bucket.name/file.txt

      • https://s3-aws-region.amazonaws.com/bucket.name/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • http://bucket.s3-aws-region.amazonaws.com/file.txt

      • s3://bucket.name/file.txt

   3. Cochez la case I agree.

   4. Choisissez Ajouter une liste. Par défaut, l'état de la liste ajoutée est Inactif. Pour que la liste soit effective, vous devez l'activer.

Étape 3 : activation d'une liste d'adresses IP approuvées ou d'une liste de menaces

1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

2. Dans le panneau de navigation, choisissez Listes.

3. Sur la page Gestion de la liste, sélectionnez la liste que vous souhaitez activer.

4. Choisissez Actions, puis Activer. L'entrée en vigueur de la liste peut prendre jusqu'à 15 minutes.

API/CLI

Pour les listes d'adresses IP approuvées

• Exécutez reateIPSetC. Assurez-vous de fournir l'detectorId compte membre pour lequel vous souhaitez créer cette liste d'adresses IP approuvées.

  Contraintes de dénomination des listes : le nom de votre liste peut inclure des lettres minuscules, des lettres majuscules, des chiffres, des tirets (-) et des traits de soulignement (_).

  • Vous pouvez également procéder en exécutant la commande AWS Command Line Interface suivante et en vous assurant de remplacer l'detector-id par l'ID de détecteur du compte membre pour lequel vous allez mettre à jour la liste d'adresses IP approuvées.

    aws guardduty create-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --format Plaintext --location https://s3.amazonaws.com/amzn-s3-demo-bucket2/DOC-EXAMPLE-SOURCE-FILE.format --activate

Pour les listes de menaces

• Courez CreateThreatIntelSet. Assurez-vous de fournir l'detectorId compte membre pour lequel vous souhaitez créer cette liste de menaces.

  • Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante. Assurez-vous de fournir l'detectorId compte membre pour lequel vous souhaitez créer une liste de menaces.

    aws guardduty create-threat-intel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --format Plaintext --location https://s3.amazonaws.com/amzn-s3-demo-bucket2/DOC-EXAMPLE-SOURCE-FILE.format --activate

Note

Après avoir activé ou mis à jour une liste d'adresses IP, la synchronisation de la liste GuardDuty peut prendre jusqu'à 15 minutes.

Mise à jour des listes d'adresses IP approuvées et des listes de menaces

Vous pouvez mettre à jour le nom d'une liste ou les adresses IP ajoutées à une liste déjà ajoutée et activée. Si vous mettez à jour une liste, vous devez la réactiver GuardDuty pour pouvoir utiliser la dernière version de la liste.

Choisissez l'une des méthodes d'accès pour mettre à jour une liste d'adresses IP approuvées ou une liste de menaces.

Console

1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

2. Dans le panneau de navigation, choisissez Listes.

3. Sur la page Gestion de la liste, sélectionnez l'ensemble d'adresses IP approuvées ou une liste de menaces que vous souhaitez mettre à jour.

4. Sélectionnez Actions, puis Edit (Modifier).

5. Dans la boîte de dialogue Mettre à jour la liste, mettez à jour les informations selon vos besoins.

   Contraintes de dénomination des listes : le nom de votre liste peut inclure des lettres minuscules, des lettres majuscules, des chiffres, des tirets (-) et des traits de soulignement (_).

6. Cochez la case J'accepte, puis sélectionnez Mettre à jour la liste. La valeur de la colonne État deviendra Inactif.

7. Réactivation de la liste mise à jour

   1. Sur la page Gestion de la liste, sélectionnez la liste que vous souhaitez réactiver.

   2. Choisissez Actions, puis Activer.

API/CLI

1. Exécutez UpdateIPSet pour mettre à jour une liste d'adresses IP approuvées.

   • Vous pouvez également exécuter la commande AWS CLI suivante pour mettre à jour une liste d'adresses IP approuvées et vous assurer de remplacer l'detector-id par l'ID de détecteur du compte membre pour lequel vous allez mettre à jour la liste d'adresses IP approuvées.

     aws guardduty update-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --ip-set-id d4b94fc952d6912b8f3060768example --activate

2. Exécuter UpdateThreatIntelSet pour mettre à jour une liste de menaces

   • Vous pouvez également exécuter la commande AWS CLI suivante pour mettre à jour une liste de menaces et vous assurer de remplacer le detector-id par l'ID de détecteur du compte membre pour lequel vous allez mettre à jour la liste de menaces.

     aws guardduty update-threatintel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --threat-intel-set-id d4b94fc952d6912b8f3060768example --activate

Désactivation ou suppression d'une liste d'adresses IP approuvées ou d'une liste de menaces

Choisissez l'une des méthodes d'accès pour supprimer (à l'aide de la console) ou désactiver (en utilisantAPI/CLI) une liste d'adresses IP fiables ou une liste de menaces.

Console

1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

2. Dans le panneau de navigation, choisissez Listes.

3. Sur la page Gestion de la liste, sélectionnez la liste que vous souhaitez supprimer.

4. Choisissez Actions, puis Supprimer.

5. Confirmez l'action et sélectionnez Supprimer. La liste spécifique ne sera plus disponible dans le tableau.

API/CLI

1. Pour une liste d'adresses IP approuvées

   Exécutez UpdateIPSet pour mettre à jour une liste d'adresses IP approuvées.

   • Vous pouvez également exécuter la commande AWS CLI suivante pour mettre à jour une liste d'adresses IP approuvées et vous assurer de remplacer l'detector-id par l'ID de détecteur du compte membre pour lequel vous allez mettre à jour la liste d'adresses IP approuvées.

     Pour trouver le detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectorsAPI.

     aws guardduty update-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --ip-set-id d4b94fc952d6912b8f3060768example --no-activate

2. Pour une liste de menaces

   Exécuter UpdateThreatIntelSet pour mettre à jour une liste de menaces

   • Vous pouvez également exécuter la commande AWS CLI suivante pour mettre à jour une liste d'adresses IP approuvées et vous assurer de remplacer l'detector-id par l'ID de détecteur du compte membre pour lequel vous allez mettre à jour la liste de menaces.

     aws guardduty update-threatintel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --threat-intel-set-id d4b94fc952d6912b8f3060768example --no-activate