Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de listes d'adresses IP approuvées et de listes de menaces
Amazon GuardDuty surveille la sécurité de votre AWS environnement en analysant et en traitant les journaux de flux VPC, les journaux d' AWS CloudTrail événements et les journaux DNS. Vous pouvez personnaliser cette étendue de surveillance en la configurant de manière GuardDuty à arrêter les alertes relatives aux adresses IP fiables provenant de vos propres listes d'adresses IP fiables et à émettre des alertes sur les adresses IP malveillantes connues provenant de vos propres listes de menaces.
Les listes d'adresses IP approuvées et les listes de menaces s'appliquent uniquement au trafic destiné aux adresses IP publiquement routables. Les effets d'une liste s'appliquent à tous les journaux de flux VPC et à tous CloudTrail les résultats, mais ne s'appliquent pas aux résultats DNS.
GuardDuty peut être configuré pour utiliser les types de listes suivants.
- Liste d'adresses IP approuvées
-
Les listes d'adresses IP fiables sont des adresses IP auxquelles vous avez fait confiance pour sécuriser les communications avec votre AWS infrastructure et vos applications. GuardDuty ne génère pas de journal de flux VPC ni de CloudTrail résultats pour les adresses IP figurant sur des listes d'adresses IP fiables. Vous pouvez inclure 2 000 adresses IP et plages CIDR au maximum dans une seule liste d'adresses IP autorisées. À tout moment, vous pouvez avoir seulement une liste d'adresses IP approuvées chargée par compte AWS et par région.
- Liste d'adresses IP de menaces
-
Les listes de menaces répertorient les adresses IP malveillantes connues. Cette liste peut être fournie par des renseignements tiers sur les menaces ou créée spécifiquement pour votre organisation. En plus de générer des résultats en raison d'une activité potentiellement suspecte, il génère GuardDuty également des résultats basés sur ces listes de menaces. Vous pouvez inclure un maximum de 250 000 adresses IP et plages d'adresses CIDR dans une seule liste de menaces. GuardDuty génère uniquement des résultats basés sur une activité impliquant des adresses IP et des plages d'adresses CIDR dans vos listes de menaces ; les résultats ne sont pas générés sur la base des noms de domaine. À tout moment, vous pouvez télécharger jusqu'à six listes de menaces Compte AWS par région.
Note
Si vous incluez la même adresse IP à la fois dans une liste d'adresses IP approuvées et dans une liste de menaces, elle sera d'abord traitée par la liste d'adresses IP approuvées et ne générera aucun résultat.
Dans les environnements multicomptes, seuls les utilisateurs GuardDuty disposant de comptes d'administrateur peuvent ajouter et gérer des listes d'adresses IP fiables et des listes de menaces. Les listes d'adresses IP fiables et les listes de menaces téléchargées par le compte administrateur sont imposées aux GuardDuty fonctionnalités de ses comptes membres. En d'autres termes, les comptes membres GuardDuty génèrent des résultats basés sur des activités impliquant des adresses IP malveillantes connues figurant dans les listes de menaces du compte administrateur, mais ne génère pas de résultats basés sur des activités impliquant des adresses IP figurant dans les listes d'adresses IP fiables du compte administrateur. Pour plus d’informations, consultez Gérer plusieurs comptes sur Amazon GuardDuty.
Formats de liste
GuardDuty accepte les listes dans les formats suivants.
La taille maximale de chaque fichier hébergeant votre liste d'adresses IP autorisées ou liste d'adresses IP de menaces est de 35 Mo. Dans vos listes d'adresses IP autorisées et listes d'adresses IP de menaces, les adresses IP et les plages CIDR doivent apparaître une par ligne. Seules les adresses IPv4 sont acceptées.
-
Texte brut (TXT)
Ce format prend en charge à la fois les blocs CIDR et les adresses IP individuelles. La liste d'exemples suivante utilise le format texte en brut (TXT).
192.0.2.0/24 198.51.100.1 203.0.113.1 -
Structured Threat Information Expression (STIX)
Ce format prend en charge à la fois les blocs CIDR et les adresses IP individuelles. La liste d'exemples suivante utilise le format STIX.
<?xml version="1.0" encoding="UTF-8"?> <stix:STIX_Package xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:stix="http://stix.mitre.org/stix-1" xmlns:stixCommon="http://stix.mitre.org/common-1" xmlns:ttp="http://stix.mitre.org/TTP-1" xmlns:cybox="http://cybox.mitre.org/cybox-2" xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2" xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2" xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1" xmlns:example="http://example.com/" xsi:schemaLocation=" http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd" id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16" version="1.2"> <stix:Observables cybox_major_version="1" cybox_minor_version="1"> <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236"> <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab"> <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784"> <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> </stix:Observables> </stix:STIX_Package> -
Open Threat Exchange (OTX)TM CSV
Ce format prend en charge à la fois les blocs CIDR et les adresses IP individuelles. La liste d'exemples suivante utilise le format CSV
OTXTM.Indicator type, Indicator, Description CIDR, 192.0.2.0/24, example IPv4, 198.51.100.1, example IPv4, 203.0.113.1, example -
FireEyeInformations sur les menaces TM iSight CSV
Ce format prend en charge à la fois les blocs CIDR et les adresses IP individuelles. La liste d'exemples suivante utilise un format CSV
FireEyeTM.reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime 01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400 01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400 01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400 -
ProofpointTM ET Intelligence Feed CSV
Ce format ne prend en charge que les adresses IP individuelles. La liste d'exemples suivante utilise le format CSV
Proofpoint. Le paramètreportsest facultatif. Si vous ignorez le port, veillez à laisser une virgule (,) à la fin.ip, category, score, first_seen, last_seen, ports (|) 198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80 -
AlienVaultFil de réputation TM
Ce format ne prend en charge que les adresses IP individuelles. La liste d'exemples suivante utilise le format
AlienVault.198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3 203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
Autorisations requises pour charger les listes d'adresses IP approuvées et les listes de menaces
Les différentes identités IAM nécessitent des autorisations spéciales pour pouvoir utiliser des listes d'adresses IP fiables et des listes de menaces. GuardDuty Une identité avec la stratégie gérée AmazonGuardDutyFullAccess attachée peut uniquement renommer et désactiver les listes d'adresses IP approuvées et les listes des menaces chargées .
Pour accorder à différentes identités un accès complet à la gestion des listes d'adresses IP approuvées et des listes des menaces (en plus de renommer et de désactiver, cela inclut l'ajout, l'activation, la suppression et la mise à jour de l'emplacement ou du nom des listes), assurez-vous que les actions suivantes sont présentes dans la stratégie d'autorisations attachée à un utilisateur, un groupe ou un rôle :
{ "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }
Important
Ces actions ne sont pas incluses dans la politique gérée AmazonGuardDutyFullAccess.
Utilisation du chiffrement côté serveur pour les listes d'adresses IP approuvées et les listes de menaces
GuardDuty prend en charge les types de chiffrement suivants pour les listes : SSE-AES256 et SSE-KMS. SSE-C n'est pas pris en charge. Pour de plus amples informations sur les types de chiffrement pour S3, veuillez consulter Protection des données à l'aide du chiffrement côté serveur.
Si votre liste est chiffrée à l'aide du chiffrement GuardDuty SSE-KMS côté serveur, vous devez accorder au rôle lié au service l'AWSServiceRoleForAmazonGuardDutyautorisation de déchiffrer le fichier afin d'activer la liste. Ajoutez l'instruction suivante à la stratégie de clé KMS et remplacez l'ID du compte par le vôtre :
{ "Sid": "AllowGuardDutyServiceRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }, "Action": "kms:Decrypt*", "Resource": "*" }
Ajouter et activer une liste d'adresses IP approuvées ou une liste d'adresses IP de menaces
Choisissez l'une des méthodes d'accès suivantes pour ajouter et activer une liste d'adresses IP approuvées ou une liste d'adresses IP de menaces.
Note
Après avoir activé ou mis à jour une liste d'adresses IP, la synchronisation de la liste GuardDuty peut prendre jusqu'à 15 minutes.
Mise à jour des listes d'adresses IP approuvées et des listes de menaces
Vous pouvez mettre à jour le nom d'une liste ou les adresses IP ajoutées à une liste déjà ajoutée et activée. Si vous mettez à jour une liste, vous devez la réactiver GuardDuty pour pouvoir utiliser la dernière version de la liste.
Choisissez l'une des méthodes d'accès pour mettre à jour une liste d'adresses IP approuvées ou une liste de menaces.
Désactivation ou suppression d'une liste d'adresses IP approuvées ou d'une liste de menaces
Choisissez l'une des méthodes d'accès pour supprimer (à l'aide de la console) ou désactiver (à l'aide de l'API/la CLI) une liste d'adresses IP approuvées ou une liste de menaces.
