Menyesuaikan deteksi ancaman dengan daftar entitas dan daftar alamat IP

Amazon GuardDuty memantau keamanan AWS lingkungan Anda dengan menganalisis dan memproses Log Aliran VPC, log AWS CloudTrail peristiwa, dan log DNS. Dengan mengaktifkan satu atau beberapa rencana GuardDuty perlindungan yang berfokus pada kasus penggunaan (kecualiPemantauan Runtime, Anda dapat memperluas kemampuan pemantauan di dalamnya. GuardDuty

Dengan daftar, GuardDuty membantu Anda menyesuaikan ruang lingkup deteksi ancaman di lingkungan Anda. Anda dapat mengonfigurasi GuardDuty untuk berhenti menghasilkan temuan dari sumber tepercaya Anda dan menghasilkan temuan untuk sumber berbahaya yang diketahui dari daftar ancaman Anda. GuardDuty terus mendukung daftar alamat IP lama dan memperluas dukungan ke daftar entitas (disarankan) yang dapat berisi alamat IP, domain, atau keduanya.

Topik

• Memahami daftar entitas dan daftar alamat IP

• Pertimbangan penting untuk daftar GuardDuty

• Format daftar

• Memahami status daftar

• Menyiapkan prasyarat untuk daftar entitas dan daftar alamat IP

• Menambahkan dan mengaktifkan daftar entitas atau daftar IP

• Memperbarui daftar entitas atau daftar alamat IP

• Menonaktifkan daftar entitas atau daftar alamat IP

• Menghapus daftar entitas atau daftar alamat IP

Memahami daftar entitas dan daftar alamat IP

GuardDuty menawarkan dua pendekatan implementasi: daftar entitas (direkomendasikan) dan daftar IP. Kedua pendekatan membantu Anda menentukan sumber tepercaya, yang berhenti GuardDuty dari menghasilkan temuan dan ancaman yang diketahui, yang GuardDuty digunakan untuk menghasilkan temuan.

Daftar entitas mendukung alamat IP dan nama domain. Mereka menggunakan akses langsung Amazon Simple Storage Service (Amazon S3) dengan izin IAM tunggal yang tidak memengaruhi batas ukuran kebijakan IAM di beberapa Wilayah.

Daftar IP hanya mendukung alamat IP dan penggunaan GuardDuty peran terkait layanan (SLR) (SLR), yang memerlukan pembaruan kebijakan IAM per Wilayah, yang dapat memengaruhi batas ukuran kebijakan IAM.

Daftar tepercaya (baik daftar entitas maupun daftar alamat IP) menyertakan entri yang Anda percayai untuk komunikasi aman dengan AWS infrastruktur Anda. GuardDuty tidak menghasilkan temuan untuk entri yang tercantum dalam sumber tepercaya. Pada waktu tertentu, Anda hanya dapat menambahkan satu daftar entitas tepercaya dan satu daftar alamat IP tepercaya Akun AWS per Wilayah.

Daftar ancaman (baik daftar entitas dan daftar alamat IP) termasuk entri yang telah Anda identifikasi sebagai sumber berbahaya yang dikenal. Ketika GuardDuty mendeteksi aktivitas yang melibatkan sumber-sumber ini, itu menghasilkan temuan untuk mengingatkan Anda tentang potensi masalah keamanan. Anda dapat membuat daftar ancaman Anda sendiri atau memasukkan umpan intelijen ancaman pihak ketiga. Daftar ini dapat disediakan oleh intelijen ancaman pihak ketiga atau dibuat khusus untuk organisasi Anda. Selain menghasilkan temuan karena aktivitas yang berpotensi mencurigakan, GuardDuty juga menghasilkan temuan berdasarkan aktivitas yang melibatkan entri dari daftar ancaman Anda. Pada waktu tertentu, Anda dapat mengunggah hingga enam daftar entitas ancaman dan daftar alamat IP ancaman Akun AWS per Wilayah.

catatan

Untuk bermigrasi dari daftar alamat IP ke daftar entitas, ikutiPrasyarat untuk daftar entitas, lalu tambahkan dan aktifkan daftar entitas yang diperlukan. Setelah ini, Anda dapat memilih untuk menonaktifkan atau menghapus daftar alamat IP yang sesuai.

Pertimbangan penting untuk daftar GuardDuty

Sebelum Anda mulai bekerja dengan daftar, baca pertimbangan berikut:

• Daftar alamat IP dan daftar entitas hanya berlaku untuk lalu lintas yang ditujukan untuk alamat IP dan domain yang dapat dirutekan secara publik.

• Dalam daftar entitas, entri berlaku untuk, Log Aliran VPC di Amazon VPC CloudTrail, dan temuan log kueri DNS Route53 Resolver.

  Dalam daftar alamat IP, entri berlaku untuk CloudTrail dan Log Aliran VPC di temuan Amazon VPC, tetapi tidak untuk temuan log kueri DNS Route53 Resolver.

• Jika Anda menyertakan alamat IP atau domain yang sama dalam daftar tepercaya dan ancaman, maka entri ini dalam daftar tepercaya akan diutamakan. GuardDuty tidak akan menghasilkan temuan jika ada aktivitas yang terkait dengan entri ini.

• Dalam lingkungan multi-akun, hanya akun GuardDuty administrator yang dapat mengelola daftar. Pengaturan ini secara otomatis berlaku untuk akun anggota. GuardDuty menghasilkan temuan berdasarkan aktivitas yang melibatkan alamat IP berbahaya yang diketahui (dan domain) dari sumber ancaman akun administrator, dan tidak menghasilkan temuan berdasarkan aktivitas yang melibatkan alamat IP (dan domain) dari sumber tepercaya akun administrator. Untuk informasi selengkapnya, lihat Beberapa akun di Amazon GuardDuty.

• Hanya IPv4 alamat yang diterima. IPv6 alamat tidak didukung.

• Setelah Anda mengaktifkan, menonaktifkan, atau menghapus daftar entitas atau daftar alamat IP, proses diperkirakan selesai dalam waktu 15 menit. Dalam skenario tertentu, mungkin diperlukan waktu hingga 40 menit untuk menyelesaikan proses ini.

• GuardDuty menggunakan daftar untuk deteksi ancaman hanya ketika status daftar menjadi Aktif.

• Setiap kali Anda menambahkan atau memperbarui entri di lokasi bucket S3 daftar, Anda harus mengaktifkan daftar lagi. Untuk informasi selengkapnya, lihat Memperbarui daftar entitas atau daftar alamat IP.

• Daftar entitas dan alamat IP memiliki kuota yang berbeda. Untuk informasi selengkapnya, lihat GuardDuty kuota.

Format daftar

GuardDuty menerima beberapa format file untuk daftar dan daftar entitas Anda, dengan maksimum 35 MB per file. Setiap format memiliki persyaratan dan kemampuan khusus.

Plaintext (TXT)

Format ini mendukung alamat IP, rentang CIDR, dan nama domain. Setiap entri harus muncul pada baris terpisah.

contoh Contoh untuk daftar entitas

192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org

contoh Contoh untuk daftar alamat IP

192.0.2.0/24
198.51.100.1
203.0.113.1

Ekspresi Informasi Ancaman Terstruktur (STIX)

Format ini mendukung alamat IP, blok CIDR, dan nama domain. STIX memungkinkan Anda untuk memasukkan konteks tambahan dengan intelijen ancaman Anda. GuardDuty memproses alamat IP, rentang CIDR, dan nama domain dari indikator STIX.

contoh Contoh untuk daftar entitas

<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:cyboxCommon="http://cybox.mitre.org/common-2"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:indicator="http://stix.mitre.org/Indicator-2"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:DomainNameObj="http://cybox.mitre.org/objects#DomainNameObject-1"
    id="example:Package-a1b2c3d4-1111-2222-3333-444455556666"
    version="1.2">
    <stix:Indicators>
        <stix:Indicator
            id="example:indicator-a1b2c3d4-aaaa-bbbb-cccc-ddddeeeeffff"
            timestamp="2025-08-12T00:00:00Z"
            xsi:type="indicator:IndicatorType"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
            <indicator:Title>Malicious domain observed Example</indicator:Title>
            <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">Domain Watchlist</indicator:Type>
            <indicator:Observable id="example:Observable-0000-1111-2222-3333">
                <cybox:Object id="example:Object-0000-1111-2222-3333">
                    <cybox:Properties xsi:type="DomainNameObj:DomainNameObjectType">
                        <DomainNameObj:Value condition="Equals">bad.example.com</DomainNameObj:Value>
                    </cybox:Properties>
                </cybox:Object>
            </indicator:Observable>
        </stix:Indicator>
    </stix:Indicators>
</stix:STIX_Package>

contoh Contoh untuk daftar alamat IP

<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:ttp="http://stix.mitre.org/TTP-1"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:example="http://example.com/"
    xsi:schemaLocation="
    http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd
    http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd
    http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd
    http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd
    http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd
    http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd"
    id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16"
    version="1.2">
    <stix:Observables cybox_major_version="1" cybox_minor_version="1">
        <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236">
            <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab">
            <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784">
            <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
    </stix:Observables>
</stix:STIX_Package>

Buka Pertukaran Ancaman (OTX) TM CSV

Format ini mendukung blok CIDR, alamat IP individual, dan domain. Format file ini memiliki nilai yang dipisahkan koma.

contoh Contoh untuk daftar entitas

Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example

contoh Contoh untuk daftar alamat IP

Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example

FireEyeCSV Intelijen Ancaman TM iSight

Format ini mendukung blok CIDR, alamat IP individual, dan domain. Daftar contoh berikut menggunakan format FireEyeTM CSV.

contoh Contoh untuk daftar entitas

reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

 01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400 

contoh Contoh untuk daftar alamat IP

reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

Bukti TM ET Intelijen Umpan CSV

Dalam format ProofPoint CSV, Anda dapat menambahkan IP baik alamat atau nama domain dalam satu daftar. Daftar contoh berikut menggunakan format Proofpoint CSV. Memberikan nilai untuk ports parameter adalah opsional. Ketika Anda tidak menyediakannya, tinggalkan tanda koma (,) di bagian akhir.

contoh Contoh untuk daftar entitas

domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80

contoh Contoh untuk daftar alamat IP

ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80

AlienVaultUmpan Reputasi TM

Daftar contoh berikut menggunakan AlienVault format.

contoh Contoh untuk daftar entitas

192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3

contoh Contoh untuk daftar alamat IP

198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3

Memahami status daftar

Saat Anda menambahkan daftar entitas atau daftar alamat IP, GuardDuty menampilkan status daftar tersebut. Kolom Status menunjukkan apakah daftar efektif dan jika ada tindakan yang diperlukan. Daftar berikut menjelaskan nilai status yang valid:

• Aktif - Menunjukkan daftar sedang digunakan untuk deteksi ancaman kustom.

• Tidak aktif - Menunjukkan bahwa daftar saat ini tidak digunakan. GuardDuty Untuk menggunakan daftar ini untuk deteksi ancaman di lingkungan Anda, lihat Langkah 3: Mengaktifkan daftar entitas atau daftar alamat IP diMemperbarui daftar entitas atau daftar alamat IP.

  Saat Anda memperbarui daftar, status secara otomatis berubah menjadi Tidak Aktif. Anda harus mengaktifkannya lagi GuardDuty untuk mempertimbangkan versi terbaru dari detail yang diperbarui.

• Kesalahan - Menunjukkan bahwa ada masalah dengan daftar. Arahkan kursor ke status untuk melihat detail kesalahan.

• Mengaktifkan — Menunjukkan bahwa GuardDuty telah memulai proses mengaktifkan daftar. Anda dapat terus memantau status untuk daftar ini. Jika tidak ada kesalahan, status harus diperbarui ke Aktif. Meskipun status tetap Aktif, Anda tidak dapat melakukan tindakan apa pun di daftar ini. Mungkin perlu beberapa menit agar status daftar berubah menjadi Aktif.

• Menonaktifkan - Menunjukkan bahwa GuardDuty telah memulai proses menonaktifkan daftar. Anda dapat terus memantau status untuk daftar ini. Jika tidak ada kesalahan, status harus diperbarui ke Tidak Aktif. Meskipun status tetap Menonaktifkan, Anda tidak dapat melakukan tindakan apa pun di daftar ini.

• Hapus Tertunda — Menunjukkan bahwa daftar sedang dalam proses dihapus. Meskipun status tetap Hapus Tertunda, Anda tidak dapat melakukan tindakan apa pun di daftar ini.