Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di elenchi di indirizzi IP affidabili ed elenchi minacce
Amazon GuardDuty monitora la sicurezza del tuo AWS ambiente analizzando ed elaborando log di VPC flusso, log di AWS CloudTrail eventi e log. DNS Puoi personalizzare questo ambito di monitoraggio GuardDuty configurando l'opzione di bloccare gli avvisi di persone attendibili presenti nei tuoi elenchi di IP attendibili IPs e di segnalare eventuali minacce note presenti nei tuoi elenchi di minacce. IPs
Gli elenchi di indirizzi IP affidabili e gli elenchi minacce si applicano solo al traffico destinato a indirizzi IP instradabili pubblicamente. Gli effetti di un elenco si applicano a tutti i VPC Flow Log e ai CloudTrail risultati, ma non ai DNS risultati.
GuardDuty può essere configurato per utilizzare i seguenti tipi di elenchi.
- Elenco di indirizzi IP affidabili
-
Gli elenchi di IP affidabili sono costituiti da indirizzi IP attendibili per comunicazioni sicure con AWS l'infrastruttura e le applicazioni. GuardDuty non genera log di VPC flusso o CloudTrail risultati per gli indirizzi IP negli elenchi IP affidabili. È possibile includere un massimo di 2000 indirizzi IP e CIDR intervalli in un unico elenco di IP affidabili. In qualsiasi momento, puoi avere soltanto un elenco di indirizzi IP affidabili caricato per account AWS per regione.
- Elenco di IP delle minacce
-
Un elenco minacce è costituito dagli indirizzi IP dannosi noti. Questo elenco può essere fornito dall'intelligence sulle minacce di terze parti o creato appositamente per l'organizzazione. Oltre a generare risultati a causa di un'attività potenzialmente sospetta, genera GuardDuty anche risultati basati su questi elenchi di minacce. È possibile includere un massimo di 250.000 indirizzi IP e CIDR intervalli in un unico elenco di minacce. GuardDuty genera risultati solo sulla base di un'attività che coinvolge indirizzi IP e CIDR intervalli negli elenchi di minacce; i risultati non vengono generati in base ai nomi di dominio. In qualsiasi momento, puoi caricare fino a sei elenchi di minacce Account AWS per ogni regione.
Nota
Se includi lo stesso IP sia in un elenco di IP affidabili che in un elenco minacce, l'IP verrà elaborato prima dall'elenco di indirizzi IP affidabili e non verrà generato alcun esito.
In ambienti con più account, solo gli utenti con account GuardDuty amministratore possono aggiungere e gestire elenchi di IP affidabili ed elenchi di minacce. Gli elenchi di IP affidabili e gli elenchi di minacce caricati dall'account amministratore non possono funzionare GuardDuty correttamente negli account dei membri. In altre parole, negli account dei membri GuardDuty genera risultati basati su attività che coinvolgono indirizzi IP dannosi noti presenti negli elenchi di minacce dell'account amministratore e non genera risultati basati su attività che coinvolgono gli indirizzi IP degli elenchi di IP affidabili dell'account amministratore. Per ulteriori informazioni, consulta Account multipli in Amazon GuardDuty.
Formati di elenco
GuardDuty accetta elenchi nei seguenti formati.
La dimensione massima di ogni file che ospita l'elenco di indirizzi IP affidabili o di IP delle minacce è 35 MB. Negli elenchi di IP affidabili e negli elenchi di indirizzi IP delle minacce, gli indirizzi IP e gli CIDR intervalli devono apparire uno per riga. Sono accettati solo IPv4 gli indirizzi.
-
Testo semplice () TXT
Questo formato supporta sia indirizzi IP a CIDR blocchi che singoli. Il seguente elenco di esempio utilizza il formato Plaintext (TXT).
192.0.2.0/24 198.51.100.1 203.0.113.1 -
Espressione di informazioni strutturate sulle minacce () STIX
Questo formato supporta sia indirizzi IP a CIDR blocchi che singoli. Il seguente elenco di esempio utilizza il STIX formato.
<?xml version="1.0" encoding="UTF-8"?> <stix:STIX_Package xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:stix="http://stix.mitre.org/stix-1" xmlns:stixCommon="http://stix.mitre.org/common-1" xmlns:ttp="http://stix.mitre.org/TTP-1" xmlns:cybox="http://cybox.mitre.org/cybox-2" xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2" xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2" xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1" xmlns:example="http://example.com/" xsi:schemaLocation=" http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd" id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16" version="1.2"> <stix:Observables cybox_major_version="1" cybox_minor_version="1"> <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236"> <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab"> <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784"> <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> </stix:Observables> </stix:STIX_Package> -
Open Threat Exchange (OTX) TM CSV
Questo formato supporta sia indirizzi IP a CIDR blocchi che singoli. Il seguente elenco di esempio utilizza il
OTXTMCSV formato.Indicator type, Indicator, Description CIDR, 192.0.2.0/24, example IPv4, 198.51.100.1, example IPv4, 203.0.113.1, example -
FireEyeTM è SIGHT Threat Intelligence CSV
Questo formato supporta sia indirizzi IP a CIDR blocchi che singoli. Il seguente elenco di esempio utilizza un
FireEyeTMCSV formato.reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime 01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400 01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400 01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400 -
Proofpoint TM ET Intelligence Feed CSV
Questo formato supporta solo indirizzi IP individuali. Il seguente elenco di esempio utilizza il
ProofpointCSV formato. Il parametroportsè facoltativo. Se non inserisci il parametro porta, assicurati di lasciare una virgola finale (,).ip, category, score, first_seen, last_seen, ports (|) 198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80 -
AlienVaultFeed di reputazione TM
Questo formato supporta solo indirizzi IP individuali. Il seguente elenco di esempio utilizza il formato
AlienVault.198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3 203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
Autorizzazioni necessarie per caricare elenchi di indirizzi IP affidabili ed elenchi minacce
Diverse IAM identità richiedono autorizzazioni speciali per utilizzare elenchi di IP affidabili e elenchi di minacce. GuardDuty Un'identità con la policy gestita AmazonGuardDutyFullAccess collegata può rinominare e disattivare soltanto gli elenchi di indirizzi IP affidabili e gli elenchi minacce caricati.
Per concedere a varie identità l'accesso completo alla gestione degli elenchi di indirizzi IP affidabili e gli elenchi minacce (in aggiunta alla ridenominazione e alla disattivazione, sono inclusi anche l'aggiunta, l'attivazione, l'eliminazione e l'aggiornamento della posizione o del nome degli elenchi), assicurati che le operazioni seguenti siano presenti nella policy di autorizzazioni collegata a un utente, gruppo o ruolo:
{ "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }
Importante
Queste operazioni non sono incluse nella policy gestita AmazonGuardDutyFullAccess.
Utilizzo della crittografia lato server per elenchi di indirizzi IP affidabili ed elenchi minacce
GuardDuty supporta i seguenti tipi di crittografia per gli elenchi: SSE - AES256 e SSE -. KMS SSE-C non è supportato. Per ulteriori informazioni sui tipi di crittografia per S3, consulta Protezione dei dati con la crittografia lato server.
Se l'elenco è crittografato utilizzando la crittografia SSE lato server, è KMS necessario concedere al ruolo GuardDuty collegato al servizio l'AWSServiceRoleForAmazonGuardDutyautorizzazione a decrittografare il file per attivare l'elenco. Aggiungi la seguente dichiarazione alla politica KMS chiave e sostituisci l'ID dell'account con il tuo:
{ "Sid": "AllowGuardDutyServiceRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }, "Action": "kms:Decrypt*", "Resource": "*" }
Aggiunta e attivazione di un elenco di indirizzi IP affidabili o di IP delle minacce
Scegli uno dei seguenti metodi di accesso per aggiungere e attivare un elenco di indirizzi IP affidabili o di IP delle minacce.
Nota
Dopo aver attivato o aggiornato un elenco di IP, la sincronizzazione dell'elenco GuardDuty potrebbe richiedere fino a 15 minuti.
Aggiornamento di elenchi di indirizzi IP affidabili e di elenchi minacce
È possibile aggiornare il nome di un elenco o gli indirizzi IP aggiunti a un elenco che è già stato aggiunto e attivato. Se si aggiorna un elenco, è necessario riattivarlo GuardDuty per utilizzare la versione più recente dell'elenco.
Scegli uno dei metodi di accesso per aggiornare un elenco di IP affidabili o un elenco minacce.
Disattivazione o eliminazione di un elenco di indirizzi IP affidabili o un elenco minacce
Scegli uno dei metodi di accesso per eliminare (utilizzando la console) o disattivare (utilizzandoAPI/CLI) un elenco di IP affidabili o un elenco di minacce.
