Utilizzo di elenchi di indirizzi IP affidabili ed elenchi minacce

Amazon GuardDuty monitora la sicurezza del tuo AWS ambiente analizzando ed elaborando i log di flusso VPC, i log degli AWS CloudTrail eventi e i log DNS. Puoi personalizzare questo ambito di monitoraggio configurando GuardDuty in modo da bloccare gli avvisi per persone attendibili presenti nei tuoi elenchi di IP affidabili IPs e avvisare i malware noti presenti nei tuoi elenchi di minacce. IPs

Gli elenchi di indirizzi IP affidabili e gli elenchi minacce si applicano solo al traffico destinato a indirizzi IP instradabili pubblicamente. Gli effetti di un elenco si applicano a tutti i log di flusso e ai CloudTrail risultati VPC, ma non si applicano ai risultati DNS.

GuardDuty può essere configurato per utilizzare i seguenti tipi di elenchi.

Elenco di indirizzi IP affidabili

Gli elenchi di IP affidabili sono costituiti da indirizzi IP attendibili per comunicazioni sicure con AWS l'infrastruttura e le applicazioni. GuardDuty non genera log di flusso VPC o CloudTrail risultati per gli indirizzi IP negli elenchi di IP affidabili. Puoi includere un massimo di 2.000 indirizzi IP e intervalli CIDR in un singolo elenco di IP affidabili. In qualsiasi momento, puoi avere soltanto un elenco di indirizzi IP affidabili caricato per account AWS per regione.

Elenco di IP delle minacce

Un elenco minacce è costituito dagli indirizzi IP dannosi noti. Questo elenco può essere fornito dall'intelligence sulle minacce di terze parti o creato appositamente per l'organizzazione. Oltre a generare risultati a causa di un'attività potenzialmente sospetta, genera GuardDuty anche risultati basati su questi elenchi di minacce. È possibile includere un massimo di 250.000 indirizzi IP e intervalli CIDR in un unico elenco di minacce. GuardDuty genera risultati solo sulla base di un'attività che coinvolge indirizzi IP e intervalli CIDR negli elenchi di minacce; i risultati non vengono generati in base ai nomi di dominio. In qualsiasi momento, puoi caricare fino a sei elenchi di minacce Account AWS per ogni regione.

Nota

Se includi lo stesso IP sia in un elenco di IP affidabili che in un elenco minacce, l'IP verrà elaborato prima dall'elenco di indirizzi IP affidabili e non verrà generato alcun esito.

In ambienti con più account, solo gli utenti con account di GuardDuty amministratore possono aggiungere e gestire elenchi di IP affidabili ed elenchi di minacce. Gli elenchi di IP affidabili e gli elenchi di minacce caricati dall'account amministratore non possono funzionare GuardDuty correttamente negli account dei membri. In altre parole, negli account dei membri GuardDuty genera risultati basati su attività che coinvolgono indirizzi IP dannosi noti presenti negli elenchi di minacce dell'account amministratore e non genera risultati basati su attività che coinvolgono gli indirizzi IP degli elenchi di IP affidabili dell'account amministratore. Per ulteriori informazioni, consulta Account multipli in Amazon GuardDuty.

Formati di elenco

GuardDuty accetta elenchi nei seguenti formati.

La dimensione massima di ogni file che ospita l'elenco di indirizzi IP affidabili o di IP delle minacce è 35 MB. Nel tuo elenco degli indirizzi IP affidabili e di IP delle minacce, gli indirizzi IP e gli intervalli CIDR devono comparire uno per riga. Sono accettati solo IPv4 gli indirizzi. IPv6 gli indirizzi non sono supportati.

• Testo normale (TXT)

  Questo formato supporta sia blocchi CIDR che indirizzi IP individuali. Il seguente elenco di esempio utilizza il formato di testo normale (TXT).

  192.0.2.0/24
  198.51.100.1
  203.0.113.1

• Structured Threat Information Expression (STIX)

  Questo formato supporta sia blocchi CIDR che indirizzi IP individuali. Il seguente elenco di esempio utilizza il formato STIX.

  <?xml version="1.0" encoding="UTF-8"?>
  <stix:STIX_Package
      xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
      xmlns:stix="http://stix.mitre.org/stix-1"
      xmlns:stixCommon="http://stix.mitre.org/common-1"
      xmlns:ttp="http://stix.mitre.org/TTP-1"
      xmlns:cybox="http://cybox.mitre.org/cybox-2"
      xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2"
      xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
      xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
      xmlns:example="http://example.com/"
      xsi:schemaLocation="
      http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd
      http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd
      http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd
      http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd
      http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd
      http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd"
      id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16"
      version="1.2">
      <stix:Observables cybox_major_version="1" cybox_minor_version="1">
          <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236">
              <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245">
                  <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                      <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value>
                  </cybox:Properties>
              </cybox:Object>
          </cybox:Observable>
          <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab">
              <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d">
                  <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                      <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value>
                  </cybox:Properties>
              </cybox:Object>
          </cybox:Observable>
          <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784">
              <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391">
                  <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                      <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value>
                  </cybox:Properties>
              </cybox:Object>
          </cybox:Observable>
      </stix:Observables>
  </stix:STIX_Package>

• Open Threat Exchange (OTX)^TM CSV

  Questo formato supporta sia blocchi CIDR che indirizzi IP individuali. Il seguente elenco di esempio utilizza il formato OTXTM CSV.

  Indicator type, Indicator, Description
  CIDR, 192.0.2.0/24, example
  IPv4, 198.51.100.1, example
  IPv4, 203.0.113.1, example

• FireEye^{TM iSight} Threat Intelligence CSV

  Questo formato supporta sia blocchi CIDR che indirizzi IP individuali. Il seguente elenco di esempio utilizza un formato FireEyeTM CSV.

  reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
  
  01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
  
  01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
  
  01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

• Proofpoint^TM ET Intelligence Feed CSV

  Questo formato supporta solo indirizzi IP individuali. Il seguente elenco di esempio utilizza il formato Proofpoint CSV. Il parametro ports è facoltativo. Se non inserisci il parametro porta, assicurati di lasciare una virgola finale (,).

  ip, category, score, first_seen, last_seen, ports (|)
  198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
  203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80

• AlienVault^{Feed di reputazione TM}

  Questo formato supporta solo indirizzi IP individuali. Il seguente elenco di esempio utilizza il formato AlienVault.

  198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
  203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3

Autorizzazioni necessarie per caricare elenchi di indirizzi IP affidabili ed elenchi minacce

Diverse identità IAM richiedono autorizzazioni speciali per lavorare con elenchi di IP affidabili e elenchi di minacce. GuardDuty Un'identità con la policy gestita AmazonGuardDutyFullAccess collegata può rinominare e disattivare soltanto gli elenchi di indirizzi IP affidabili e gli elenchi minacce caricati.

Per concedere a varie identità l'accesso completo alla gestione degli elenchi di indirizzi IP affidabili e gli elenchi minacce (in aggiunta alla ridenominazione e alla disattivazione, sono inclusi anche l'aggiunta, l'attivazione, l'eliminazione e l'aggiornamento della posizione o del nome degli elenchi), assicurati che le operazioni seguenti siano presenti nella policy di autorizzazioni collegata a un utente, gruppo o ruolo:

{
    "Effect": "Allow",
    "Action": [
        "iam:PutRolePolicy",
        "iam:DeleteRolePolicy"
    ],
    "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}

Importante

Queste operazioni non sono incluse nella policy gestita AmazonGuardDutyFullAccess.

Utilizzo della crittografia lato server per elenchi di indirizzi IP affidabili ed elenchi minacce

GuardDuty supporta i seguenti tipi di crittografia per gli elenchi: SSE- AES256 e SSE-KMS. SSE-C non è supportato. Per ulteriori informazioni sui tipi di crittografia per S3, consulta Protezione dei dati con la crittografia lato server.

Se l'elenco è crittografato utilizzando la crittografia lato server SSE-KMS, è necessario concedere al ruolo GuardDuty collegato al servizio l'AWSServiceRoleForAmazonGuardDutyautorizzazione a decrittografare il file per attivare l'elenco. Aggiungi la seguente istruzione alla policy della chiave KMS e sostituisci l'ID account con il tuo:

{
    "Sid": "AllowGuardDutyServiceRole",
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    },
    "Action": "kms:Decrypt*",
    "Resource": "*"
}

Aggiunta e attivazione di un elenco di indirizzi IP affidabili o di IP delle minacce

Scegli uno dei seguenti metodi di accesso per aggiungere e attivare un elenco di indirizzi IP affidabili o di IP delle minacce.

Console

(Facoltativo) fase 1: recupero dell'URL della posizione dell'elenco

1. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

2. Nel pannello di navigazione, scegli Bucket.

3. Scegli il nome del bucket Amazon S3 che contiene l'elenco specifico che vuoi aggiungere.

4. Scegli il nome dell'oggetto (elenco) per visualizzarne i dettagli.

5. Nella scheda Proprietà, copia l'URI S3 per questo oggetto.

Fase 2: aggiunta di un elenco di indirizzi IP affidabili o un elenco minacce

Importante

Per impostazione predefinita, in qualsiasi momento, puoi avere un solo elenco di indirizzi IP affidabili e fino a sei elenchi minacce.

1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

2. Nel riquadro di navigazione, scegli Elenchi.

3. Nella pagina List management (Gestione dell'elenco), scegliere Add a trusted IP list (Aggiungi un elenco di IP affidabili) o Add a threat list (Aggiungi un elenco minacce).

4. In base alla selezione effettuata, verrà visualizzata una finestra di dialogo. Procedi come segue:

   1. Per Nome elenco, inserisci un nome per l'elenco.

      Vincoli di denominazione degli elenchi: il nome dell'elenco può includere lettere minuscole, lettere maiuscole, numeri, trattino (-) e trattino basso (_).

   2. Per Posizione, fornisci la posizione in cui hai caricato l'elenco. Se non hai ancora una posizione, consulta Step 1: Fetching location URL of your list.

      Formato dell'URL della posizione

      • https://s3.amazonaws.com/bucket.name/file.txt

      • https://s3-aws-region.amazonaws.com/bucket.name/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • http://bucket.s3-aws-region.amazonaws.com/file.txt

      • s3://bucket.name/file.txt

   3. Selezionare la casella di controllo I agree (Accetto).

   4. Scegliere Add list (Aggiungi elenco). Per impostazione predefinita, lo Stato dell'elenco aggiunto è Inattivo. Affinché l'elenco sia efficace, è necessario attivarlo.

Fase 3: attivazione di un elenco di indirizzi IP affidabili o di un elenco minacce

1. Aprire la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

2. Nel riquadro di navigazione, scegli Elenchi.

3. Nella pagina Gestione dell'elenco, seleziona l'elenco che desideri attivare.

4. Scegli Operazioni, quindi Attiva. Potrebbero essere necessari fino a 15 minuti prima che l'elenco sia efficace.

API/CLI

Per elenchi di indirizzi IP affidabili

• Esegui Create IPSet. Assicurati di fornire il detectorId dell'account membro per il quale desideri creare questo elenco di indirizzi IP affidabili.

  Vincoli di denominazione degli elenchi: il nome dell'elenco può includere lettere minuscole, lettere maiuscole, numeri, trattino (-) e trattino basso (_).

  • In alternativa, puoi farlo eseguendo il comando AWS Command Line Interface seguente. Assicurati di sostituire il detector-id con l'ID rilevatore dell'account membro per il quale aggiornerai l'elenco degli indirizzi IP affidabili.

    aws guardduty create-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --format TXT --location https://s3.amazonaws.com/amzn-s3-demo-bucket2/DOC-EXAMPLE-SOURCE-FILE.format --activate

Per gli elenchi minacce

• Esegui CreateThreatIntelSet. Assicurati di fornire il detectorId dell'account membro per il quale desideri creare questo elenco minacce.

  • In alternativa, è possibile eseguire questa operazione eseguendo il comando seguente. AWS Command Line Interface Assicurati di fornire il detectorId dell'account membro per il quale desideri creare un elenco minacce.

    aws guardduty create-threat-intel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --format TXT --location https://s3.amazonaws.com/amzn-s3-demo-bucket2/DOC-EXAMPLE-SOURCE-FILE.format --activate

Nota

Dopo aver attivato o aggiornato un elenco di IP, la sincronizzazione dell'elenco GuardDuty potrebbe richiedere fino a 15 minuti.

Aggiornamento di elenchi di indirizzi IP affidabili e di elenchi minacce

È possibile aggiornare il nome di un elenco o gli indirizzi IP aggiunti a un elenco che è già stato aggiunto e attivato. Se si aggiorna un elenco, è necessario riattivarlo GuardDuty per utilizzare la versione più recente dell'elenco.

Scegli uno dei metodi di accesso per aggiornare un elenco di IP affidabili o un elenco minacce.

Console

1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

2. Nel riquadro di navigazione, scegli Elenchi.

3. Nella pagina Gestione dell'elenco, seleziona il set di IP affidabili o un elenco minacce che desideri aggiornare.

4. Seleziona Azioni, quindi scegli Modifica.

5. Nella finestra di dialogo Aggiorna elenco, aggiorna le informazioni in base alle esigenze.

   Vincoli di denominazione degli elenchi: il nome dell'elenco può includere lettere minuscole, lettere maiuscole, numeri, trattino (-) e trattino basso (_).

6. Scegli la casella Accetto, quindi Aggiorna elenco. Il valore nella colonna Stato diventerà Inattivo.

7. Riattivazione dell'elenco aggiornato

   1. Nella pagina Gestione dell'elenco, seleziona l'elenco che desideri riattivare.

   2. Scegli Operazioni, quindi Attiva.

API/CLI

1. Esegui UpdateIPSetper aggiornare un elenco di IP attendibili.

   • In alternativa, puoi eseguire il seguente AWS CLI comando per aggiornare un elenco di IP affidabili e assicurarti di sostituirlo detector-id con l'ID del rilevatore dell'account membro per il quale aggiornerai l'elenco di IP affidabili.

     aws guardduty update-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --ip-set-id d4b94fc952d6912b8f3060768example --activate

2. Esegui UpdateThreatIntelSetper aggiornare un elenco di minacce

   • In alternativa, puoi eseguire il seguente AWS CLI comando per aggiornare un elenco di minacce e assicurarti di sostituirlo detector-id con l'ID del rilevatore dell'account membro per il quale aggiornerai l'elenco delle minacce.

     aws guardduty update-threat-intel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --threat-intel-set-id d4b94fc952d6912b8f3060768example --activate

Disattivazione o eliminazione di un elenco di indirizzi IP affidabili o un elenco minacce

Scegli uno dei metodi di accesso per eliminare (utilizzando la console) o disattivare (utilizzando API/CLI) un elenco di indirizzi IP affidabili o un elenco minacce.

Console

1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

2. Nel riquadro di navigazione, scegli Elenchi.

3. Nella pagina Gestione dell'elenco, seleziona l'elenco che desideri eliminare.

4. Scegli Azioni, quindi Elimina.

5. Conferma l'operazione e scegli Elimina. L'elenco specifico non sarà più disponibile nella tabella.

API/CLI

1. Per un elenco di indirizzi IP affidabili

   Esegui UpdateIPSetper aggiornare un elenco di IP affidabili.

   • In alternativa, puoi eseguire il seguente AWS CLI comando per aggiornare un elenco di IP affidabili e assicurarti di sostituirlo detector-id con l'ID del rilevatore dell'account membro per il quale aggiornerai l'elenco di IP affidabili.

     Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console oppure esegui il ListDetectorsAPI.

     aws guardduty update-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --ip-set-id d4b94fc952d6912b8f3060768example --no-activate

2. Per un elenco minacce

   Esegui UpdateThreatIntelSetper aggiornare un elenco di minacce

   • In alternativa, puoi eseguire il seguente AWS CLI comando per aggiornare un elenco di IP affidabili e assicurarti di sostituirlo detector-id con l'ID del rilevatore dell'account membro per il quale aggiornerai l'elenco delle minacce.

     aws guardduty update-threat-intel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --threat-intel-set-id d4b94fc952d6912b8f3060768example --no-activate