Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di elenchi di indirizzi IP affidabili ed elenchi minacce
Amazon GuardDuty monitora la sicurezza del tuo AWS ambiente analizzando ed elaborando i log di flusso VPC, i log degli AWS CloudTrail eventi e i log DNS. Puoi personalizzare questo ambito di monitoraggio configurando GuardDuty in modo da bloccare gli avvisi per gli IP affidabili presenti nei tuoi elenchi di IP affidabili e avvisare gli IP dannosi noti presenti nei tuoi elenchi di minacce.
Gli elenchi di indirizzi IP affidabili e gli elenchi minacce si applicano solo al traffico destinato a indirizzi IP instradabili pubblicamente. Gli effetti di un elenco si applicano a tutti i log di flusso e ai CloudTrail risultati VPC, ma non si applicano ai risultati DNS.
GuardDuty può essere configurato per utilizzare i seguenti tipi di elenchi.
- Elenco di indirizzi IP affidabili
-
Gli elenchi di IP affidabili sono costituiti da indirizzi IP attendibili per comunicazioni sicure con AWS l'infrastruttura e le applicazioni. GuardDuty non genera log di flusso VPC o CloudTrail risultati per gli indirizzi IP negli elenchi IP affidabili. Puoi includere un massimo di 2.000 indirizzi IP e intervalli CIDR in un singolo elenco di IP affidabili. In qualsiasi momento, puoi avere soltanto un elenco di indirizzi IP affidabili caricato per account AWS per regione.
- Elenco di IP delle minacce
-
Un elenco minacce è costituito dagli indirizzi IP dannosi noti. Questo elenco può essere fornito dall'intelligence sulle minacce di terze parti o creato appositamente per l'organizzazione. Oltre a generare risultati a causa di un'attività potenzialmente sospetta, genera GuardDuty anche risultati basati su questi elenchi di minacce. È possibile includere un massimo di 250.000 indirizzi IP e intervalli CIDR in un unico elenco di minacce. GuardDuty genera risultati solo sulla base di un'attività che coinvolge indirizzi IP e intervalli CIDR negli elenchi di minacce; i risultati non vengono generati in base ai nomi di dominio. In qualsiasi momento, puoi caricare fino a sei elenchi di minacce Account AWS per ogni regione.
Nota
Se includi lo stesso IP sia in un elenco di IP affidabili che in un elenco minacce, l'IP verrà elaborato prima dall'elenco di indirizzi IP affidabili e non verrà generato alcun esito.
In ambienti con più account, solo gli utenti con account GuardDuty amministratore possono aggiungere e gestire elenchi di IP affidabili ed elenchi di minacce. Gli elenchi di IP affidabili e gli elenchi di minacce caricati dall'account amministratore non possono funzionare GuardDuty correttamente negli account dei membri. In altre parole, negli account dei membri GuardDuty genera risultati basati su attività che coinvolgono indirizzi IP dannosi noti presenti negli elenchi di minacce dell'account amministratore e non genera risultati basati su attività che coinvolgono gli indirizzi IP degli elenchi di IP affidabili dell'account amministratore. Per ulteriori informazioni, consulta Gestione di più account in Amazon GuardDuty.
Formati di elenco
GuardDuty accetta elenchi nei seguenti formati.
La dimensione massima di ogni file che ospita l'elenco di indirizzi IP affidabili o di IP delle minacce è 35 MB. Nel tuo elenco degli indirizzi IP affidabili e di IP delle minacce, gli indirizzi IP e gli intervalli CIDR devono comparire uno per riga. Sono accettati solo indirizzi IPv4.
-
Testo normale (TXT)
Questo formato supporta sia blocchi CIDR che indirizzi IP individuali. Il seguente elenco di esempio utilizza il formato di testo normale (TXT).
192.0.2.0/24 198.51.100.1 203.0.113.1 -
Structured Threat Information Expression (STIX)
Questo formato supporta sia blocchi CIDR che indirizzi IP individuali. Il seguente elenco di esempio utilizza il formato STIX.
<?xml version="1.0" encoding="UTF-8"?> <stix:STIX_Package xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:stix="http://stix.mitre.org/stix-1" xmlns:stixCommon="http://stix.mitre.org/common-1" xmlns:ttp="http://stix.mitre.org/TTP-1" xmlns:cybox="http://cybox.mitre.org/cybox-2" xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2" xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2" xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1" xmlns:example="http://example.com/" xsi:schemaLocation=" http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd" id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16" version="1.2"> <stix:Observables cybox_major_version="1" cybox_minor_version="1"> <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236"> <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab"> <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784"> <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> </stix:Observables> </stix:STIX_Package> -
Open Threat Exchange (OTX)TM CSV
Questo formato supporta sia blocchi CIDR che indirizzi IP individuali. Il seguente elenco di esempio utilizza il formato
OTXTMCSV.Indicator type, Indicator, Description CIDR, 192.0.2.0/24, example IPv4, 198.51.100.1, example IPv4, 203.0.113.1, example -
FireEyeTM iSight Threat Intelligence CSV
Questo formato supporta sia blocchi CIDR che indirizzi IP individuali. Il seguente elenco di esempio utilizza un formato
FireEyeTMCSV.reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime 01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400 01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400 01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400 -
ProofpointTM ET Intelligence Feed CSV
Questo formato supporta solo indirizzi IP individuali. Il seguente elenco di esempio utilizza il formato
ProofpointCSV. Il parametroportsè facoltativo. Se non inserisci il parametro porta, assicurati di lasciare una virgola finale (,).ip, category, score, first_seen, last_seen, ports (|) 198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80 -
AlienVaultFeed di reputazione TM
Questo formato supporta solo indirizzi IP individuali. Il seguente elenco di esempio utilizza il formato
AlienVault.198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3 203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
Autorizzazioni necessarie per caricare elenchi di indirizzi IP affidabili ed elenchi minacce
Diverse identità IAM richiedono autorizzazioni speciali per utilizzare elenchi di IP affidabili e elenchi di minacce. GuardDuty Un'identità con la policy gestita AmazonGuardDutyFullAccess collegata può rinominare e disattivare soltanto gli elenchi di indirizzi IP affidabili e gli elenchi minacce caricati.
Per concedere a varie identità l'accesso completo alla gestione degli elenchi di indirizzi IP affidabili e gli elenchi minacce (in aggiunta alla ridenominazione e alla disattivazione, sono inclusi anche l'aggiunta, l'attivazione, l'eliminazione e l'aggiornamento della posizione o del nome degli elenchi), assicurati che le operazioni seguenti siano presenti nella policy di autorizzazioni collegata a un utente, gruppo o ruolo:
{ "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }
Importante
Queste operazioni non sono incluse nella policy gestita AmazonGuardDutyFullAccess.
Utilizzo della crittografia lato server per elenchi di indirizzi IP affidabili ed elenchi minacce
GuardDuty supporta i seguenti tipi di crittografia per gli elenchi: SSE-AES256 e SSE-KMS. SSE-C non è supportato. Per ulteriori informazioni sui tipi di crittografia per S3, consulta Protezione dei dati con la crittografia lato server.
Se l'elenco è crittografato utilizzando la crittografia lato server SSE-KMS, è necessario concedere al ruolo collegato al GuardDuty servizio l'autorizzazione a decrittografare il file per attivare l'elenco. AWSServiceRoleForAmazonGuardDuty Aggiungi la seguente istruzione alla policy della chiave KMS e sostituisci l'ID account con il tuo:
{ "Sid": "AllowGuardDutyServiceRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }, "Action": "kms:Decrypt*", "Resource": "*" }
Aggiunta e attivazione di un elenco di indirizzi IP affidabili o di IP delle minacce
Scegli uno dei seguenti metodi di accesso per aggiungere e attivare un elenco di indirizzi IP affidabili o di IP delle minacce.
Nota
Dopo aver attivato o aggiornato un elenco di IP, la sincronizzazione dell'elenco GuardDuty potrebbe richiedere fino a 15 minuti.
Aggiornamento di elenchi di indirizzi IP affidabili e di elenchi minacce
È possibile aggiornare il nome di un elenco o gli indirizzi IP aggiunti a un elenco che è già stato aggiunto e attivato. Se si aggiorna un elenco, è necessario riattivarlo GuardDuty per utilizzare la versione più recente dell'elenco.
Scegli uno dei metodi di accesso per aggiornare un elenco di IP affidabili o un elenco minacce.
Disattivazione o eliminazione di un elenco di indirizzi IP affidabili o un elenco minacce
Scegli uno dei metodi di accesso per eliminare (utilizzando la console) o disattivare (utilizzando API/CLI) un elenco di indirizzi IP affidabili o un elenco minacce.
