エンティティリストまたは IP リストの追加とアクティブ化 - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

エンティティリストまたは IP リストの追加とアクティブ化

エンティティリストと IP アドレスリストは、GuardDuty の脅威検出機能をカスタマイズするのに役立ちます。これらのリストの詳細については、「」を参照してくださいエンティティリストと IP アドレスリストについて。 AWS 環境の信頼された脅威インテリジェンスデータを管理するために、GuardDuty ではエンティティリストを使用することをお勧めします。開始する前に、「エンティティリストと IP アドレスリストの前提条件の設定」を参照してください。

次のいずれかのアクセス方法を選択して、信頼されたエンティティリスト、脅威エンティティリスト、信頼された IP リスト、または脅威 IP リストを追加およびアクティブ化します。

Console
(オプション) ステップ 1: リストの場所の URL を取得する

  1. Amazon S3 コンソール (https://console.aws.amazon.com/s3/) を開きます。

  2. ナビゲーションペインで、バケットを選択します。

  3. 追加する特定のリストを含む Amazon S3 バケット名を選択します。

  4. オブジェクト (リスト) 名を選択すると、その詳細が表示されます。

  5. [プロパティ] タブで、このオブジェクトの S3 URI をコピーします。

ステップ 2: 信頼できるデータまたは脅威インテリジェンスデータを追加する

  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. ナビゲーションペインで、[リスト]‎‏‎‏ を選択します。

  3. リストページで、エンティティリストまたは IP アドレスリストタブを選択します。

  4. 選択したタブに基づいて、信頼されたリストまたは脅威リストの追加を選択します。

  5. 信頼されたリストまたは脅威リストを追加するダイアログボックスで、次の手順を実行します。

    1. [リスト名] で、リストの名前を入力します。

      リストの命名に関する制約 - リストの名前には、小文字、大文字、数字、ダッシュ (-)、アンダースコア (_) を含めることができます。

      IP アドレスリストの場合、リストの名前は AWS アカウント および リージョン内で一意である必要があります。

    2. [場所] で、リストをアップロードした場所を指定します。まだ持っていない場合は、「Step 1: Fetching location URL of your list」を参照してください。

      場所の URL の形式

      • https://s3.amazonaws.com/bucket.name/file.txt

      • https://s3-aws-region.amazonaws.com/bucket.name/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • http://bucket.s3-aws-region.amazonaws.com/file.txt

      • s3://bucket.name/file.txt

    3. (オプション) 予想されるバケット所有者には、 Location フィールドで指定された Amazon S3 バケットを所有する AWS アカウント ID を入力できます。

      AWS アカウント ID 所有者を指定しない場合、GuardDuty はエンティティリストと IP アドレスリストの動作が異なります。エンティティリストの場合、GuardDuty は現在のメンバーアカウントが Location フィールドで指定された S3 バケットを所有していることを検証します。IP アドレスリストの場合、 AWS アカウント ID 所有者を指定しない場合、GuardDuty は検証を実行しません。

      GuardDuty がこの S3 バケットが指定されたアカウント ID に属していないと判断した場合、リストのアクティブ化時にエラーが発生します。

    4. [I agree] (同意します) チェックボックスをオンにします。

    5. [Add list] (リストを追加) を選択します。デフォルトでは、追加されたリストの [ステータス] は [非アクティブ] です。リストを有効にするには、リストをアクティブ化する必要があります。

ステップ 3: エンティティリストまたは IP アドレスリストをアクティブ化する

  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. ナビゲーションペインで、[リスト]‎‏‎‏ を選択します。

  3. リストページで、リストをアクティブ化するタブ - エンティティリストまたは IP アドレスリストを選択します。

  4. アクティブ化するリストを 1 つ選択します。これにより、アクションメニューと編集メニューが有効になります。

  5. Action を選択しActivate を選択します。

API/CLI
信頼されたエンティティリストを追加してアクティブ化するには

  1. CreateTrustedEntitySet を実行します。この信頼されたエンティティリストを作成するdetectorIdメンバーアカウントの を必ず指定してください。アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

    リストの命名に関する制約 - リストの名前には、小文字、大文字、数字、ダッシュ (-)、アンダースコア (_) を含めることができます。

  2. または、次の AWS Command Line Interface コマンドを実行してこれを行うことができます。

    aws guardduty create-trusted-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    を、信頼されたエンティティリストを作成するメンバーアカウントのディテクター ID、および赤色で表示されるその他のプレースホルダー値detector-idに置き換えます。

    この新しく作成されたリストをアクティブ化しない場合は、 パラメータを --activateに置き換えます--no-activate

    expected-bucket-owner パラメータはオプションです。このパラメータの値を指定するかどうかにかかわらず、GuardDuty は、この--detector-id値に関連付けられた AWS アカウント ID が --locationパラメータで指定された S3 バケットを所有していることを検証します。GuardDuty がこの S3 バケットが指定されたアカウント ID に属していないと判断した場合、このリストをアクティブ化するときにエラーが発生します。

脅威エンティティリストを追加およびアクティブ化するには

  1. CreateThreatEntitySet を実行します。この脅威エンティティリストを作成するdetectorIdメンバーアカウントの を必ず指定してください。アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

    リストの命名に関する制約 - リストの名前には、小文字、大文字、数字、ダッシュ (-)、アンダースコア (_) を含めることができます。

  2. または、次の AWS Command Line Interface コマンドを実行してこれを行うことができます。

    aws guardduty create-threat-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    を、信頼されたエンティティリストを作成するメンバーアカウントのディテクター ID、および赤色で表示されるその他のプレースホルダー値detector-idに置き換えます。

    この新しく作成されたリストをアクティブ化しない場合は、 パラメータを --activateに置き換えます--no-activate

    expected-bucket-owner パラメータはオプションです。このパラメータの値を指定するかどうかにかかわらず、GuardDuty は、この--detector-id値に関連付けられた AWS アカウント ID が --locationパラメータで指定された S3 バケットを所有していることを検証します。GuardDuty がこの S3 バケットが指定されたアカウント ID に属していないと判断した場合、このリストをアクティブ化するときにエラーが発生します。

信頼された IP アドレスリストを追加してアクティブ化するには

  1. CreateIPSet を実行します。この信頼された IP アドレスリストを作成するdetectorIdメンバーアカウントの を必ず指定してください。アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

    IP アドレスリストの場合、リストの名前は AWS アカウント および リージョン内で一意である必要があります。

    リストの命名に関する制約 - リストの名前には、小文字、大文字、数字、ダッシュ (-)、アンダースコア (_) を含めることができます。

  2. または、次の AWS Command Line Interface コマンドを実行して、 を信頼された IP アドレスリストを更新するメンバーアカウントのdetector-idディテクター ID に置き換えます。

    aws guardduty create-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    を、信頼された IP リストを作成するメンバーアカウントのディテクター ID、および赤色で表示されるその他のプレースホルダー値detector-idに置き換えます。

    この新しく作成されたリストをアクティブ化しない場合は、 パラメータを --activateに置き換えます--no-activate

    expected-bucket-owner パラメータはオプションです。S3 バケットを所有するアカウント ID を指定しない場合、GuardDuty は検証を実行しません。expected-bucket-owner パラメータのアカウント ID を指定すると、GuardDuty はこの AWS アカウント ID が --locationパラメータで指定された S3 バケットを所有していることを検証します。GuardDuty がこの S3 バケットが指定されたアカウント ID に属していないと判断した場合、このリストをアクティブ化するときにエラーが発生します。

脅威 IP リストを追加およびアクティブ化するには

  1. CreateThreatIntelSet を実行します。この脅威 IP アドレスリストを作成するdetectorIdメンバーアカウントの を必ず指定してください。アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

    リストの命名に関する制約 - リストの名前には、小文字、大文字、数字、ダッシュ (-)、アンダースコア (_) を含めることができます。

    IP アドレスリストの場合、リストの名前は AWS アカウント および リージョン内で一意である必要があります。

  2. または、次の AWS Command Line Interface コマンドを実行して、 を脅威 IP リストを更新するメンバーアカウントのdetector-idディテクター ID に置き換えます。

    aws guardduty create-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    を、脅威 IP リストを作成するメンバーアカウントのディテクター ID、および赤色で表示されるその他のプレースホルダー値detector-idに置き換えます。

    この新しく作成されたリストをアクティブ化しない場合は、 パラメータを --activateに置き換えます--no-activate

    expected-bucket-owner パラメータはオプションです。S3 バケットを所有するアカウント ID を指定しない場合、GuardDuty は検証を実行しません。expected-bucket-owner パラメータのアカウント ID を指定すると、GuardDuty はこの AWS アカウント ID が --locationパラメータで指定された S3 バケットを所有していることを検証します。GuardDuty がこの S3 バケットが指定されたアカウント ID に属していないと判断した場合、このリストをアクティブ化するときにエラーが発生します。

エンティティリストまたは IP アドレスリストをアクティブ化すると、このリストが有効になるまでに数分かかる場合があります。詳細については、「GuardDuty リストに関する重要な考慮事項」を参照してください。