信頼できる IP リストと 脅威リストの使用 - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

信頼できる IP リストと 脅威リストの使用

Amazon は、VPC フローログ、 AWS CloudTrail イベントログ、DNS ログを分析して処理することで、 AWS 環境のセキュリティを GuardDuty モニタリングします。独自の信頼された IPs リストから信頼された IP のアラートを停止し、独自の脅威リストから既知の悪意のある IPs をアラート GuardDuty するように を設定することで、このモニタリング範囲をカスタマイズできます。

信頼できる IP リストと脅威リストは、パブリックにルーティング可能な IP アドレスを宛先とするトラフィックにのみ適用されます。リストの効果はすべての VPC フローログと CloudTrail 検出結果に適用されますが、DNS 検出結果には適用されません。

GuardDuty は、次のタイプのリストを使用するように設定できます。

信頼できる IP リスト

信頼できる IP リストは、 AWS インフラストラクチャやアプリケーションとの安全な通信のために信頼できる IP アドレスで構成されます。 は、信頼できる IP GuardDuty リストの IP アドレスの VPC フローログや CloudTrail 検出結果を生成しません。単一の信頼できる IP リストには、最大 2000 の IP アドレスと CIDR 範囲を含めることができます。どの時点でも、信頼できる IP リストのアップロード数は各リージョンの AWS アカウントにつき 1 つに限られます。

脅威 IP リスト

脅威リストは、悪意のある既知の IP アドレスで構成されます。このリストは、サードパーティの脅威インテリジェンスによって提供されるか、あるいは組織専用に特別に生成することができます。は、潜在的に疑わしいアクティビティのために検出結果を生成するだけでなく、これらの脅威リストに基づいて検出結果 GuardDuty も生成します。最大 250,000 個の IP アドレスと CIDR 範囲を 1 つの脅威リストに含めることができます。 は、脅威リスト内の IP アドレスと CIDR 範囲を含むアクティビティのみに基づいて検出結果 GuardDuty を生成します。検出結果はドメイン名に基づいて生成されません。どの時点でも、各リージョンごとに AWS アカウント ごとに最大 6 つの脅威リストをアップロードできます。

注記

信頼できる IP リストと脅威リストの両方に同じ IP を含めると、それは最初に信頼できる IP リストによって処理され、検出結果は生成されません。

マルチアカウント環境では、 GuardDuty 管理者アカウントアカウントのユーザーのみが、信頼できる IP リストと脅威リストを追加および管理できます。管理者アカウントによってアップロードされる信頼された IP リストと脅威リストは、メンバーアカウントの GuardDuty 機能に適用されます。つまり、メンバーアカウントでは、管理者アカウントの脅威リストから既知の悪意のある IP アドレスを含むアクティビティに基づいて検出結果 GuardDuty を生成し、管理者アカウントの信頼できる IP リストから IP アドレスを含むアクティビティに基づいて検出結果を生成しません。詳細については、「Amazon での複数のアカウントの管理 GuardDuty」を参照してください。

リストフォーマット

GuardDuty は、次の形式のリストを受け入れます。

信頼できる IP リストまたは脅威 IP リストをホストする各ファイルの最大サイズは 35 MB です。信頼できる IP リストと脅威 IP リストで、IP アドレスおよび CIDR 範囲を 1 行に 1 つずつ表示する必要があります。IPv4 アドレスのみ受け入れられます。

  • プレーンテキスト (TXT)

    このフォーマットは、CIDR ブロックと個々の IP アドレスの両方をサポートします。次のサンプルリストはプレーンテキスト (TXT) フォーマットを使用しています。

    192.0.2.0/24 198.51.100.1 203.0.113.1
  • 脅威情報構造化記述形式 (STIX)

    このフォーマットは、CIDR ブロックと個々の IP アドレスの両方をサポートします。次のサンプルリストは STIX フォーマットを使用しています。

    <?xml version="1.0" encoding="UTF-8"?> <stix:STIX_Package xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:stix="http://stix.mitre.org/stix-1" xmlns:stixCommon="http://stix.mitre.org/common-1" xmlns:ttp="http://stix.mitre.org/TTP-1" xmlns:cybox="http://cybox.mitre.org/cybox-2" xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2" xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2" xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1" xmlns:example="http://example.com/" xsi:schemaLocation=" http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd" id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16" version="1.2"> <stix:Observables cybox_major_version="1" cybox_minor_version="1"> <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236"> <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab"> <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784"> <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> </stix:Observables> </stix:STIX_Package>
  • Open Threat Exchange (OTX)TM CSV

    このフォーマットは、CIDR ブロックと個々の IP アドレスの両方をサポートします。次のサンプルリストは OTXTM CSV フォーマットを使用しています。

    Indicator type, Indicator, Description CIDR, 192.0.2.0/24, example IPv4, 198.51.100.1, example IPv4, 203.0.113.1, example
  • FireEyeTM iSIGHT 脅威インテリジェンス CSV

    このフォーマットは、CIDR ブロックと個々の IP アドレスの両方をサポートします。次のサンプルリストは FireEyeTM CSV フォーマットを使用しています。

    reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime 01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400 01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400 01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
  • ProofpointTM ET Intelligence Feed CSV

    このフォーマットは、個々の IP アドレスのみをサポートします。次のサンプルリストは Proofpoint CSV フォーマットを使用しています。ports パラメータはオプションです。ポートをスキップする場合は、末尾のカンマ (,) を必ず残してください。

    ip, category, score, first_seen, last_seen, ports (|) 198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
  • AlienVaultTM 評価フィード

    このフォーマットは、個々の IP アドレスのみをサポートします。次のサンプルリストは AlienVault フォーマットを使用しています。

    198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3 203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3

信頼できる IP リストと 脅威リストをアップロードするために必要な許可

さまざまな IAM ID には、 で信頼できる IP リストと脅威リストを操作するための特別なアクセス許可が必要です GuardDuty。AmazonGuardDutyFullAccess マネージドポリシーがアタッチされている ID のみがアップロードされた信頼できる IP リストと脅威リストの名前を変更および無効化できます。

さまざまな ID に、信頼できる IP リストと脅威リストの操作 (名前の変更および非アクティブ化に加えて、リストの追加、アクティブ化、削除や、リストの場所または名前の更新が含まれます) を行うためのフルアクセスを付与するには、次のアクションがユーザー、グループ、またはロールにアタッチされた許可ポリシーに存在することを確認してください。

{ "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }
重要

これらのアクションは AmazonGuardDutyFullAccess マネージドポリシーに含まれていません。

信頼できる IP リストと脅威リストに対するサーバー側の暗号化の使用

GuardDuty では、SSE-AES256 と SSE-KMS のリストの暗号化タイプがサポートされています。SSE-C はサポートされていません。S3 サーバー側暗号化の使用の詳細については、「サーバーサイドの暗号化でデータを保護する」を参照してください。

サーバー側の暗号化 SSE-KMS を使用してリストが暗号化されている場合は、リストをアクティブ化するためにファイルを復号化するアクセスAWSServiceRoleForAmazonGuardDuty許可を GuardDuty サービスにリンクされたロールに付与する必要があります。KMS キーポリシーに次のステートメントを追加し、アカウント ID を独自のステートメントに置き換えます。

{ "Sid": "AllowGuardDutyServiceRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }, "Action": "kms:Decrypt*", "Resource": "*" }

信頼されている IP リストまたは脅威 IP リストの追加とアクティブ化

次のアクセス方法のいずれかを選択して、信頼されている IP リストまたは脅威 IP リストを追加してアクティブ化します。

Console
(オプション) ステップ 1: リストの場所の URL を取得する
  1. https://console.aws.amazon.com/s3/でAmazon S3 コンソールを開きます。

  2. ナビゲーションペインで、バケットを選択します。

  3. 追加する特定のリストを含む Amazon S3 バケット名を選択します。

  4. オブジェクト (リスト) 名を選択すると、その詳細が表示されます。

  5. [プロパティ] タブで、このオブジェクトの S3 URI をコピーします。

ステップ 2: 信頼されている IP リストまたは脅威リストを追加する
重要

デフォルトでは、どの時点においても、持つことのできる信頼されている IP リストは 1 つのみです。同様に、最大 6 つの脅威リストを作成できます。

  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. ナビゲーションペインで、[リスト]‎‏‎‏ を選択します。

  3. [List management] (リスト管理) ページで、[Add a trusted IP list] (信頼されている IP リストの追加) または [Add a threat list] (脅威リストを追加) を選択します。

  4. 選択内容に基づいて、ダイアログボックスが表示されます。次のステップを実行します。

    1. [リスト名] で、リストの名前を入力します。

      リストの命名に関する制約 – リストの名前には、小文字、大文字、数字、ダッシュ (-)、アンダースコア (_) を含めることができます。

    2. [場所] で、リストをアップロードした場所を指定します。まだ持っていない場合は、「Step 1: Fetching location URL of your list」を参照してください。

      場所の URL の形式
      • https://s3.amazonaws.com/bucket.name/file.txt

      • https://s3-aws-region.amazonaws.com/bucket.name/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • http://bucket.s3-aws-region.amazonaws.com/file.txt

      • s3://bucket.name/file.txt

    3. [I agree] (同意します) チェックボックスをオンにします。

    4. [Add list] (リストを追加) を選択します。デフォルトでは、追加されたリストの [ステータス] は [非アクティブ] です。リストを有効にするには、リストをアクティブ化する必要があります。

ステップ 3: 信頼されている IP リストまたは脅威リストをアクティブ化する
  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. ナビゲーションペインで、[リスト]‎‏‎‏ を選択します。

  3. [リスト管理] ページで、アクティブ化するリストを選択します。

  4. [アクション] を選択し、[アクティブ化] を選択します。リストが有効になるまでに最大 15 分かかる場合があります。

API/CLI
信頼されている IP リストの場合
  • CreateIPSet を実行します。この信頼されている IP リストを作成するメンバーアカウントの detectorId を必ず指定してください。

    リストの命名に関する制約 – リストの名前には、小文字、大文字、数字、ダッシュ (-)、アンダースコア (_) を含めることができます。

    • または、次の  AWS Command Line Interface  コマンドを実行してこれを行うこともできます。このとき、detector-id を、信頼されている IP リストを更新するメンバーアカウントのディテクター ID に置き換えてください。

      aws guardduty create-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --format Plaintext --location https://s3.amazonaws.com/DOC-EXAMPLE-BUCKET2/DOC-EXAMPLE-SOURCE-FILE.format --activate
脅威リストの場合
  • CreateThreatIntelSet を実行します。この脅威リストを作成するメンバーアカウントの detectorId を必ず指定してください。

    • または、次の AWS Command Line Interface コマンドを実行してこれを行うことができます。脅威リストを作成するメンバーアカウントの detectorId を必ず指定してください。

      aws guardduty create-threat-intel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --format Plaintext --location https://s3.amazonaws.com/DOC-EXAMPLE-BUCKET2/DOC-EXAMPLE-SOURCE-FILE.format --activate
注記

IP リストをアクティブ化または更新した後、リストの同期に最大 15 分かかる GuardDuty 場合があります。

信頼できる IP リストと脅威リストの更新

リストの名前、または既に追加およびアクティブ化されているリストに追加された IP アドレスを更新できます。リストを更新する場合は、 がリストの最新バージョン GuardDuty を使用するには、リストを再度アクティブ化する必要があります。

いずれかのアクセス方法を選択して、信頼されている IP リストまたは脅威リストを更新します。

Console
  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. ナビゲーションペインで、[リスト]‎‏‎‏ を選択します。

  3. [リスト管理] ページで、更新する信頼されている IP セットまたは脅威リストを選択します。

  4. [Actions] (アクション) を選択して、[Edit] (編集) を選択します。

  5. [リストを更新] ダイアログボックスで、必要に応じて情報を更新します。

    リストの命名に関する制約 – リストの名前には、小文字、大文字、数字、ダッシュ (-)、アンダースコア (_) を含めることができます。

  6. [同意します] チェックボックスをオンにし、[リストを更新] を選択します。[ステータス] 列の値が [非アクティブ] に変わります。

  7. 更新されたリストを再アクティブ化する
    1. [リスト管理] ページで、再びアクティブ化するリストを選択します。

    2. [アクション] を選択し、[アクティブ化] を選択します。

API/CLI
  1. UpdateIPSet を実行して、信頼されている IP リストを更新します。

    • あるいは、次の  AWS CLI  コマンドを実行して信頼されている IP リストを更新し、detector-id を、信頼されている IP リストを更新するメンバーアカウントのディテクター ID に置き換えることもできます。

      aws guardduty update-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --ip-set-id d4b94fc952d6912b8f3060768example --activate
  2. UpdateThreatIntelSet を実行して、脅威リストを更新する

    • あるいは、次の  AWS CLI  コマンドを実行して脅威リストを更新し、detector-id を、脅威リストを更新するメンバーアカウントのディテクター ID に置き換えることもできます。

      aws guardduty update-threatintel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --threat-intel-set-id d4b94fc952d6912b8f3060768example --activate

信頼されている IP リストまたは脅威リストの非アクティブ化または削除

(コンソールを使用して) 信頼されている IP リストもしくは脅威リストを削除するか、または (API/CLI を使用して) 非アクティブ化する、いずれかのアクセス方法を選択します。

Console
  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. ナビゲーションペインで、[リスト]‎‏‎‏ を選択します。

  3. [リスト管理] ページで、削除するリストを選択します。

  4. [アクション] を選択し、[削除] を選択します。

  5. アクションを確認して、[削除] を選択します。特定のリストはテーブルで使用できなくなります。

API/CLI
  1. 信頼されている IP リストの場合

    UpdateIPSet を実行して、信頼されている IP リストを更新します。

    • あるいは、次の  AWS CLI  コマンドを実行して信頼されている IP リストを更新し、detector-id を、信頼されている IP リストを更新するメンバーアカウントのディテクター ID に置き換えることもできます。

      アカウントと現在のリージョンdetectorIdの を見つけるには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照してください。

      aws guardduty update-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --ip-set-id d4b94fc952d6912b8f3060768example --no-activate
  2. 脅威リストの場合

    UpdateThreatIntelSet を実行して、脅威リストを更新する

    • あるいは、次の  AWS CLI  コマンドを実行して信頼されている IP リストを更新し、detector-id を、脅威リストを更新するメンバーアカウントのディテクター ID に置き換えることもできます。

      aws guardduty update-threatintel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --threat-intel-set-id d4b94fc952d6912b8f3060768example --no-activate