翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
信頼できる IP リストと 脅威リストの使用
Amazon は、VPCフローログ、 AWS CloudTrail イベントログ、およびログを分析して処理することで、 AWS 環境のセキュリティを GuardDuty モニタリングしますDNS。IPs 独自の信頼された IP リストから信頼された のアラートを停止し、独自の脅威リストから既知の悪意のある をアラート GuardDuty するように を設定することで、このモニタリング範囲をカスタマイズIPsできます。
信頼できる IP リストと脅威リストは、パブリックにルーティング可能な IP アドレスを宛先とするトラフィックにのみ適用されます。リストの効果はすべてのVPCフローログと CloudTrail 検出結果に適用されますが、DNS検出結果には適用されません。
GuardDuty は、次のタイプのリストを使用するように設定できます。
- 信頼できる IP リスト
-
信頼できる IP リストは、 AWS インフラストラクチャやアプリケーションとの安全な通信のために信頼できる IP アドレスで構成されます。 は、信頼できる IP GuardDuty リストの IP アドレスのVPCフローログや CloudTrail 検出結果を生成しません。1 つの信頼できる IP リストに最大 2000 個の IP アドレスとCIDR範囲を含めることができます。どの時点でも、信頼できる IP リストのアップロード数は各リージョンの AWS アカウントにつき 1 つに限られます。
- 脅威 IP リスト
-
脅威リストは、悪意のある既知の IP アドレスで構成されます。このリストは、サードパーティの脅威インテリジェンスによって提供されるか、あるいは組織専用に特別に生成することができます。は、潜在的に疑わしいアクティビティのために検出結果を生成するだけでなく、これらの脅威リストに基づいて検出結果 GuardDuty も生成します。最大 250,000 個の IP アドレスとCIDR範囲を 1 つの脅威リストに含めることができます。 GuardDuty は、脅威リスト内の IP アドレスとCIDR範囲を含むアクティビティのみに基づいて検出結果を生成します。検出結果はドメイン名に基づいて生成されません。どの時点でも、各リージョンごとに AWS アカウント ごとに最大 6 つの脅威リストをアップロードできます。
注記
信頼できる IP リストと脅威リストの両方に同じ IP を含めると、それは最初に信頼できる IP リストによって処理され、検出結果は生成されません。
マルチアカウント環境では、 GuardDuty 管理者アカウントアカウントのユーザーのみが、信頼できる IP リストと脅威リストを追加および管理できます。管理者アカウントによってアップロードされる信頼された IP リストと脅威リストは、メンバーアカウントの GuardDuty 機能に適用されます。つまり、メンバーアカウントでは、管理者アカウントの脅威リストから既知の悪意のある IP アドレスを含むアクティビティに基づいて検出 GuardDuty 結果を生成し、管理者アカウントの信頼できる IP リストから IP アドレスを含むアクティビティに基づいて検出結果を生成しません。詳細については、「Amazon での複数のアカウントの管理 GuardDuty」を参照してください。
リストフォーマット
GuardDuty は、次の形式のリストを受け入れます。
信頼できる IP リストまたは脅威 IP リストをホストする各ファイルの最大サイズは 35 MB です。信頼できる IP リストと脅威 IP リストでは、IP アドレスとCIDR範囲は 1 行に 1 つずつ表示する必要があります。IPv4 アドレスのみが受け入れられます。
-
プレーンテキスト (TXT)
この形式は、CIDRブロック IP アドレスと個々の IP アドレスの両方をサポートします。次のサンプルリストでは、プレーンテキスト (TXT) 形式を使用しています。
192.0.2.0/24 198.51.100.1 203.0.113.1
-
構造化脅威情報式 (STIX)
この形式は、CIDRブロック IP アドレスと個々の IP アドレスの両方をサポートします。次のサンプルリストでは、 STIX形式を使用しています。
<?xml version="1.0" encoding="UTF-8"?> <stix:STIX_Package xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:stix="http://stix.mitre.org/stix-1" xmlns:stixCommon="http://stix.mitre.org/common-1" xmlns:ttp="http://stix.mitre.org/TTP-1" xmlns:cybox="http://cybox.mitre.org/cybox-2" xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2" xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2" xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1" xmlns:example="http://example.com/" xsi:schemaLocation=" http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd" id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16" version="1.2"> <stix:Observables cybox_major_version="1" cybox_minor_version="1"> <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236"> <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab"> <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784"> <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> </stix:Observables> </stix:STIX_Package>
-
オープン脅威交換 (OTX)TM CSV
この形式は、CIDRブロック IP アドレスと個々の IP アドレスの両方をサポートします。次のサンプルリストでは、
OTXTM
CSV形式を使用しています。Indicator type, Indicator, Description CIDR, 192.0.2.0/24, example IPv4, 198.51.100.1, example IPv4, 203.0.113.1, example
-
FireEyeTM iSIGHT 脅威インテリジェンス CSV
この形式は、CIDRブロック IP アドレスと個々の IP アドレスの両方をサポートします。次のサンプルリストでは、
FireEyeTM
CSV形式を使用しています。reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime 01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400 01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400 01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
-
ProofpointTM ET インテリジェンスフィード CSV
このフォーマットは、個々の IP アドレスのみをサポートします。次のサンプルリストでは、
Proofpoint
CSV形式を使用しています。ports
パラメータはオプションです。ポートをスキップする場合は、末尾のカンマ (,) を必ず残してください。ip, category, score, first_seen, last_seen, ports (|) 198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
-
AlienVaultTM 評価フィード
このフォーマットは、個々の IP アドレスのみをサポートします。次のサンプルリストは
AlienVault
フォーマットを使用しています。198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3 203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
信頼できる IP リストと 脅威リストをアップロードするために必要な許可
さまざまな ID IAM には、 で信頼できる IP リストと脅威リストを操作するための特別なアクセス許可が必要です GuardDuty。AmazonGuardDutyFullAccess マネージドポリシーがアタッチされている ID のみがアップロードされた信頼できる IP リストと脅威リストの名前を変更および無効化できます。
さまざまな ID に、信頼できる IP リストと脅威リストの操作 (名前の変更および非アクティブ化に加えて、リストの追加、アクティブ化、削除や、リストの場所または名前の更新が含まれます) を行うためのフルアクセスを付与するには、次のアクションがユーザー、グループ、またはロールにアタッチされた許可ポリシーに存在することを確認してください。
{ "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::
555555555555
:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }
重要
これらのアクションは AmazonGuardDutyFullAccess
マネージドポリシーに含まれていません。
信頼できる IP リストと脅威リストに対するサーバー側の暗号化の使用
GuardDuty では、リストの暗号化タイプとして SSE-AES256 と SSE- がサポートされていますKMS。SSE-C はサポートされていません。S3 サーバー側暗号化の使用の詳細については、「サーバーサイドの暗号化でデータを保護する」を参照してください。
リストがサーバー側の暗号化を使用して暗号化されている場合 SSE-KMS リストをアクティブ化するには、ファイルを復号化するアクセスAWSServiceRoleForAmazonGuardDuty許可を GuardDuty サービスにリンクされたロールに付与する必要があります。次のステートメントをKMSキーポリシーに追加し、アカウント ID を独自のステートメントに置き換えます。
{ "Sid": "AllowGuardDutyServiceRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
123456789123
:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }, "Action": "kms:Decrypt*", "Resource": "*" }
信頼されている IP リストまたは脅威 IP リストの追加とアクティブ化
次のアクセス方法のいずれかを選択して、信頼されている IP リストまたは脅威 IP リストを追加してアクティブ化します。
注記
IP リストをアクティブ化または更新した後、リストの同期に最大 15 分かかる GuardDuty 場合があります。
信頼できる IP リストと脅威リストの更新
リストの名前、または既に追加およびアクティブ化されているリストに追加された IP アドレスを更新できます。リストを更新する場合は、 がリストの最新バージョン GuardDuty を使用するには、リストを再度アクティブ化する必要があります。
いずれかのアクセス方法を選択して、信頼されている IP リストまたは脅威リストを更新します。
信頼されている IP リストまたは脅威リストの非アクティブ化または削除
信頼された IP リストまたは脅威リストを削除する (コンソールを使用) か非アクティブ化する (API/ を使用CLI) アクセス方法のいずれかを選択します。