信頼されている IP リストと脅威リストの操作 - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

信頼されている IP リストと脅威リストの操作

Amazon GuardDuty では、VPC フローログ、AWS CloudTrail イベントログ、および DNS ログを分析および処理することで、AWS 環境のセキュリティを監視します。このモニタリングのスコープは、GuardDuty で独自の信頼されている IP のアラートを停止するように設定することでカスタマイズできます。信頼されている IP リストあなた自身から既知の悪質なIPに警告する脅威リスト。これらのリストは、すべての VPC フローログおよび CloudTrail 結果に適用されますが、DNS 結果には適用されません。

GuardDuty は、次のタイプのリストを使用するように設定できます。

信頼できる IP リスト

信頼されている IP リストは、AWS インフラストラクチャやアプリケーションとの安全な通信に使用できる IP アドレスで構成されます。GuardDuty は信頼されている IP リストの IP アドレスの VPC フローログまたは CloudTrail 結果は生成しません。単一の信頼できる IP リストには、最大 2000 の IP アドレスと CIDR 範囲を含めることができます。どの時点でも、信頼されている IP リストのアップロード数は各リージョンの AWS アカウントにつき 1 つに限られます。

脅威リスト

脅威リストは、既知の悪意のある IP アドレスで構成されます。これらのリストは、サードパーティの脅威インテリジェンスによって提供することも、組織用に特別に作成することもできます。GuardDuty では、脅威リストに基づいて結果を生成します。単一の脅威リストには、最大 250,000 の IP アドレスと CIDR 範囲を含めることができます。GuardDuty では、脅威リストの IP アドレスと CIDR 範囲が関与するアクティビティに基づく結果のみが生成されます。ドメイン名に基づく結果は生成しません。どの時点でも、脅威リストのアップロード数は各リージョンの AWS アカウントにつき最大 6 つに限られます。

注記

信頼できる IP リストと脅威リストは、パブリックにルーティング可能な IP アドレスを宛先とするトラフィックにのみ適用されます。

マルチアカウント環境では、GuardDuty 管理者アカウントのユーザーのみが信頼されている IP リストと脅威リストをアップロードして管理することができます。管理者アカウントからアップロードされた信頼されている IP リストと脅威リストは、そのメンバーアカウントの GuardDuty 機能に適用されます。つまり、メンバーアカウントの場合、GuardDuty は管理者の脅威リストで既知の悪意ある IP アドレスを含むアクティビティに基づく結果を生成しますが、管理者の信頼される IP リストの IP アドレスに関連するアクティビティに基づく結果は生成しません。詳細については、「Amazon GuardDuty で複数のアカウントを管理する AWS のサービスと GuardDuty」を参照してください。

リスト形式

GuardDuty は、次の形式でリストを受け入れます。

  • TXT

  • STIX

  • OTX_CSV

  • ALIEN_VAULT

  • PROOF_POINT

  • FIRE_EYE

信頼できる IP リストまたは脅威リストをホストするファイルの最大サイズは 35 MB です。

信頼できる IP リストと脅威リストで、IP アドレスおよび CIDR 範囲を 1 行に 1 つずつ表示する必要があります。サンプルリストをプレーンテキスト (TXT) 形式で以下に示します。

54.20.175.217 205.0.0.0/8

信頼されている IP リストと脅威リストをアップロードするために必要なアクセス許可

GuardDuty の信頼されている IP リストや脅威リストを操作するには、さまざまな IAM ID に特別なアクセス権限が必要です。AmazonGuardDutyFullAccess 管理ポリシーがアタッチされている ID のみがアップロードされた信頼されている IP リストと脅威リストの名前を変更および無効化できます。

さまざまな ID に、信頼されている IP リストと脅威リストの操作 (名前変更および無効化に加えて、リストのアップロード、有効化、削除、場所の更新が含まれます) を行うためのフルアクセスを付与するには、次のアクションが IAM ユーザー、グループ、またはロールにアタッチされたアクセス権ポリシーに存在することを確認してください。

{ "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }
重要

これらのアクションは AmazonGuardDutyFullAccess 管理ポリシーに含まれていません。

信頼されている IP リストと脅威リストに対するサーバー側の暗号化の使用

GuardDuty は、リストに対して次の暗号化タイプをサポートしています。SSE-AES256とSSE-KMS。SSE-C はサポートされていません。S3 の暗号化タイプの詳細については、サーバー側の暗号化を使用したデータの保護

リストが、サーバー側の暗号化 SSE-KMS を使用して暗号化されている場合は、GuardDuty サービスリンクロールをAWSservicerOLEのAmazonガードデューティアクセス許可を使用してファイルを復号化し、リストをアクティブにします。次のステートメントを KMS キーポリシーに追加し、アカウント ID を独自のものに置き換えます。

{ "Sid": "Allow access for GuardDuty Service Role", "Effect": "Allow", "Principal": { "AWS": "arn:aws::iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }, "Action": "kms:Decrypt*", "Resource": "*" }

信頼されている IP リストと脅威リストをアップロードするには

次の手順では、信頼されている IP リストと脅威リストを GuardDuty コンソールでアップロードする方法を示します。

信頼できる IP リストと脅威リストをアップロードするには (コンソール)

  1. GuardDuty コンソール () を開きます。https://console.aws.amazon.com/guardduty/

  2. ナビゲーションペインで [Settings] の [Lists] を選択します。

  3. [List management] ページで、[Add a trusted IP list] または [Add a threat list] を選択します。

  4. ] ダイアログボックスで、以下の操作を実行します。

    • を使用する場合リスト名にリストの名前を入力します。

    • [Location] で、リストの場所を指定します。これは、信頼できる IP リストまたは脅威リストと、リストを含むファイルが保存されている S3 バケットです。

      注記

      次の形式で場所の URL を指定できます。

      • https://s3.amazonaws.com/bucket.name/file.txt

      • https://s3-aws-region.amazonaws.com/bucket.name/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • http://bucket.s3-aws-region.amazonaws.com/file.txt

      • s3: //bucket.name/file.txt

    • [Format] で、リストのファイルタイプを選択します。

    • [I agree] チェックボックスをオンにします。

    • [Add list] を選択します。

信頼されている IP リストと脅威リストを有効化または無効化にするには

次の手順では、アップロードが完了した後で GuardDuty の信頼されている IP リストや脅威リストを有効化または無効化にする方法を示します。GuardDuty は有効化になっている場合、AWS 環境のモニタリングでアップロードしたリストのみを含みます。

信頼されている IP リストと脅威リストを有効化にする (コンソール)

  1. GuardDuty コンソール () を開きます。https://console.aws.amazon.com/guardduty/

  2. ナビゲーションペインで [Settings] の [Lists] を選択します。

  3. [List management] ページで、有効化したい信頼されている IP セットまたは脅威リストを探し、[Active] の列にあるラジオボタンを選択します。

信頼されている IP リストや脅威リストを無効化にする (API または CLI)

  • UpdateThreatIntelSetUpdateIPSet オペレーションまたは update-ip-setupdate-threat-intel-set CLI コマンドを実行することで、信頼されている IP リストまたは脅威リストを無効化にすることができます。

    たとえば、次のコマンドを実行できます。

    aws guardduty update-ip-set --detector-id <detector-id> --ip-set-id <ip-set-id> --no-activate

    <detector-id> と <ip-set-id> を、有効なディテクター ID と信頼されている IP リスト ID に必ず置き換えてください。

信頼されている IP リストと脅威リストを更新するには

GuardDuty にすでにアップロードされて有効な信頼されている IP リストあるいは脅威リストを変更する場合 (たとえば、リストの名前を変更するまたは IP アドレスを追加するなど)、GuardDuty のセキュリティで最新バージョンのリストを使用するように、このリストをに更新する必要があります。スコープのモニタリング。信頼されている IP リストまたは脅威リストを更新するには、以下の手順を使用するか、UpdateThreatIntelSetおよびUpdateIPSetGuardDuty API の操作。

信頼されている IP リストと脅威リストを更新するには (コンソール)

  1. GuardDuty コンソール () を開きます。https://console.aws.amazon.com/guardduty/

  2. ナビゲーションペインで [Settings] の [Lists] を選択します。

  3. [リスト管理] ページで、更新する信頼されている IP セットまたは脅威リストを探し、[アクティブ] の列にある鉛筆アイコンを選択します。

  4. [更新リスト] ポップアップウィンドウで指定するリストの情報を確認し、[同意します] を選択して、[リストの更新] を選択します。

  5. [リスト管理] ページで、再度有効化したい信頼される IP セットまたは脅威リストを探し、[アクティブ] の列にあるラジオボタンを選択します。

脅威インテリジェンスのフィードをプログラムでインポートする方法については、「How to automate the import of third-party threat intelligence feeds」というブログ記事を参照してください。