信頼できる IP リストと 脅威リストの使用
VPC フローログ、AWS のイベントログ、DNS ログを分析および処理することで、Amazon GuardDuty は、AWS CloudTrail 環境のセキュリティをモニタリングします。このモニタリングのスコープは、GuardDuty を設定して、独自の信頼できる IP リストと独自の脅威リストからの悪意のある既知のIPについてのアラートを停止するための GuardDuty を設定することでモニタリングの範囲をカスタマイズできます。
信頼できる IP リストと脅威リストは、パブリックにルーティング可能な IP アドレスを宛先とするトラフィックにのみ適用されます。リストの効果は、すべての VPC フローログおよび CloudTrail 検出結果に適用されますが、DNS 検出結果には適用されません。
GuardDuty は、次のタイプのリストを使用するように構成できます。
- 信頼できる IP リスト
-
信頼できる IP リストは、AWS インフラストラクチャ とアプリケーションを用いて、安全な通信として信頼している IP アドレスにより構成されています。GuardDuty は、VPC フローログまたは信頼できる IP リストの IP アドレスのための CloudTrail 検出結果を生成しません。単一の信頼できる IP リストには、最大 2000 の IP アドレスと CIDR 範囲を含めることができます。どの時点でも、信頼できる IP リストのアップロード数は各リージョンの AWS アカウントにつき 1 つに限られます。
- 脅威リスト
-
脅威リストは、悪意のある既知の IP アドレスで構成されます。これらのリストは、サードパーティの脅威インテリジェンスによって提供されるか、あるいは組織専用に特別に生成することができます。GuardDuty では、脅威リストに基づいて検出結果を生成します。単一の脅威リストには、最大 250,000 の IP アドレスと CIDR 範囲を含めることができます。GuardDuty は、脅威リスト内の IP アドレスおよび CIDR 範囲に関与するアクティビティのみに基づいて検出結果を生成し、ドメイン名に基づいて検出結果が生成されることはありません。どの時点でも、領域につき AWS アカウントごとのアップロードされた脅威リストは最大 6 つまでに限られます。
信頼できる IP リストと脅威リストの両方に同じ IP を含めると、それは最初に信頼できる IP リストによって処理され、検出結果は生成されません。
マルチアカウント環境では、GuardDuty 管理者アカウントのユーザーだけが、信頼できる IP リストと脅威リストをアップロードして管理することができます。管理者アカウントからアップロードされた信頼できる IP リストや脅威リストで、そのメンバーアカウントの GuardDuty 機能を与えました。つまり、メンバーアカウントの場合、GuardDuty は管理者の脅威リストからの、既知の悪意ある IP アドレスを含むアクティビティに基づく検出結果を生成しますが、管理者の信頼できる IP リストからの IP アドレスを含むアクティビティに基づく検出結果は生成しません。詳細については、「Amazon GuardDuty での複数のアカウントの管理 GuardDuty との AWS のサービス統合」を参照してください。
リストフォーマット
GuardDuty は次のフォーマットのリストを受け入れます。
TXT
STIX
OTX_CSV
ALIEN_VAULT
PROOF_POINT
FIRE_EYE
信頼できる IP リストまたは脅威リストをホストするファイルの最大サイズは 35 MB です。
信頼できる IP リストと脅威リストで、IP アドレスおよび CIDR 範囲を 1 行に 1 つずつ表示する必要があります。次は、プレーンテキスト (TXT) 形式のサンプルリストです。
54.20.175.217 205.0.0.0/8
信頼できる IP リストと 脅威リストをアップロードするために必要な許可
さまざまな IAM アイデンティティは、GuardDuty で信頼できる IP リストおよび脅威リストを用いて機能するための特別な許可を必要とします。AmazonGuardDutyFullAccess マネージドポリシーがアタッチされている ID のみがアップロードされた信頼できる IP リストと脅威リストの名前を変更および無効化できます。
さまざまな ID に、信頼できる IP リストと脅威リストの操作 (名前変更および無効化に加えて、リストのアップロード、有効化、削除、場所の更新が含まれます) を行うためのフルアクセスを付与するには、次のアクションが IAM ユーザー、グループ、またはロールにアタッチされたアクセス権ポリシーに存在することを確認してください。
{ "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }
これらのアクションは AmazonGuardDutyFullAccess
マネージドポリシーに含まれていません。
信頼できる IP リストと脅威リストに対するサーバー側の暗号化の使用
GuardDuty は、SSE-AES256 および SSE-KMS のリストの暗号化タイプをサポートしています。SSE-C はサポートされていません。S3 サーバー側暗号化の使用の詳細については、「サーバーサイドの暗号化でデータを保護する」を参照してください。
リストがサーバー側の暗号化 SSE-KMS を使用して暗号化されている場合は、GuardDuty サービスにリンクされたロールである AWSServiceRoleForAmazonGuardDuty に許可を与え、リストをアクティブ化するためにファイルを復号する必要があります。KMS キーポリシーに次のステートメントを追加し、アカウント ID を独自のステートメントに置き換えます。
{ "Sid": "AllowGuardDutyServiceRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
123456789123
:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }, "Action": "kms:Decrypt*", "Resource": "*" }
信頼できる IP リストと脅威リストをアップロードするには
次の手順では、信頼できる IP リストと脅威リストをGuardDuty コンソールを使ってアップロードする方法を示します。
信頼できる IP リストと脅威リストをアップロードするには (コンソール)
-
https://console.aws.amazon.com/guardduty/
で GuardDuty コンソールを開きます。 -
ナビゲーションペインで [Settings] (設定) の [Lists] (リスト) を選択します。
-
[List management] (リスト管理) ページで、[Add a trusted IP list] (信頼されている IP リストの追加) または [Add a threat list] (脅威リストを追加) を選択します。
-
ダイアログボックスで、次の操作を実行します。
-
[List name] (リスト名) で、リストの名前を入力します。
-
[Location] (場所) で、リストの場所を指定します。これは、信頼できる IP リストまたは脅威リストと、リストを含むファイルが保存されている S3 バケットです。
注記 次の形式で場所の URL を指定できます。
-
https://s3.amazonaws.com/bucket.name/file.txt
-
https://s3-aws-region.amazonaws.com/bucket.name/file.txt
-
http://bucket.s3.amazonaws.com/file.txt
-
http://bucket.s3-aws-region.amazonaws.com/file.txt
-
s3://bucket.name/file.txt
-
-
[Format] (フォーマット) で、リストのファイルタイプを選択します。
-
[I agree] (同意します) チェックボックスをオンにします。
-
[Add list] (リストを追加) を選択します。
-
信頼できる IP リストや脅威リストを有効または無効にするには
次の手順は、アップロードが完了した後、GuardDuty の信頼できる IP リストや脅威リストを有効化または無効化にする方法を示しています。GuardDuty は有効化になっている場合、AWS 環境のモニタリングでアップロードしたリストのみを含みます。
信頼できる IP リストと脅威リストを有効化にする (コンソール)
-
https://console.aws.amazon.com/guardduty/
で GuardDuty コンソールを開きます。 -
ナビゲーションペインで [Settings] (設定) の [Lists] (リスト) を選択します。
-
[List management] (リスト管理) ページで、有効化したい信頼できる IP セットまたは脅威リストを探し、[Active] (アクティブ) の列にあるラジオボタンを選択します。
信頼できる IP リストや脅威リストを無効化にする (API または CLI)
-
UpdateThreatIntelSet と UpdateIPSet オペレーション、または update-ip-set and update-threat-intel-set CLI コマンドを実行することにより、信頼できる IP リストまたは脅威リストを無効化にすることができます。
例えば、次のコマンドを実行できます。
aws guardduty update-ip-set --detector-id <detector-id> --ip-set-id <ip-set-id> --no-activate
<detector-id> と <ip-set-id> を、有効なディテクター ID と信頼できる IP リスト ID に必ず置き換えてください。
信頼できる IP リストと脅威リストを更新するには
GuardDuty にアップロードしてアクティブにした信頼できる IP リストまたは脅威リスト に変更を加えた場合 (リストの名前を変更したり、リストに IP アドレスを追加するなど)、GuardDuty がセキュリティモニタリングスコープで最新バージョンのリストを使用するために、このリストを GuardDuty で更新して再度アクティブにする必要があります。信頼できる IP リストまたは脅威リストを更新するには、以下の手順を使用するか、UpdateThreatIntelSet そして GuardDuty API の UpdateIPSet オペレーションを実行してください。
信頼できる IP リストと脅威リストを更新するには (コンソール)
-
https://console.aws.amazon.com/guardduty/
で GuardDuty コンソールを開きます。 -
ナビゲーションペインで [Settings] (設定) の [Lists] (リスト) を選択します。
-
[List management] (リスト管理) ページで、更新する信頼できる IP セットまたは脅威リストを探し、[Active] (アクティブ) の列にある鉛筆アイコンを選択します。
-
[Update list] (リストの更新) ポップアップウィンドウで指定するリストの情報を確認し、[I agree] (同意します) を選択して、[Update list] (リストの更新) を選択します。
-
[List management] (リスト管理) ページで、再度有効化したい信頼できる IP セットまたは脅威リストを探し、[Active] (アクティブ) の列にあるラジオボタンを選択します。
脅威インテリジェンスのフィードをプログラムでインポートする方法については、「How to automate the import of third-party threat intelligence feeds