信頼されている IP リストと脅威リストの操作 - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

信頼されている IP リストと脅威リストの操作

Amazon GuardDuty は、あなたのセキュリティを監視しますAWS環境の VPC フローログを分析および処理することにより、AWS CloudTrailイベントログ、および DNS ログが含まれます。GuardDuty を設定することで、このモニタリングスコープをカスタマイズできます。信頼されている IP リストあなた自身から既知の悪質なIPに警告する脅威リスト

信頼されている IP リストと脅威リストは、パブリックにルーティング可能な IP アドレスを宛先とするトラフィックにのみ適用されます。リストの効果は、すべての VPC フローログおよび CloudTrail 結果に適用されますが、DNS 結果には適用されません。

GuardDuty は、次のタイプのリストを使用するように設定できます。

信頼できる IP リスト

信頼されている IP リストは、信頼されている IP アドレスで構成されます。AWSインフラストラクチャとアプリケーション。GuardDuty は信頼されている IP リストの IP アドレスの VPC フローログまたは CloudTrail 結果は生成しません。単一の信頼できる IP リストには、最大 2000 の IP アドレスと CIDR 範囲を含めることができます。どの時点でも、信頼されている IP リストのアップロード数は 1 つに限られます。AWSアカウントごと、リージョンごとに。

脅威リスト

脅威リストは、既知の悪意のある IP アドレスで構成されます。これらのリストは、サードパーティの脅威インテリジェンスによって提供することも、組織用に特別に作成することもできます。GuardDuty では、脅威リストに基づいて結果を生成します。単一の脅威リストには、最大 250,000 の IP アドレスと CIDR 範囲を含めることができます。GuardDuty では、脅威リストの IP アドレスと CIDR 範囲が関与するアクティビティに基づく結果のみが生成されますが、ドメイン名に基づく結果は生成しません。どの時点でも、脅威リストのアップロード数は 1 つに限られます。AWSアカウントごと、リージョンごとに。

注記

信頼できる IP リストと脅威リストの両方に同じ IP を含めると、最初に信頼できる IP リストによって処理され、結果を生成しません。

マルチアカウント環境では、GuardDuty 管理者アカウントのユーザーのみが信頼されている IP リストと脅威リストをアップロードして管理することができます。管理者アカウントからアップロードされた信頼されている IP リストと脅威リストは、そのメンバーアカウントの GuardDuty 機能に適用されます。つまり、メンバーアカウントの場合、GuardDuty は管理者の脅威リストで既知の悪意ある IP アドレスを含むアクティビティに基づく結果を生成しますが、管理者の信頼される IP リストの IP アドレスに関連するアクティビティに基づく結果は生成しません。詳細については、「Amazon GuardDuty で複数のアカウントを管理する AWSGuardDuty とのサービスの統合」を参照してください。

リスト形式

GuardDuty は、次の形式でリストを受け入れます。

  • TXT

  • STIX

  • OTX_CSV

  • ALIEN_VAULT

  • PROOF_POINT

  • FIRE_EYE

信頼できる IP リストまたは脅威リストをホストするファイルの最大サイズは 35 MB です。

信頼できる IP リストと脅威リストで、IP アドレスおよび CIDR 範囲を 1 行に 1 つずつ表示する必要があります。サンプルリストをプレーンテキスト (TXT) 形式で以下に示します。

54.20.175.217 205.0.0.0/8

信頼されている IP リストと脅威リストをアップロードするために必要なアクセス許可

GuardDuty の信頼されている IP リストと脅威リストを操作するには、さまざまな IAM ID に特別なアクセス権限が必要です。AmazonGuardDutyFullAccess 管理ポリシーがアタッチされている ID のみがアップロードされた信頼されている IP リストと脅威リストの名前を変更および無効化できます。

さまざまな ID に、信頼されている IP リストと脅威リストの操作 (名前変更および無効化に加えて、リストのアップロード、有効化、削除、場所の更新が含まれます) を行うためのフルアクセスを付与するには、次のアクションが IAM ユーザー、グループ、またはロールにアタッチされたアクセス権ポリシーに存在することを確認してください。

{ "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }
重要

これらのアクションは AmazonGuardDutyFullAccess 管理ポリシーに含まれていません。

信頼されている IP リストと脅威リストに対するサーバー側の暗号化の使用

GuardDuty は、リストに対して次の暗号化タイプをサポートしています。SSE-AES256とSSE-KMS。SSE-C はサポートされていません。S3 の暗号化タイプの詳細については、サーバー側の暗号化を使用したデータの保護

リストが、サーバー側の暗号化 SSE-KMS を使用して暗号化されている場合は、GuardDuty サービスリンクロールをAWSservicerOLEのAmazonガードデューティアクセス許可を使用してファイルを復号化し、リストをアクティブにします。次のステートメントを KMS キーポリシーに追加し、アカウント ID を独自のものに置き換えます。

{ "Sid": "Allow access for GuardDuty Service Role", "Effect": "Allow", "Principal": { "AWS": "arn:aws::iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }, "Action": "kms:Decrypt*", "Resource": "*" }

信頼されている IP リストと脅威リストをアップロードするには

次の手順では、信頼されている IP リストと脅威リストを GuardDuty コンソールでアップロードする方法を示します。

信頼できる IP リストと脅威リストをアップロードするには (コンソール)

  1. GuardDuty コンソール () を開きます。https://console.aws.amazon.com/guardduty/

  2. ナビゲーションペインで [Settings] の [Lists] を選択します。

  3. [List management] ページで、[Add a trusted IP list] または [Add a threat list] を選択します。

  4. ] ダイアログボックスで、以下の操作を実行します。

    • を使用する場合リスト名にリストの名前を入力します。

    • [Location] で、リストの場所を指定します。これは、信頼できる IP リストまたは脅威リストと、リストを含むファイルが保存されている S3 バケットです。

      注記

      次の形式で場所の URL を指定できます。

      • https://s3.amazonaws.com/bucket.name/file.txt

      • https://s3-aws-region.amazonaws.com/bucket.name/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • http://bucket.s3-aws-region.amazonaws.com/file.txt

      • s3: //bucket.name/file.txt

    • [Format] で、リストのファイルタイプを選択します。

    • [I agree] チェックボックスをオンにします。

    • [Add list] を選択します。

信頼されている IP リストと脅威リストを有効化または無効化にするには

次の手順は、アップロードが完了した後で GuardDuty の信頼されている IP リストと脅威リストを有効化または無効化にする方法を示しています。GuardDuty のモニタリングでアップロードしたリストが含まれています。AWS環境がアクティブな場合にのみ使用できます。

信頼されている IP リストと脅威リストを有効化にする (コンソール)

  1. GuardDuty コンソール () を開きます。https://console.aws.amazon.com/guardduty/

  2. ナビゲーションペインで [Settings] の [Lists] を選択します。

  3. [List management] ページで、有効化したい信頼されている IP セットまたは脅威リストを探し、[Active] の列にあるラジオボタンを選択します。

信頼されている IP リストや脅威リストを無効化にする (API または CLI)

  • UpdateThreatIntelSetUpdateIPSet オペレーションまたは update-ip-setupdate-threat-intel-set CLI コマンドを実行することで、信頼されている IP リストまたは脅威リストを無効化にすることができます。

    たとえば、次のコマンドを実行できます。

    AWS guardduty update-ip-set --detector-id <detector-id> --ip-set-id <ip-set-id> --no-activate

    <detector-id> と <ip-set-id> を、有効なディテクター ID と信頼されている IP リスト ID に必ず置き換えてください。

信頼されている IP リストと脅威リストを更新するには

GuardDuty にすでにアップロードされて有効な信頼されている IP リストあるいは脅威リストを変更する場合 (たとえば、リストの名前を変更するまたは IP アドレスを追加するなど)、GuardDuty のセキュリティで最新バージョンのリストを使用するように、このリストを GuardDuty に更新する必要があります。スコープのモニタリング。信頼されている IP または脅威リストを更新するには、以下の手順を使用するか、UpdateThreatIntelSetおよびUpdateIPSetGuardDuty API の操作。

信頼されている IP リストと脅威リストを更新するには (コンソール)

  1. GuardDuty コンソール () を開きます。https://console.aws.amazon.com/guardduty/

  2. ナビゲーションペインで [Settings] の [Lists] を選択します。

  3. [リスト管理] ページで、更新する信頼されている IP セットまたは脅威リストを探し、[アクティブ] の列にある鉛筆アイコンを選択します。

  4. [更新リスト] ポップアップウィンドウで指定するリストの情報を確認し、[同意します] を選択して、[リストの更新] を選択します。

  5. [リスト管理] ページで、再度有効化したい信頼される IP セットまたは脅威リストを探し、[アクティブ] の列にあるラジオボタンを選択します。

脅威インテリジェンスのフィードをプログラムでインポートする方法については、「How to automate the import of third-party threat intelligence feeds」というブログ記事を参照してください。