信頼できる IP リストと 脅威リストの使用 - Amazon GuardDuty
リストフォーマット信頼できる IP リストと 脅威リストをアップロードするために必要な許可信頼できる IP リストと脅威リストに対するサーバー側の暗号化の使用信頼できる IP リストと脅威リストをアップロードするには信頼できる IP リストや脅威リストを有効または無効にするには信頼できる IP リストと脅威リストを更新するには

信頼できる IP リストと 脅威リストの使用

VPC フローログ、AWS のイベントログ、DNS ログを分析および処理することで、Amazon GuardDuty は、AWS CloudTrail 環境のセキュリティをモニタリングします。このモニタリングのスコープは、GuardDuty を設定して、独自の信頼できる IP リストと独自の脅威リストからの悪意のある既知のIPについてのアラートを停止するための GuardDuty を設定することでモニタリングの範囲をカスタマイズできます。

信頼できる IP リストと脅威リストは、パブリックにルーティング可能な IP アドレスを宛先とするトラフィックにのみ適用されます。リストの効果は、すべての VPC フローログおよび CloudTrail 検出結果に適用されますが、DNS 検出結果には適用されません。

GuardDuty は、次のタイプのリストを使用するように構成できます。

信頼できる IP リスト

信頼できる IP リストは、AWS インフラストラクチャ とアプリケーションを用いて、安全な通信として信頼している IP アドレスにより構成されています。GuardDuty は、VPC フローログまたは信頼できる IP リストの IP アドレスのための CloudTrail 検出結果を生成しません。単一の信頼できる IP リストには、最大 2000 の IP アドレスと CIDR 範囲を含めることができます。どの時点でも、信頼できる IP リストのアップロード数は各リージョンの AWS アカウントにつき 1 つに限られます。

脅威 IP リスト

脅威リストは、悪意のある既知の IP アドレスで構成されます。このリストは、サードパーティの脅威インテリジェンスによって提供されるか、あるいは組織専用に特別に生成することができます。GuardDuty は、疑わしいアクティビティの可能性があるために検出結果を生成するだけでなく、これらの脅威リストに基づく検出結果も生成します。単一の脅威リストには、最大 250,000 の IP アドレスと CIDR 範囲を含めることができます。GuardDuty は、脅威リスト内の IP アドレスおよび CIDR 範囲に関与するアクティビティのみに基づいて検出結果を生成し、ドメイン名に基づいて検出結果が生成されることはありません。どの時点でも、領域につき AWS アカウントごとのアップロードされた脅威リストは最大 6 つまでに限られます。

注記

信頼できる IP リストと脅威リストの両方に同じ IP を含めると、それは最初に信頼できる IP リストによって処理され、検出結果は生成されません。

マルチアカウント環境では、GuardDuty 管理者アカウントのユーザーだけが、信頼できる IP リストと脅威リストをアップロードして管理することができます。管理者アカウントからアップロードされた信頼できる IP リストや脅威リストで、そのメンバーアカウントの GuardDuty 機能を与えました。つまり、メンバーアカウントの場合、GuardDuty は管理者の脅威リストからの、既知の悪意ある IP アドレスを含むアクティビティに基づく検出結果を生成しますが、管理者の信頼できる IP リストからの IP アドレスを含むアクティビティに基づく検出結果は生成しません。詳細については、「Amazon GuardDuty での複数のアカウントの管理 GuardDuty と AWS のサービスとの統合」を参照してください。

リストフォーマット

GuardDuty は次のフォーマットのリストを受け入れます。

信頼できる IP リストまたは脅威 IP リストをホストする各ファイルの最大サイズは 35 MB です。信頼できる IP リストと脅威 IP リストで、IP アドレスおよび CIDR 範囲を 1 行に 1 つずつ表示する必要があります。IPv4 アドレスのみ受け入れられます。

  • プレーンテキスト (TXT)

    このフォーマットは、CIDR ブロックと個々の IP アドレスの両方をサポートします。次のサンプルリストはプレーンテキスト (TXT) フォーマットを使用しています。

    192.0.2.0/24
198.51.100.1
203.0.113.1

  • 脅威情報構造化記述形式 (STIX)

    このフォーマットは、CIDR ブロックと個々の IP アドレスの両方をサポートします。次のサンプルリストは STIX フォーマットを使用しています。

    <?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:ttp="http://stix.mitre.org/TTP-1"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:example="http://example.com/"
    xsi:schemaLocation="
    http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd
    http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd
    http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd
    http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd
    http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd
    http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd"
    id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16"
    version="1.2">
    <stix:Observables cybox_major_version="1" cybox_minor_version="1">
        <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236">
            <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab">
            <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784">
            <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
    </stix:Observables>
</stix:STIX_Package>

  • Open Threat Exchange (OTX)TM CSV

    このフォーマットは、CIDR ブロックと個々の IP アドレスの両方をサポートします。次のサンプルリストは OTXTM CSV フォーマットを使用しています。

    Indicator type, indicator, description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example

  • FireEyeTM iSIGHT 脅威インテリジェンス CSV

    このフォーマットは、CIDR ブロックと個々の IP アドレスの両方をサポートします。次のサンプルリストは FireEyeTM CSV フォーマットを使用しています。

    reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

  • ProofpointTM ET Intelligence Feed CSV

    このフォーマットは、個々の IP アドレスのみをサポートします。次のサンプルリストは Proofpoint CSV フォーマットを使用しています。ports パラメータはオプションです。ポートをスキップする場合は、末尾のカンマ (,) を必ず残してください。

    ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80

  • AlienVaultTM Reputation Feed

    このフォーマットは、個々の IP アドレスのみをサポートします。次のサンプルリストは AlienVault フォーマットを使用しています。

    198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3

信頼できる IP リストと 脅威リストをアップロードするために必要な許可

さまざまな IAM アイデンティティは、GuardDuty で信頼できる IP リストおよび脅威リストを用いて機能するための特別な許可を必要とします。AmazonGuardDutyFullAccess マネージドポリシーがアタッチされている ID のみがアップロードされた信頼できる IP リストと脅威リストの名前を変更および無効化できます。

さまざまな ID に、信頼できる IP リストと脅威リストの操作 (名前変更および無効化に加えて、リストのアップロード、有効化、削除、場所の更新が含まれます) を行うためのフルアクセスを付与するには、次のアクションが IAM ユーザー、グループ、またはロールにアタッチされたアクセス権ポリシーに存在することを確認してください。

{
    "Effect": "Allow",
    "Action": [
        "iam:PutRolePolicy",
        "iam:DeleteRolePolicy"
    ],
    "Resource": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
重要

これらのアクションは AmazonGuardDutyFullAccess マネージドポリシーに含まれていません。

信頼できる IP リストと脅威リストに対するサーバー側の暗号化の使用

GuardDuty は、SSE-AES256 および SSE-KMS のリストの暗号化タイプをサポートしています。SSE-C はサポートされていません。S3 サーバー側暗号化の使用の詳細については、「サーバーサイドの暗号化でデータを保護する」を参照してください。

リストがサーバー側の暗号化 SSE-KMS を使用して暗号化されている場合は、GuardDuty サービスにリンクされたロールである AWSServiceRoleForAmazonGuardDuty に許可を与え、リストをアクティブ化するためにファイルを復号する必要があります。KMS キーポリシーに次のステートメントを追加し、アカウント ID を独自のステートメントに置き換えます。

{
    "Sid": "AllowGuardDutyServiceRole",
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    },
    "Action": "kms:Decrypt*",
    "Resource": "*"
}

信頼できる IP リストと脅威リストをアップロードするには

次の手順では、信頼できる IP リストと脅威リストをGuardDuty コンソールを使ってアップロードする方法を示します。

信頼できる IP リストと脅威リストをアップロードするには (コンソール)

  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. ナビゲーションペインで [Settings] (設定) の [Lists] (リスト) を選択します。

  3. [List management] (リスト管理) ページで、[Add a trusted IP list] (信頼されている IP リストの追加) または [Add a threat list] (脅威リストを追加) を選択します。

  4. ダイアログボックスで、次の操作を実行します。

    • [List name] (リスト名) で、リストの名前を入力します。

    • [Location] (場所) で、リストの場所を指定します。これは、信頼できる IP リストまたは脅威リストと、リストを含むファイルが保存されている S3 バケットです。

      注記

      次の形式で場所の URL を指定できます。

      • https://s3.amazonaws.com/bucket.name/file.txt

      • https://s3-aws-region.amazonaws.com/bucket.name/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • http://bucket.s3-aws-region.amazonaws.com/file.txt

      • s3://bucket.name/file.txt

    • [Format] (フォーマット) で、リストのファイルタイプを選択します。

    • [I agree] (同意します) チェックボックスをオンにします。

    • [Add list] (リストを追加) を選択します。

信頼できる IP リストや脅威リストを有効または無効にするには

次の手順は、アップロードが完了した後、GuardDuty の信頼できる IP リストや脅威リストを有効化または無効化にする方法を示しています。GuardDuty は有効化になっている場合、AWS 環境のモニタリングでアップロードしたリストのみを含みます。

信頼できる IP リストと脅威リストを有効化にする (コンソール)

  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. ナビゲーションペインで [Settings] (設定) の [Lists] (リスト) を選択します。

  3. [List management] (リスト管理) ページで、有効化したい信頼できる IP セットまたは脅威リストを探し、[Active] (アクティブ) の列にあるラジオボタンを選択します。

信頼できる IP リストや脅威リストを無効化にする (API または CLI)

  • UpdateThreatIntelSetUpdateIPSet オペレーションまたは update-ip-setupdate-threat-intel-set CLI コマンドを実行することで、信頼されている IP リストまたは脅威リストを無効化にすることができます。

    例えば、次のコマンドを実行できます。

    detector-idip-set-id を、それぞれ有効なディテクター ID と信頼されている IP リスト ID に必ず置き換えてください。

    https://console.aws.amazon.com/guardduty/ コンソールの [Settings] (設定) ページで、または ListDetectors API を使用して、現在のリージョンの detectorId を確認できます。

    aws  guardduty update-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --ip-set-id ip-set-id --no-activate
注記

IP リストを有効化または更新した後、GuardDuty がリストを同期するまでに最大 15 分かかることがあります。

信頼できる IP リストと脅威リストを更新するには

GuardDuty にアップロードしてアクティブにした信頼できる IP リストまたは脅威リスト に変更を加えた場合 (リストの名前を変更したり、リストに IP アドレスを追加するなど)、GuardDuty がセキュリティモニタリングスコープで最新バージョンのリストを使用するために、このリストを GuardDuty で更新して再度アクティブにする必要があります。信頼できる IP リストまたは脅威リストを更新するには、以下の手順を使用するか、UpdateThreatIntelSet そして GuardDuty API の UpdateIPSet オペレーションを実行してください。

信頼できる IP リストと脅威リストを更新するには (コンソール)

  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. ナビゲーションペインで [Settings] (設定) の [Lists] (リスト) を選択します。

  3. [List management] (リスト管理) ページで、更新する信頼できる IP セットまたは脅威リストを探し、[Active] (アクティブ) の列にある鉛筆アイコンを選択します。

  4. [Update list] (リストの更新) ポップアップウィンドウで指定するリストの情報を確認し、[I agree] (同意します) を選択して、[Update list] (リストの更新) を選択します。

  5. [List management] (リスト管理) ページで、再度有効化したい信頼できる IP セットまたは脅威リストを探し、[Active] (アクティブ) の列にあるラジオボタンを選択します。