翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
信頼できる IP リストと 脅威リストの使用
Amazon は VPC フローログ、 AWS CloudTrail イベントログ、DNS ログを分析して処理することにより、 GuardDuty AWS 環境のセキュリティを監視します。 GuardDuty この監視範囲をカスタマイズするには、自社の信頼できる IP リストにある信頼できる IP のアラートを停止し、自社の脅威リストにある既知の悪意のある IP についてはアラートを出すように設定できます。
信頼できる IP リストと脅威リストは、パブリックにルーティング可能な IP アドレスを宛先とするトラフィックにのみ適用されます。リストの効果はすべての VPC CloudTrail フローログと結果に適用されますが、DNS の結果には適用されません。
GuardDuty 次の種類のリストを使用するように設定できます。
- 信頼できる IP リスト
-
信頼できる IP リストは、 AWS インフラストラクチャーやアプリケーションとの安全な通信のために信頼できる IP アドレスで構成されます。 GuardDuty 信頼できる IP リストの IP アドレスの VPC CloudTrail フローログや結果は生成されません。単一の信頼できる IP リストには、最大 2000 の IP アドレスと CIDR 範囲を含めることができます。どの時点でも、信頼できる IP リストのアップロード数は各リージョンの AWS アカウントにつき 1 つに限られます。
- 脅威 IP リスト
-
脅威リストは、悪意のある既知の IP アドレスで構成されます。このリストは、サードパーティの脅威インテリジェンスによって提供されるか、あるいは組織専用に特別に生成することができます。 GuardDuty 疑わしいアクティビティの可能性があるという結果が得られるだけでなく、これらの脅威リストに基づいて結果も生成されます。1 つの脅威リストには、最大 250,000 個の IP アドレスと CIDR 範囲を含めることができます。 GuardDuty 検出結果は、脅威リスト内の IP アドレスと CIDR 範囲に関連するアクティビティに基づいてのみ生成されます。検出結果はドメイン名に基づいて生成されません。どの時点でも、 AWS アカウント リージョンごとに最大 6 つの脅威リストをアップロードできます。
注記
信頼できる IP リストと脅威リストの両方に同じ IP を含めると、それは最初に信頼できる IP リストによって処理され、検出結果は生成されません。
マルチアカウント環境では、 GuardDuty 管理者アカウントに属するユーザーのみが、信頼できる IP リストと脅威リストを追加および管理できます。管理者アカウントによってアップロードされた信頼できる IP リストと脅威リストは、 GuardDuty そのメンバーアカウントの機能に適用されます。つまり、メンバーアカウントでは、管理者アカウントの脅威リストにある既知の悪意のある IP GuardDuty アドレスが関与するアクティビティに基づいて結果が生成され、管理者アカウントの信頼できる IP リストの IP アドレスが関与するアクティビティに基づく結果は生成されません。詳細については、「Amazon での複数のアカウントの管理 GuardDuty」を参照してください。
リストフォーマット
GuardDuty 以下の形式のリストを受け付けます。
信頼できる IP リストまたは脅威 IP リストをホストする各ファイルの最大サイズは 35 MB です。信頼できる IP リストと脅威 IP リストで、IP アドレスおよび CIDR 範囲を 1 行に 1 つずつ表示する必要があります。IPv4 アドレスのみ受け入れられます。
-
プレーンテキスト (TXT)
このフォーマットは、CIDR ブロックと個々の IP アドレスの両方をサポートします。次のサンプルリストはプレーンテキスト (TXT) フォーマットを使用しています。
192.0.2.0/24 198.51.100.1 203.0.113.1
-
脅威情報構造化記述形式 (STIX)
このフォーマットは、CIDR ブロックと個々の IP アドレスの両方をサポートします。次のサンプルリストは STIX フォーマットを使用しています。
<?xml version="1.0" encoding="UTF-8"?> <stix:STIX_Package xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:stix="http://stix.mitre.org/stix-1" xmlns:stixCommon="http://stix.mitre.org/common-1" xmlns:ttp="http://stix.mitre.org/TTP-1" xmlns:cybox="http://cybox.mitre.org/cybox-2" xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2" xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2" xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1" xmlns:example="http://example.com/" xsi:schemaLocation=" http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd" id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16" version="1.2"> <stix:Observables cybox_major_version="1" cybox_minor_version="1"> <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236"> <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab"> <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784"> <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> </stix:Observables> </stix:STIX_Package>
-
Open Threat Exchange (OTX)TM CSV
このフォーマットは、CIDR ブロックと個々の IP アドレスの両方をサポートします。次のサンプルリストは
OTXTM
CSV フォーマットを使用しています。Indicator type, Indicator, Description CIDR, 192.0.2.0/24, example IPv4, 198.51.100.1, example IPv4, 203.0.113.1, example
-
FireEyeTM iSight 脅威インテリジェンス (CSV)
このフォーマットは、CIDR ブロックと個々の IP アドレスの両方をサポートします。次のサンプルリストは
FireEyeTM
CSV フォーマットを使用しています。reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime 01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400 01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400 01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
-
ProofpointTM ET Intelligence Feed CSV
このフォーマットは、個々の IP アドレスのみをサポートします。次のサンプルリストは
Proofpoint
CSV フォーマットを使用しています。ports
パラメータはオプションです。ポートをスキップする場合は、末尾のカンマ (,) を必ず残してください。ip, category, score, first_seen, last_seen, ports (|) 198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
-
AlienVaultTM レピュテーションフィード
このフォーマットは、個々の IP アドレスのみをサポートします。次のサンプルリストは
AlienVault
フォーマットを使用しています。198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3 203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
信頼できる IP リストと 脅威リストをアップロードするために必要な許可
で信頼できる IP リストや脅威リストを操作するには、さまざまな IAM ID に特別な権限が必要です。 GuardDutyAmazonGuardDutyFullAccess マネージドポリシーがアタッチされている ID のみがアップロードされた信頼できる IP リストと脅威リストの名前を変更および無効化できます。
さまざまな ID に、信頼できる IP リストと脅威リストの操作 (名前の変更および非アクティブ化に加えて、リストの追加、アクティブ化、削除や、リストの場所または名前の更新が含まれます) を行うためのフルアクセスを付与するには、次のアクションがユーザー、グループ、またはロールにアタッチされた許可ポリシーに存在することを確認してください。
{ "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::
555555555555
:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }
重要
これらのアクションは AmazonGuardDutyFullAccess
マネージドポリシーに含まれていません。
信頼できる IP リストと脅威リストに対するサーバー側の暗号化の使用
GuardDuty リストでは SSE-AES256 と SSE-KMS の暗号化タイプをサポートしています。SSE-C はサポートされていません。S3 サーバー側暗号化の使用の詳細については、「サーバーサイドの暗号化でデータを保護する」を参照してください。
リストがサーバー側の暗号化 SSE-KMS を使用して暗号化されている場合、リストを有効にするには、 GuardDuty サービスをリンクしたロールにファイルを復号化する権限を付与する必要があります。AWSServiceRoleForAmazonGuardDutyKMS キーポリシーに次のステートメントを追加し、アカウント ID を独自のステートメントに置き換えます。
{ "Sid": "AllowGuardDutyServiceRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
123456789123
:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }, "Action": "kms:Decrypt*", "Resource": "*" }
信頼されている IP リストまたは脅威 IP リストの追加とアクティブ化
次のアクセス方法のいずれかを選択して、信頼されている IP リストまたは脅威 IP リストを追加してアクティブ化します。
注記
IP リストを有効化または更新した後、リストを同期するまでに最大 GuardDuty 15 分かかることがあります。
信頼できる IP リストと脅威リストの更新
リストの名前、または既に追加およびアクティブ化されているリストに追加された IP アドレスを更新できます。リストを更新した場合、 GuardDuty 最新バージョンのリストを使用するには、そのリストを再度アクティブ化する必要があります。
いずれかのアクセス方法を選択して、信頼されている IP リストまたは脅威リストを更新します。
信頼されている IP リストまたは脅威リストの非アクティブ化または削除
(コンソールを使用して) 信頼されている IP リストもしくは脅威リストを削除するか、または (API/CLI を使用して) 非アクティブ化する、いずれかのアクセス方法を選択します。