信頼できる IP リストと脅威リストの使用
Amazon GuardDuty では、VPC フローログ、AWS CloudTrail のイベントログ、DNS ログを分析および処理することで、AWS 環境のセキュリティをモニタリングします。このモニタリングのスコープは、GuardDuty でユーザー独自の信頼できる IP リストや脅威リストを使用するように設定することで拡張できます。
信頼できる IP リストは、ホワイトリストに登録済みで、AWS インフラストラクチャやアプリケーションとの安全な通信に使用できる IP アドレスで構成されます。GuardDuty は信頼できる IP リストの IP アドレスの結果は生成しません。どの時点でも、信頼されている IP リストのアップロード数は各リージョンの AWS アカウントにつき 1 つに限られます。
脅威リストは、既知の悪意のある IP アドレスのリストから構成されます。GuardDuty は、脅威リストに基づいて結果を生成します。どの時点でも、脅威リストのアップロード数は各リージョンの AWS アカウントにつき最大 6 つに限られます。
マスター GuardDuty アカウントのユーザーは、信頼されている IP リストと脅威リストをアップロードし管理することができます。メンバーの GuardDuty アカウントのユーザーは、リストをアップロードし管理することができません。マスターアカウントからアップロードされた信頼されている IP リストや脅威リストは、そのメンバーアカウントの GuardDuty 機能に適用されます。つまり、メンバーアカウントの場合、GuardDuty はマスターアカウントの脅威リストで既知の悪意ある IP アドレスを含むアクティビティに基づく結果を生成しますが、マスターの信頼される IP リストの IP アドレスに関連するアクティビティに基づく結果は生成しません。詳細については、「Amazon GuardDuty でのアカウントの管理」を参照してください。
重要
GuardDuty では、信頼できる IP リストおよび脅威リストの評価に必要なアクセス権限を GuardDuty に許可した際に自動的に割り当てられた同じAWSServiceRoleForAmazonGuardDutyサービスにリンクされたロールを使用します。
信頼できる IP リストと脅威リストを作成して GuardDuty にアップロードする際は、以下の点に注意してください。
-
信頼できる IP リストと脅威リストで、IP アドレスおよび CIDR 範囲を 1 行に 1 つずつ表示する必要があります。
サンプルリストをプレーンテキスト形式で以下に示します。
54.20.175.217 205.0.0.0/8
-
信頼できる IP リストと脅威リストは、パブリックにルーティング可能な IP アドレスを宛先とするトラフィックにのみ適用されます。
-
GuardDuty は、脅威リストに含まれているドメイン名が関与するアクティビティに基づく結果は生成されません。GuardDuty では、脅威リストの IP アドレスと CIDR 範囲が関与するアクティビティに基づく結果のみが生成されます。
-
信頼できる IP リストまたは脅威リストをホストするファイルの最大サイズは 35 MB です。
-
単一の信頼できる IP リストには、最大 2000 の IP アドレスと CIDR 範囲を含めることができます。
-
単一の脅威リストには、最大 250,000 の IP アドレスと CIDR 範囲を含めることができます。
トピック
信頼されている IP リストと脅威リストをアップロードするために必要なアクセス権限
GuardDuty の信頼されている IP リストおよび脅威リストを操作するには、さまざまな IAM ID に適切なアクセス権限が必要です。AmazonGuardDutyFullAccess 管理ポリシーがアタッチされている ID のみがアップロードされた信頼されている IP リストと脅威リストの名前を変更および無効化できます。
さまざまな ID に、信頼されている IP リストと脅威リストの操作 (名前変更および無効化に加えて、リストのアップロード、有効化、削除、場所の更新が含まれます) を行うためのフルアクセスを付与するには、次のアクションが IAM ユーザー、グループ、またはロールにアタッチされたアクセス権ポリシーに存在することを確認してください。
{ "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }
重要
これらのアクションは AmazonGuardDutyFullAccess 管理ポリシーに含まれていません。
信頼されている IP リストと脅威リストをアップロードするには
次の手順では、信頼できる IP リストと脅威リストを GuardDuty コンソールでアップロードする方法を示します。
信頼できる IP リストと脅威リストをアップロードするには (コンソール)
-
コンソール (https://console.aws.amazon.com/guarddutyGuardDuty) を開きます。
-
ナビゲーションペインで [Settings] の [Lists] を選択します。
-
[List management] ページで、[Add a trusted IP list] または [Add a threat list] を選択します。
-
] ダイアログボックスで、以下の操作を実行します。
-
[List name] に、リストの名前を入力します。
-
[Location] で、リストの場所を指定します。これは、信頼できる IP リストまたは脅威リストと、リストを含むファイルが保存されている S3 バケットです。
注記
次の形式で場所の URL を指定できます。
-
https://s3.amazonaws.com/bucket.name/file.txt
-
https://s3-aws-region.amazonaws.com/bucket.name/file.txt
-
http://bucket.s3.amazonaws.com/file.txt
-
http://bucket.s3-aws-region.amazonaws.com/file.txt
-
s3://mybucket/file.txt
-
-
[Format] で、リストのファイルタイプを選択します。
-
[I agree] チェックボックスをオンにします。
-
[Add list] を選択します。
-
信頼されている IP リストや脅威リストを有効化または無効化にする
次の手順は、アップロードが完了した後で GuardDuty の信頼されている IP リストや脅威リストを有効化または無効化にする方法を示しています。GuardDuty は有効化になっている場合、AWS 環境のモニタリングでアップロードしたリストのみを含みます。
信頼されている IP リストと脅威リストを有効化にする (コンソール)
-
コンソール (https://console.aws.amazon.com/guarddutyGuardDuty) を開きます。
-
ナビゲーションペインで [Settings] の [Lists] を選択します。
-
[List management] ページで、有効化したい信頼されている IP セットまたは脅威リストを探し、[Active] の列にあるラジオボタンを選択します。
信頼されている IP リストや脅威リストを無効化にする (API または CLI)
-
現時点の GuardDuty では、コンソールを使用して信頼されている IP リストや脅威リストを無効化にすることはできません。
UpdateIPSet と UpdateThreatIntelSet API または update-ip-set と update-threat-intel-set CLI コマンドを実行することで、信頼されている IP リストまたは脅威リストを無効化にすることができます。
たとえば、次のコマンドを実行できます。
aws guardduty update-ip-set --detector-id <detector-id> --ip-set-id <ip-set-id> --no-activate
<detector-id> と <ip-set-id> を、有効なディテクター ID と信頼されている IP リスト ID に必ず置き換えてください。
信頼されている IP リストと脅威リストを更新するには
GuardDuty にすでにアップロードされて有効な信頼されている IP リストあるいは脅威リストを変更する場合 (たとえば、リストの名前を変更するまたは IP アドレスを追加するなど)、GuardDuty のセキュリティモニタリングスコープで最新バージョンのリストを使用するように、このリストを GuardDuty に更新する必要があります。安全なリストまたは脅威リストを更新するには、以下の手順を使用するか、 または UpdateIPSet あるいは UpdateThreatIntelSet API を実行します。
信頼されている IP リストと脅威リストを更新するには (コンソール)
-
コンソール (https://console.aws.amazon.com/guarddutyGuardDuty) を開きます。
-
ナビゲーションペインで [Settings] の [Lists] を選択します。
-
[リスト管理] ページで、更新する信頼されている IP セットまたは脅威リストを探し、[アクティブ] の列にある鉛筆アイコンを選択します。
-
[更新リスト] ポップアップウィンドウで指定するリストの情報を確認し、[同意します] を選択して、[リストの更新] を選択します。
-
[リスト管理] ページで、再度有効化したい信頼される IP セットまたは脅威リストを探し、[アクティブ] の列にあるラジオボタンを選択します。