엔터티 목록 및 IP 주소 목록을 사용하여 위협 탐지 사용자 지정

Amazon GuardDuty는 VPC 흐름 로그, AWS CloudTrail 이벤트 로그 및 DNS 로그를 분석하고 처리하여 AWS 환경의 보안을 모니터링합니다. 하나 이상의 사용 사례 중심 GuardDuty 보호 계획을 활성화하여(를 제외하고 런타임 모니터링GuardDuty 내에서 모니터링 기능을 확장할 수 있습니다.

목록을 사용하면 GuardDuty를 통해 환경에서 위협 탐지 범위를 사용자 지정할 수 있습니다. 신뢰할 수 있는 소스에서 결과 생성을 중지하고 위협 목록에서 알려진 악성 소스에 대한 결과를 생성하도록 GuardDuty를 구성할 수 있습니다. GuardDuty는 레거시 IP 주소 목록을 계속 지원하며 IP 주소, 도메인 또는 둘 다를 포함할 수 있는 엔터티 목록(권장)으로 지원을 확장합니다.

주제

• 개체 목록 및 IP 주소 목록 이해

• GuardDuty 목록에 대한 중요 고려 사항

• 목록 형식

• 목록 상태 이해

• 엔터티 목록 및 IP 주소 목록에 대한 사전 조건 설정

• 개체 목록 또는 IP 목록 추가 및 활성화

• 개체 목록 또는 IP 주소 목록 업데이트

• 개체 목록 또는 IP 주소 목록 비활성화

• 개체 목록 또는 IP 주소 목록 삭제

개체 목록 및 IP 주소 목록 이해

GuardDuty는 엔터티 목록(권장)과 IP 목록이라는 두 가지 구현 접근 방식을 제공합니다. 두 접근 방식 모두 신뢰할 수 있는 소스를 지정하는 데 도움이 되며, 이는 GuardDuty가 결과를 생성하는 데 GuardDuty 사용하는 결과 및 알려진 위협을 생성하지 못하도록 합니다.

개체 목록은 IP 주소와 도메인 이름을 모두 지원합니다. 여러 리전의 IAM 정책 크기 제한에 영향을 주지 않는 단일 IAM 권한과 함께 직접 Amazon Simple Storage Service(Amazon S3) 액세스를 사용합니다.

IP 목록은 IP 주소 및 사용GuardDuty 서비스 연결 역할(SLR)(SLR)만 지원하므로 리전당 IAM 정책 업데이트가 필요하므로 IAM 정책 크기 제한에 영향을 미칠 수 있습니다.

신뢰할 수 있는 목록(엔터티 목록 및 IP 주소 목록 모두)에는 AWS 인프라와의 보안 통신을 위해 신뢰할 수 있는 항목이 포함됩니다. GuardDuty는 신뢰할 수 있는 소스에 나열된 항목에 대한 조사 결과를 생성하지 않습니다. 언제든지 리전 AWS 계정 당 당 하나의 신뢰할 수 있는 엔터티 목록과 하나의 신뢰할 수 있는 IP 주소 목록만 추가할 수 있습니다.

위협 목록(엔터티 목록과 IP 주소 목록 모두)에는 알려진 악성 소스로 식별한 항목이 포함됩니다. GuardDuty는 이러한 소스와 관련된 활동을 감지하면 결과를 생성하여 잠재적 보안 문제를 알려줍니다. 자체 위협 목록을 생성하거나 타사 위협 인텔리전스 피드를 통합할 수 있습니다. 이 목록은 타사 위협 인텔리전스에서 제공하거나 조직에 맞춰 특별히 만들 수 있습니다. 잠재적으로 의심스러운 활동으로 인해 조사 결과를 생성하는 것 외에도 GuardDuty는 위협 목록의 항목이 포함된 활동을 기반으로 조사 결과를 생성합니다. 언제든지 리전별로 AWS 계정 당 최대 6개의 위협 개체 목록과 위협 IP 주소 목록을 업로드할 수 있습니다.

참고

IP 주소 목록에서 엔터티 목록으로 마이그레이션하려면에 따라 필요한 엔터티 목록을 엔터티 목록의 사전 조건추가하고 활성화합니다. 그런 다음 해당 IP 주소 목록을 비활성화하거나 삭제하도록 선택할 수 있습니다.

GuardDuty 목록에 대한 중요 고려 사항

목록 작업을 시작하기 전에 다음 고려 사항을 읽으십시오.

• IP 주소 목록 및 엔터티 목록은 공개적으로 라우팅 가능한 IP 주소 및 도메인으로 향하는 트래픽에만 적용됩니다.

• 개체 목록에서 항목은 CloudTrail, Amazon VPC의 VPC 흐름 로그 및 Route53 Resolver DNS 쿼리 로그 결과에 적용됩니다.

  IP 주소 목록에서 항목은 Amazon VPC 조사 결과의 CloudTrail 및 VPC 흐름 로그에 적용되지만 Route53 Resolver DNS 쿼리 로그 조사 결과에는 적용되지 않습니다.

• 신뢰할 수 있는 목록과 위협 목록 모두에 동일한 IP 주소 또는 도메인을 포함하면 신뢰할 수 있는 목록의이 항목이 우선합니다. 이 항목과 연결된 활동이 있는 경우 GuardDuty는 결과를 생성하지 않습니다.

• 다중 계정 환경에서는 GuardDuty 관리자 계정만 목록을 관리할 수 있습니다. 이 설정은 멤버 계정에 자동으로 적용됩니다. GuardDuty는 관리자 계정의 위협 소스에서 알려진 악성 IP 주소(및 도메인)가 포함된 활동을 기반으로 조사 결과를 생성하고 관리자 계정의 신뢰할 수 있는 소스에서 IP 주소(및 도메인)가 포함된 활동을 기반으로 조사 결과를 생성하지 않습니다. 자세한 내용은 Amazon GuardDuty에서 다중 계정 단원을 참조하십시오.

• IPv4 주소만 허용됩니다. IPv6 주소는 지원하지 않습니다.

• 개체 목록 또는 IP 주소 목록을 활성화, 비활성화 또는 삭제하면 프로세스가 15분 이내에 완료될 것으로 예상됩니다. 특정 시나리오에서는이 프로세스를 완료하는 데 최대 40분이 걸릴 수 있습니다.

• GuardDuty는 목록의 상태가 활성이 될 때만 위협 탐지를 위해 목록을 사용합니다.

• 목록의 S3 버킷 위치에 항목을 추가하거나 업데이트할 때마다 목록을 다시 활성화해야 합니다. 자세한 내용은 개체 목록 또는 IP 주소 목록 업데이트 단원을 참조하십시오.

• 개체 목록과 IP 주소의 할당량은 다릅니다. 자세한 내용은 GuardDuty 할당량 단원을 참조하십시오.

목록 형식

GuardDuty는 목록 및 개체 목록에 대해 여러 파일 형식을 허용하며 파일당 최대 35MB입니다. 각 형식에는 특정 요구 사항과 기능이 있습니다.

일반 텍스트(TXT)

이 형식은 IP 주소, CIDR 범위 및 도메인 이름을 지원합니다. 각 항목은 별도의 줄에 표시되어야 합니다.

예 개체 목록의 예

192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org

예 IP 주소 목록의 예

192.0.2.0/24
198.51.100.1
203.0.113.1

Structured Threat Information Expression(STIX)

이 형식은 IP 주소, CIDR 블록 및 도메인 이름을 지원합니다. STIX를 사용하면 위협 인텔리전스에 추가 컨텍스트를 포함할 수 있습니다. GuardDuty는 STIX 표시기에서 IP 주소, CIDR 범위 및 도메인 이름을 처리합니다.

예 개체 목록의 예

<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:cyboxCommon="http://cybox.mitre.org/common-2"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:indicator="http://stix.mitre.org/Indicator-2"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:DomainNameObj="http://cybox.mitre.org/objects#DomainNameObject-1"
    id="example:Package-a1b2c3d4-1111-2222-3333-444455556666"
    version="1.2">
    <stix:Indicators>
        <stix:Indicator
            id="example:indicator-a1b2c3d4-aaaa-bbbb-cccc-ddddeeeeffff"
            timestamp="2025-08-12T00:00:00Z"
            xsi:type="indicator:IndicatorType"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
            <indicator:Title>Malicious domain observed Example</indicator:Title>
            <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">Domain Watchlist</indicator:Type>
            <indicator:Observable id="example:Observable-0000-1111-2222-3333">
                <cybox:Object id="example:Object-0000-1111-2222-3333">
                    <cybox:Properties xsi:type="DomainNameObj:DomainNameObjectType">
                        <DomainNameObj:Value condition="Equals">bad.example.com</DomainNameObj:Value>
                    </cybox:Properties>
                </cybox:Object>
            </indicator:Observable>
        </stix:Indicator>
    </stix:Indicators>
</stix:STIX_Package>

예 IP 주소 목록의 예

<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:ttp="http://stix.mitre.org/TTP-1"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:example="http://example.com/"
    xsi:schemaLocation="
    http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd
    http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd
    http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd
    http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd
    http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd
    http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd"
    id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16"
    version="1.2">
    <stix:Observables cybox_major_version="1" cybox_minor_version="1">
        <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236">
            <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab">
            <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784">
            <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
    </stix:Observables>
</stix:STIX_Package>

Open Threat Exchange(OTX)TM CSV

이 형식은 CIDR 블록, 개별 IP 주소 및 도메인을 지원합니다. 이 파일 형식에는 쉼표로 구분된 값이 있습니다.

예 개체 목록의 예

Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example

예 IP 주소 목록의 예

Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example

FireEyeTM iSIGHT Threat Intelligence CSV

이 형식은 CIDR 블록, 개별 IP 주소 및 도메인을 지원합니다. 다음 샘플 목록은 FireEyeTM CSV 형식을 사용합니다.

예 개체 목록의 예

reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

 01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400 

예 IP 주소 목록의 예

reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

ProofpointTM ET Intelligence Feed CSV

ProofPoint CSV 형식에서는 IP 주소 또는 도메인 이름을 하나의 목록에 추가할 수 있습니다. 다음 샘플 목록은 Proofpoint CSV 형식을 사용합니다. ports 파라미터 값을 제공하는 것은 선택 사항입니다. 제공하지 않을 때는 끝에 후행 쉼표(,)를 그대로 둡니다.

예 개체 목록의 예

domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80

예 IP 주소 목록의 예

ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80

AlienVaultTM Reputation Feed

다음 샘플 목록은 AlienVault 형식을 사용합니다.

예 개체 목록의 예

192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3

예 IP 주소 목록의 예

198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3

목록 상태 이해

개체 목록 또는 IP 주소 목록을 추가하면 GuardDuty에 해당 목록의 상태가 표시됩니다. 상태 열은 목록이 유효한지 여부와 조치가 필요한지 여부를 나타냅니다. 다음 목록에서는 유효한 상태 값을 설명합니다.

• 활성 - 목록이 현재 사용자 지정 위협 탐지에 사용 중임을 나타냅니다.

• 비활성 - 목록이 현재 사용 중이 아님을 나타냅니다. GuardDuty가 환경에서 위협 탐지에이 목록을 사용하려면의 3단계: 개체 목록 또는 IP 주소 목록 활성화를 참조하세요개체 목록 또는 IP 주소 목록 업데이트.

  목록을 업데이트하면 상태가 자동으로 비활성으로 변경됩니다. GuardDuty가 업데이트된 세부 정보의 최신 버전을 고려하려면 다시 활성화해야 합니다.

• 오류 - 목록에 문제가 있음을 나타냅니다. 상태 위로 마우스를 가져가면 오류 세부 정보를 볼 수 있습니다.

• 활성화 - GuardDuty가 목록 활성화 프로세스를 시작했음을 나타냅니다. 이 목록의 상태를 계속 모니터링할 수 있습니다. 오류가 없으면 상태가 활성으로 업데이트되어야 합니다. 상태가 활성화 중으로 유지되는 동안에는이 목록에서 어떤 작업도 수행할 수 없습니다. 목록 상태가 활성으로 변경되는 데 몇 분 정도 걸릴 수 있습니다.

• 비활성화 - GuardDuty가 목록을 비활성화하는 프로세스를 시작했음을 나타냅니다. 이 목록의 상태를 계속 모니터링할 수 있습니다. 오류가 없으면 상태가 비활성으로 업데이트되어야 합니다. 상태가 비활성화로 유지되는 동안에는이 목록에 대한 작업을 수행할 수 없습니다.

• 삭제 보류 중 - 목록이 삭제 중임을 나타냅니다. 상태가 삭제 보류 중으로 유지되는 동안에는이 목록에서 어떤 작업도 수행할 수 없습니다.