As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como trabalhar com listas de IPs confiáveis e listas de ameaças
A Amazon GuardDuty monitora a segurança do seu AWS ambiente analisando e processando registros de VPC fluxo, registros de AWS CloudTrail eventos e DNS registros. Você pode personalizar esse escopo de monitoramento configurando GuardDuty para interromper alertas IPs de confiança de suas próprias listas de IP confiáveis e alertar sobre malware conhecido IPs de suas próprias listas de ameaças.
Listas de IPs confiáveis e listas de ameaças são aplicáveis somente para o tráfego destinado para endereços IP roteáveis publicamente. Os efeitos de uma lista se aplicam a todos os registros de VPC fluxo e CloudTrail descobertas, mas não se aplicam às DNS descobertas.
GuardDuty pode ser configurado para usar os seguintes tipos de listas.
- Lista de IPs confiáveis
-
As listas de IP confiáveis consistem em endereços IP nos quais você confiou para comunicação segura com sua AWS infraestrutura e aplicativos. GuardDuty não gera registro VPC de fluxo ou CloudTrail descobertas para endereços IP em listas de IP confiáveis. Você pode incluir no máximo 2.000 endereços IP e CIDR intervalos em uma única lista de IPs confiáveis. Você pode ter somente uma lista de IPs confiáveis enviada por vez por conta da AWS e por região.
- Lista de IPs de ameaças
-
Listas de ameaças consistem em endereços IP mal-intencionados conhecidos. Essa lista pode ser fornecida por inteligência de ameaças de terceiros ou criada especificamente para sua organização. Além de gerar descobertas devido a uma atividade potencialmente suspeita, GuardDuty também gera descobertas com base nessas listas de ameaças. Você pode incluir no máximo 250.000 endereços IP e CIDR intervalos em uma única lista de ameaças. GuardDuty só gera descobertas com base em uma atividade que envolve endereços IP e CIDR intervalos em suas listas de ameaças; as descobertas não são geradas com base nos nomes de domínio. A qualquer momento, você pode ter até seis listas de ameaças enviadas Conta da AWS por cada região.
nota
Se você incluir o mesmo IP em uma lista de IPs confiáveis e em uma lista de ameaças, ele será processado primeiro pela lista de IPs confiáveis e não vai gerar uma descoberta.
Em ambientes com várias contas, somente usuários de contas de GuardDuty administrador podem adicionar e gerenciar listas de IP confiáveis e listas de ameaças. As listas de IP confiáveis e as listas de ameaças enviadas pela conta do administrador são impostas à GuardDuty funcionalidade de suas contas de membros. Em outras palavras, nas contas dos membros, GuardDuty gera descobertas com base em atividades que envolvem endereços IP maliciosos conhecidos das listas de ameaças da conta do administrador e não gera descobertas com base em atividades que envolvem endereços IP das listas de IP confiáveis da conta do administrador. Para ter mais informações, consulte Gerenciando várias contas na Amazon GuardDuty.
Formatos das listas
GuardDuty aceita listas nos seguintes formatos.
O tamanho máximo de cada arquivo que hospeda a lista de IPs confiáveis ou a lista de ameaças é de 35 MB. Em suas listas de IPs confiáveis e listas de IP de ameaças, os endereços e CIDR intervalos IP devem aparecer um por linha. Somente IPv4 endereços são aceitos.
-
Texto sem formatação () TXT
Esse formato oferece suporte a endereços IP individuais e de CIDR bloco. A lista de exemplos a seguir usa o formato Plaintext (TXT).
192.0.2.0/24 198.51.100.1 203.0.113.1 -
Expressão estruturada de informações sobre ameaças (STIX)
Esse formato oferece suporte a endereços IP individuais e de CIDR bloco. A lista de exemplos a seguir usa o STIX formato.
<?xml version="1.0" encoding="UTF-8"?> <stix:STIX_Package xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:stix="http://stix.mitre.org/stix-1" xmlns:stixCommon="http://stix.mitre.org/common-1" xmlns:ttp="http://stix.mitre.org/TTP-1" xmlns:cybox="http://cybox.mitre.org/cybox-2" xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2" xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2" xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1" xmlns:example="http://example.com/" xsi:schemaLocation=" http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd" id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16" version="1.2"> <stix:Observables cybox_major_version="1" cybox_minor_version="1"> <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236"> <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab"> <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784"> <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> </stix:Observables> </stix:STIX_Package> -
Open Threat Exchange (OTX) TM CSV
Esse formato oferece suporte a endereços IP individuais e de CIDR bloco. A lista de exemplos a seguir usa o
OTXTMCSV formato.Indicator type, Indicator, Description CIDR, 192.0.2.0/24, example IPv4, 198.51.100.1, example IPv4, 203.0.113.1, example -
FireEyeTM é inteligência de SIGHT ameaças CSV
Esse formato oferece suporte a endereços IP individuais e de CIDR bloco. A lista de exemplos a seguir usa um
FireEyeTMCSV formato.reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime 01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400 01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400 01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400 -
Feed de inteligência do Proofpoint TM ET CSV
Esse formato é compatível somente com endereços IP individuais. A lista de exemplos a seguir usa o
ProofpointCSV formato. O parâmetroportsé opcional. Se você ignorar a porta, certifique-se de deixar uma vírgula (,) no final.ip, category, score, first_seen, last_seen, ports (|) 198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80 -
AlienVaultFeed de reputação da TM
Esse formato é compatível somente com endereços IP individuais. A lista de exemplos a seguir usa o formato
AlienVault.198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3 203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
Permissões necessárias para fazer upload das listas de IP confiáveis e listas de ameaças
Várias IAM identidades exigem permissões especiais para trabalhar com listas de IPs confiáveis e listas de ameaças. GuardDuty Uma identidade com a política gerenciada AmazonGuardDutyFullAccess anexada só pode renomear e desabilitar as listas de IP confiáveis e listas de ameaças carregadas.
Para conceder a várias identidades o acesso total para trabalhar com listas de IP confiáveis e listas de ameaças (além de renomear e desabilitar, isso inclui fazer upload, habilitar, excluir e atualizar a localização da lista), as seguintes ações devem estar presentes na política de permissões anexada a um usuário, um grupo ou uma função do IAM:
{ "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }
Importante
Essas ações não estão incluídas na política gerenciada AmazonGuardDutyFullAccess.
Como usar criptografia no lado do servidor para listas de IP confiáveis e listas de ameaças
GuardDuty suporta os seguintes tipos de criptografia para listas: SSE - AES256 e SSE -KMS. SSE-C não é suportado. Para obter mais informações sobre os tipos de criptografia do S3, consulte Proteger dados usando criptografia do lado do servidor.
Se sua lista for criptografada usando criptografia SSE do lado do servidor, KMS você deverá conceder AWSServiceRoleForAmazonGuardDutypermissão GuardDuty à função vinculada ao serviço para descriptografar o arquivo a fim de ativar a lista. Adicione a seguinte declaração à política de KMS chaves e substitua o ID da conta pelo seu próprio:
{ "Sid": "AllowGuardDutyServiceRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }, "Action": "kms:Decrypt*", "Resource": "*" }
Adicionar e habilitar uma lista de IPs confiáveis ou uma lista de IPs de ameaças
Escolha um dos métodos de acesso a seguir para adicionar e habilitar uma lista de IPs confiáveis ou uma lista de IPs de ameaças.
nota
Depois de ativar ou atualizar qualquer lista de IP, GuardDuty pode levar até 15 minutos para sincronizar a lista.
Para atualizar as listas de IPs confiáveis e as listas de ameaças
Você pode atualizar o nome de uma lista ou os endereços IP adicionados a uma lista que já foi adicionada e habilitada. Se você atualizar uma lista, deverá ativá-la novamente GuardDuty para usar a versão mais recente da lista.
Selecione um dos métodos de acesso para atualizar um IP confiável ou uma lista de ameaças.
Desabilitando ou excluindo uma lista de IPs confiáveis ou uma lista de ameaças
Escolha um dos métodos de acesso para excluir (usando o console) ou desativar (usandoAPI/CLI) uma lista de IPs confiáveis ou uma lista de ameaças.
