使用实体列表和 IP 地址列表自定义威胁检测 - Amazon GuardDuty
了解实体列表和 IP 地址列表 GuardDuty 清单的重要注意事项列表格式了解列表状态

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用实体列表和 IP 地址列表自定义威胁检测

Amazon 通过分析和处理 VPC 流日志、 AWS CloudTrail 事件日志和 DNS 日志来 GuardDuty 监控您的 AWS 环境安全。通过启用一个或多个以用例为重点的 GuardDuty 保护计划(除外)运行时监控,您可以扩展其中的监控功能。 GuardDuty

使用列表, GuardDuty 可帮助您自定义环境中威胁检测的范围。您可以配置 GuardDuty 为停止从可信来源生成调查结果,并从威胁列表中生成已知恶意来源的调查结果。 GuardDuty 继续支持传统 IP 地址列表,并将支持扩展到可能包含 IP 地址和/或域的实体列表(推荐)。

主题

了解实体列表和 IP 地址列表

GuardDuty 提供了两种实现方法:实体列表(推荐)和 IP 列表。这两种方法都可以帮助您指定可信来源,这些来源可 GuardDuty 阻止生成发现结果和已知威胁,后者 GuardDuty 用于生成调查结果。

实体列表同时支持 IP 地址和域名。他们使用亚马逊简单存储服务 (Amazon S3) 的直接访问权限,具有单个 IAM 权限,不会影响多个区域的 IAM 策略大小限制。

IP 列表仅支持 IP 地址和用途 GuardDuty 服务相关角色 (SLR) (SLR),需要按区域更新 IAM 策略,这可能会影响 IAM 策略的大小限制。

可信列表(包括实体列表和 IP 地址列表)包括您信任的用于与您的 AWS 基础架构进行安全通信的条目。 GuardDuty 不会为可信来源中列出的条目生成搜索结果。在任何给定时间, AWS 账户 每个区域只能添加一个可信实体列表和一个可信 IP 地址列表。

威胁列表(包括实体列表和 IP 地址列表)包括您已确定为已知恶意来源的条目。当 GuardDuty 检测到涉及这些来源的活动时,它会生成调查结果,提醒您注意潜在的安全问题。您可以创建自己的威胁列表或整合第三方威胁情报源。此列表可以由第三方威胁情报提供,也可以专门为您的组织创建。除了由于可能存在可疑活动而生成发现结果外, GuardDuty 还会根据涉及威胁列表条目的活动生成调查结果。在任何给定时间, AWS 账户 每个区域最多可以上传六个威胁实体列表和威胁 IP 地址列表。

注意

要从 IP 地址列表迁移到实体列表,请执行操作实体列表的先决条件,然后添加并激活所需的实体列表。之后,您可以选择停用或删除相应的 IP 地址列表。

GuardDuty 清单的重要注意事项

在开始使用列表之前,请阅读以下注意事项:

  • IP 地址列表和实体列表仅适用于发往可公开路由的 IP 地址和域的流量。

  • 在实体列表中,条目适用于 Amazon VPC 中的 VPC 流日志和 Route53 Resolver DNS 查询日志结果。 CloudTrail

    在 IP 地址列表中,条目适用于 Amazon VPC 发现结果中的 VPC 流日志,但不适用于 Route53 Resolver DNS 查询日志结果。 CloudTrail

  • 如果您在可信列表和威胁列表中都包含相同的 IP 地址或域,则可信列表中的此条目将优先。 GuardDuty 如果存在与此条目相关的活动,则不会生成调查结果。

  • 在多账户环境中,只有 GuardDuty 管理员帐户才能管理列表。此设置自动应用于成员账户。 GuardDuty 根据涉及管理员帐户威胁源的已知恶意 IP 地址(和域)的活动生成调查结果,并且不会根据涉及管理员帐户可信来源的 IP 地址(和域)的活动生成调查结果。有关更多信息,请参阅 Amazon 中的多个账户 GuardDuty

  • 只接受 IPv4 地址。 IPv6 不支持地址。

  • 激活、停用或删除实体列表或 IP 地址列表后,该过程预计将在 15 分钟内完成。在某些情况下,此过程最多可能需要 40 分钟才能完成。

  • GuardDuty 仅当列表的状态变为 “活动” 时,才使用列表进行威胁检测。

  • 每当您在列表的 S3 存储桶位置添加或更新条目时,都必须再次激活该列表。有关更多信息,请参阅 更新实体列表或 IP 地址列表

  • 实体列表和 IP 地址有不同的配额。有关更多信息,请参阅 GuardDuty 配额

列表格式

GuardDuty 您的列表和实体列表接受多种文件格式,每个文件最大 35 MB。每种格式都有特定的要求和功能。

此格式支持 IP 地址、CIDR 范围和域名。每个条目必须出现在单独的行上。

实体列表示例
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
IP 地址列表示例
192.0.2.0/24
198.51.100.1
203.0.113.1

此格式支持 IP 地址、CIDR 块和域名。STIX 允许您在威胁情报中加入其他背景信息。 GuardDuty 处理 STIX 指标中的 IP 地址、CIDR 范围和域名。

实体列表示例
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:cyboxCommon="http://cybox.mitre.org/common-2"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:indicator="http://stix.mitre.org/Indicator-2"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:DomainNameObj="http://cybox.mitre.org/objects#DomainNameObject-1"
    id="example:Package-a1b2c3d4-1111-2222-3333-444455556666"
    version="1.2">
    <stix:Indicators>
        <stix:Indicator
            id="example:indicator-a1b2c3d4-aaaa-bbbb-cccc-ddddeeeeffff"
            timestamp="2025-08-12T00:00:00Z"
            xsi:type="indicator:IndicatorType"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
            <indicator:Title>Malicious domain observed Example</indicator:Title>
            <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">Domain Watchlist</indicator:Type>
            <indicator:Observable id="example:Observable-0000-1111-2222-3333">
                <cybox:Object id="example:Object-0000-1111-2222-3333">
                    <cybox:Properties xsi:type="DomainNameObj:DomainNameObjectType">
                        <DomainNameObj:Value condition="Equals">bad.example.com</DomainNameObj:Value>
                    </cybox:Properties>
                </cybox:Object>
            </indicator:Observable>
        </stix:Indicator>
    </stix:Indicators>
</stix:STIX_Package>
IP 地址列表示例
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:ttp="http://stix.mitre.org/TTP-1"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:example="http://example.com/"
    xsi:schemaLocation="
    http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd
    http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd
    http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd
    http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd
    http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd
    http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd"
    id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16"
    version="1.2">
    <stix:Observables cybox_major_version="1" cybox_minor_version="1">
        <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236">
            <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab">
            <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784">
            <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
    </stix:Observables>
</stix:STIX_Package>

此格式支持 CIDR 块、单个 IP 地址和域。此文件格式的值以逗号分隔。

实体列表示例
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
IP 地址列表示例
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example

此格式支持 CIDR 块、单个 IP 地址和域。以下示例列表使用 FireEyeTM CSV 格式。

实体列表示例
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

 01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
IP 地址列表示例
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

在 ProofPoint CSV 格式中,可以在一个列表中添加 IP 地址或域名。以下示例列表使用 Proofpoint CSV 格式。为ports参数提供值是可选的。如果不提供,请在末尾留一个逗号 (,)。

实体列表示例
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
IP 地址列表示例
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80

以下示例列表使用 AlienVault 格式。

实体列表示例
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
IP 地址列表示例
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3

了解列表状态

添加实体列表或 IP 地址列表时,会 GuardDuty 显示该列表的状态。“状态” 列指示列表是否有效以及是否需要采取任何操作。以下列表描述了有效的状态值:

  • Activ e — 表示列表当前正在用于自定义威胁检测。

  • 非活动状态 — 表示列表当前未被使用。 GuardDuty 要在您的环境中使用此列表进行威胁检测,请参阅中的步骤 3:激活实体列表或 IP 地址列表更新实体列表或 IP 地址列表

    更新列表时,状态会自动更改为 “不活跃”。您必须再次激活它 GuardDuty 才能考虑更新后的详细信息的最新版本。

  • 错误-表示列表有问题。将鼠标悬停在状态上方可查看错误详情。

  • 激活-表示 GuardDuty 已启动激活列表的过程。您可以继续监视此列表的状态。如果没有错误,则状态应更新为 “活动”。当状态为 “激活” 时,您无法在此列表上执行任何操作。列表状态可能需要几分钟才能更改为 “激活”。

  • 停用 — 表示 GuardDuty 已启动取消激活列表的过程。您可以继续监视此列表的状态。如果没有错误,则状态应更新为 “非活动”。当状态为 “停用” 时,您无法对此列表执行任何操作。

  • 待删除 — 表示列表正在删除中。当状态仍为 “删除待定” 时,您无法对此列表执行任何操作。