使用實體清單和 IP 地址清單自訂威脅偵測 - Amazon GuardDuty
了解實體清單和 IP 地址清單GuardDuty 清單的重要考量事項清單格式了解清單狀態

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用實體清單和 IP 地址清單自訂威脅偵測

Amazon GuardDuty 透過分析和處理 VPC 流程日誌、 AWS CloudTrail 事件日誌和 DNS 日誌來監控 AWS 環境的安全性。透過啟用一或多個以使用案例為中心的 GuardDuty 保護計畫 (除了 之外執行期監控,您可以在 GuardDuty 中擴展監控功能。

透過 清單,GuardDuty 可協助您自訂環境中的威脅偵測範圍。您可以設定 GuardDuty 停止從信任的來源產生問題清單,並從威脅清單中產生已知惡意來源的問題清單。GuardDuty 會繼續支援舊版 IP 地址清單,並將支援延伸到可包含 IP 地址、網域或兩者的實體清單 (建議)。

主題

了解實體清單和 IP 地址清單

GuardDuty 提供兩種實作方法:實體清單 (建議) 和 IP 清單。這兩種方法都可協助您指定信任的來源,以阻止 GuardDuty 產生調查結果和 GuardDuty 用來產生調查結果的已知威脅。

實體清單同時支援 IP 地址和網域名稱。它們使用直接 Amazon Simple Storage Service (Amazon S3) 存取搭配單一 IAM 許可,這不會影響跨多個區域的 IAM 政策大小限制。

IP 清單僅支援 IP 地址和使用 GuardDuty 服務連結角色 (SLR)(SLR),需要每個區域的 IAM 政策更新,這可能會影響 IAM 政策大小限制。

信任清單 (實體清單和 IP 地址清單) 包含您信任的項目,以便與 AWS 基礎設施進行安全通訊。GuardDuty 不會為信任來源中列出的項目產生問題清單。在任何指定時間,每個 AWS 帳戶 區域只能新增一個信任實體清單和一個信任 IP 地址清單。

威脅清單 (實體清單和 IP 地址清單) 包含您已識別為已知惡意來源的項目。當 GuardDuty 偵測到涉及這些來源的活動時,會產生調查結果來提醒您潛在的安全問題。您可以建立自己的威脅清單或整合第三方威脅情報摘要。此清單可由第三方威脅情報提供,也可以專門為您的組織建立。除了因為潛在可疑活動產生調查結果之外,GuardDuty 還會根據涉及威脅清單中項目的活動產生調查結果。在任何指定時間,每個 AWS 帳戶 區域最多可上傳六個威脅實體清單和威脅 IP 地址清單。

注意

若要從 IP 地址清單遷移至實體清單,請遵循 實體清單的先決條件,然後新增並啟用所需的實體清單。之後,您可以選擇停用或刪除對應的 IP 地址清單。

GuardDuty 清單的重要考量事項

開始使用清單之前,請閱讀下列考量事項:

  • IP 地址清單和實體清單僅適用於以可公開路由 IP 地址和網域為目標的流量。

  • 在實體清單中,項目會套用至 CloudTrail、Amazon VPC 中的 VPC 流程日誌,以及 Route53 Resolver DNS 查詢日誌調查結果。

    在 IP 地址清單中,項目適用於 Amazon VPC 調查結果中的 CloudTrail 和 VPC 流程日誌,但不適用於 Route53 Resolver DNS 查詢日誌調查結果。

  • 如果您在信任和威脅清單中包含相同的 IP 地址或網域,則信任清單中的這個項目將優先。如果存在與此項目相關聯的活動,GuardDuty 將不會產生問題清單。

  • 在多帳戶環境中,只有 GuardDuty 管理員帳戶可以管理清單。此設定會自動套用至成員帳戶。GuardDuty 會根據涉及來自管理員帳戶威脅來源之已知惡意 IP 地址 (和網域) 的活動產生調查結果,而且不會根據涉及來自管理員帳戶信任來源之 IP 地址 (和網域) 的活動產生調查結果。如需詳細資訊,請參閱Amazon GuardDuty 中的多個帳戶

  • 僅接受 IPv4 地址。不支援 IPv6 地址。

  • 在您啟用、停用或刪除實體清單或 IP 地址清單後,估計程序會在 15 分鐘內完成。在某些情況下,此程序最多可能需要 40 分鐘才能完成。

  • 只有在清單的狀態變為作用中時,GuardDuty 才會使用威脅偵測清單。

  • 每當您在清單的 S3 儲存貯體位置中新增或更新項目時,都必須再次啟用清單。如需詳細資訊,請參閱更新實體清單或 IP 地址清單

  • 實體清單和 IP 地址具有不同的配額。如需詳細資訊,請參閱GuardDuty 配額

清單格式

GuardDuty 接受您清單和實體清單的多種檔案格式,每個檔案最多 35 MB。每個格式都有特定的要求和功能。

此格式支援 IP 地址、CIDR 範圍和網域名稱。每個項目都必須出現在單獨的一行。

範例 實體清單的範例
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
範例 IP 地址清單的範例
192.0.2.0/24
198.51.100.1
203.0.113.1

此格式支援 IP 地址、CIDR 區塊和網域名稱。STIX 可讓您在威脅情報中包含其他內容。GuardDuty 會從 STIX 指標處理 IP 地址、CIDR 範圍和網域名稱。

範例 實體清單的範例
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:cyboxCommon="http://cybox.mitre.org/common-2"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:indicator="http://stix.mitre.org/Indicator-2"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:DomainNameObj="http://cybox.mitre.org/objects#DomainNameObject-1"
    id="example:Package-a1b2c3d4-1111-2222-3333-444455556666"
    version="1.2">
    <stix:Indicators>
        <stix:Indicator
            id="example:indicator-a1b2c3d4-aaaa-bbbb-cccc-ddddeeeeffff"
            timestamp="2025-08-12T00:00:00Z"
            xsi:type="indicator:IndicatorType"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
            <indicator:Title>Malicious domain observed Example</indicator:Title>
            <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">Domain Watchlist</indicator:Type>
            <indicator:Observable id="example:Observable-0000-1111-2222-3333">
                <cybox:Object id="example:Object-0000-1111-2222-3333">
                    <cybox:Properties xsi:type="DomainNameObj:DomainNameObjectType">
                        <DomainNameObj:Value condition="Equals">bad.example.com</DomainNameObj:Value>
                    </cybox:Properties>
                </cybox:Object>
            </indicator:Observable>
        </stix:Indicator>
    </stix:Indicators>
</stix:STIX_Package>
範例 IP 地址清單的範例
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:ttp="http://stix.mitre.org/TTP-1"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:example="http://example.com/"
    xsi:schemaLocation="
    http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd
    http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd
    http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd
    http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd
    http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd
    http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd"
    id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16"
    version="1.2">
    <stix:Observables cybox_major_version="1" cybox_minor_version="1">
        <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236">
            <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab">
            <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784">
            <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
    </stix:Observables>
</stix:STIX_Package>

此格式支援 CIDR 區塊、個別 IP 地址和網域。此檔案格式具有逗號分隔值。

範例 實體清單的範例
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
範例 IP 地址清單的範例
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example

此格式支援 CIDR 區塊、個別 IP 地址和網域。下列範例清單使用 FireEyeTM CSV 格式。

範例 實體清單的範例
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

 01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
範例 IP 地址清單的範例
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

在 ProofPoint CSV 格式中,您可以在一個清單中新增 IP 地址或網域名稱。下列範例清單使用 Proofpoint CSV 格式。提供 ports 參數的值是選用的。當您不提供它時,請在結尾保留結尾逗號 (,)。

範例 實體清單的範例
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
範例 IP 地址清單的範例
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80

下列範例清單使用 AlienVault 格式。

範例 實體清單的範例
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
範例 IP 地址清單的範例
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3

了解清單狀態

當您新增實體清單或 IP 地址清單時,GuardDuty 會顯示該清單的狀態。狀態欄指出清單是否有效,以及是否需要任何動作。下列清單說明有效的狀態值:

  • 作用中 – 表示清單目前正在用於自訂威脅偵測。

  • 非作用中 – 表示清單目前不在使用中。若要讓 GuardDuty 將此清單用於環境中的威脅偵測,請參閱《》中的步驟 3:啟用實體清單或 IP 地址清單更新實體清單或 IP 地址清單

    當您更新清單時,狀態會自動變更為非作用中。您必須再次啟用它,GuardDuty 才能考慮更新後詳細資訊的最新版本。

  • 錯誤 – 表示清單發生問題。將滑鼠暫留在狀態上以檢視錯誤詳細資訊。

  • 啟用中 – 表示 GuardDuty 已啟動啟用清單的程序。您可以繼續監控此清單的狀態。如果沒有錯誤,狀態應更新為作用中。當狀態保持啟用時,您無法對此清單執行任何動作。清單狀態可能需要幾分鐘的時間才能變更為作用中

  • 停用 – 表示 GuardDuty 已啟動停用清單的程序。您可以繼續監控此清單的狀態。如果沒有錯誤,狀態應更新為非作用中。當狀態保持停用時,您無法在此清單上執行任何動作。

  • 刪除擱置中 – 表示清單正在進行刪除。當狀態保持待定刪除時,您無法對此清單執行任何動作。