本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用信任 IP 清單和威脅清單
Amazon 透過分析和處理VPC流程日誌、 AWS CloudTrail 事件日誌和日誌來 GuardDuty 監控您 AWS 環境的安全。DNS您可以自訂此監控範圍,方法是設定為停止 GuardDuty 來自您信任 IP 清單的信任警示,並IPs從您自己的威脅清單針對已知惡意程式IPs發出警示。
信任 IP 清單和威脅清單僅適用於以公共可路由的 IP 地址為目的地的流量。清單的效果會套用至所有VPC流程記錄和 CloudTrail 發現項目,但不適用於DNS發現項目。
GuardDuty 可以配置為使用以下類型的列表。
- 信任 IP 清單
-
受信任的 IP 清單包含您信任的 IP 位址,以便與 AWS 基礎結構和應用程式進行安全通訊。 GuardDuty 不會針對受信任 IP 清單上的 IP 位址產生VPC流程記錄檔或 CloudTrail 發現項目。您可以在單一信任 IP 清單中包含最多 2000 個 IP 位址和CIDR範圍。在任何指定的時間,您在每個區域的每個 AWS 帳戶中,僅能上傳一份信任 IP 清單。
- 威脅 IP 清單
-
威脅清單包含已知的惡意 IP 地址。此清單可由第三方威脅情報提供,也可以專門為您的組織建立。除了由於潛在可疑活動而產生發現項目之外, GuardDuty 還會根據這些安全威脅清單產生發現項目。您最多可以在單一威脅清單中包含 250,000 個 IP 位址和CIDR範圍。 GuardDuty 只會根據涉及安全威脅清單中 IP 位址和CIDR範圍的活動產生發現項目;發現項目不會根據網域名稱產生。在任何特定時間點, AWS 帳戶 每個區域最多可以有六個上傳的威脅清單。
注意
如果您同時在信任 IP 清單和威脅清單中包含相同的 IP,則信任 IP 清單會先處理該 IP,而且不會產生調查結果。
在多帳戶環境中,只有管理 GuardDuty 員帳號的使用者才能新增和管理信任的 IP 清單和威脅清單。由管理員帳戶帳戶上傳的受信任 IP 清單和威脅清單會強加在其成員帳戶中的 GuardDuty 功能上。換句話說,在成員帳 GuardDuty 戶中,會根據涉及系統管理員帳戶安全威脅清單中已知惡意 IP 位址的活動產生發現項目,而且不會根據系統管理員帳戶信任 IP 清單中涉及 IP 位址的活動產生發現項目。如需詳細資訊,請參閱在 Amazon 管理多個帳戶 GuardDuty。
清單格式
GuardDuty 接受下列格式的清單。
託管信任 IP 清單或威脅 IP 清單的每個檔案的大小上限為 35 MB。在受信任的 IP 清單和威脅 IP 清單中,IP 位址和CIDR範圍必須每行顯示一個。僅接受IPv4地址。
-
明文 () TXT
此格式同時支援CIDR封鎖和個別 IP 位址。下列範例清單使用純文字 (TXT) 格式。
192.0.2.0/24 198.51.100.1 203.0.113.1
-
結構化威脅資訊運算式 (STIX)
此格式同時支援CIDR封鎖和個別 IP 位址。下列範例清單會使用STIX格式。
<?xml version="1.0" encoding="UTF-8"?> <stix:STIX_Package xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:stix="http://stix.mitre.org/stix-1" xmlns:stixCommon="http://stix.mitre.org/common-1" xmlns:ttp="http://stix.mitre.org/TTP-1" xmlns:cybox="http://cybox.mitre.org/cybox-2" xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2" xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2" xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1" xmlns:example="http://example.com/" xsi:schemaLocation=" http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd" id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16" version="1.2"> <stix:Observables cybox_major_version="1" cybox_minor_version="1"> <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236"> <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab"> <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784"> <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> </stix:Observables> </stix:STIX_Package>
-
開放式威脅交換 (OTX) TM CSV
此格式同時支援CIDR封鎖和個別 IP 位址。下列範例清單會使用
OTXTM
CSV格式。Indicator type, Indicator, Description CIDR, 192.0.2.0/24, example IPv4, 198.51.100.1, example IPv4, 203.0.113.1, example
-
FireEyeTM 與威SIGHT脅情報 CSV
此格式同時支援CIDR封鎖和個別 IP 位址。下列範例清單使用
FireEyeTM
CSV格式。reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime 01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400 01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400 01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
-
校對 TM ET 智能飼料 CSV
此格式僅支援個別 IP 地址。下列範例清單會使用
Proofpoint
CSV格式。ports
為選用參數。如果跳過連接埠,請務必在結尾留下尾隨逗號 (,)。ip, category, score, first_seen, last_seen, ports (|) 198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
-
AlienVaultTM 信譽摘要
此格式僅支援個別 IP 地址。下列範例清單使用
AlienVault
格式。198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3 203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
上傳信任 IP 清單和威脅清單所需的許可
各種IAM身分都需要特殊權限才能與中的受信任 IP 清單和威脅清單搭配使用 GuardDuty。具有連接的 AmazonGuardDutyFullAccess 受管政策的身分,只能重新命名和停用上傳的信任 IP 清單和威脅清單。
若要授予各種身分使用信任 IP 清單和威脅清單 (除了重新命名和停用,還包括新增、啟用、刪除和更新清單的位置或名稱) 的完整存取權限,請確認以下動作存在於連接至使用者、群組或角色的許可政策中:
{ "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::
555555555555
:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }
重要
這些動作不包含在 AmazonGuardDutyFullAccess
受管政策中。
對信任 IP 清單和威脅清單使用伺服器端加密
GuardDuty 支援下列清單的加密類型:SSE-AES256 和 SSE-KMS。SSE-C 不受支援。如需有關 S3 的加密類型的詳細資訊,請參閱使用伺服器端加密保護資料。
如果您的清單使用伺服器端加密進行加密 SSE-KMS 您必須授與 GuardDuty 服務連結角色解密檔案的AWSServiceRoleForAmazonGuardDuty權限,才能啟動清單。將下列陳述式新增至KMS金鑰政策,並以您自己的帳號 ID 取代帳號 ID:
{ "Sid": "AllowGuardDutyServiceRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
123456789123
:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }, "Action": "kms:Decrypt*", "Resource": "*" }
新增和啟用信任 IP 清單或威脅 IP 清單
選擇下列其中一種存取方法,以新增並啟用信任 IP 清單或威脅 IP 清單。
注意
啟用或更新任何 IP 清單後,最多 GuardDuty 可能需要 15 分鐘才能同步處理清單。
更新信任 IP 清單和威脅清單
您可以更新清單的名稱,或更新已新增並啟用之清單的新增 IP 地址。如果您更新清單,您必須再次啟動清單, GuardDuty 才能使用最新版本的清單。
選擇其中一種存取方法來更新信任 IP 清單或威脅清單。
停用或刪除信任 IP 清單或威脅清單
選擇要刪除 (使用主控台) 或停用 (使用API/CLI) 信任 IP 清單或安全威脅清單的存取方法之一。