使用信任 IP 清單和威脅清單

Amazon 透過分析和處理VPC流程日誌、 AWS CloudTrail 事件日誌和日誌來 GuardDuty 監控您 AWS 環境的安全。DNS您可以自訂此監控範圍，方法是設定為停止 GuardDuty 來自您信任 IP 清單的信任警示，並IPs從您自己的威脅清單針對已知惡意程式IPs發出警示。

信任 IP 清單和威脅清單僅適用於以公共可路由的 IP 地址為目的地的流量。清單的效果會套用至所有VPC流程記錄和 CloudTrail 發現項目，但不適用於DNS發現項目。

GuardDuty 可以配置為使用以下類型的列表。

信任 IP 清單

受信任的 IP 清單包含您信任的 IP 位址，以便與 AWS 基礎結構和應用程式進行安全通訊。 GuardDuty 不會針對受信任 IP 清單上的 IP 位址產生VPC流程記錄檔或 CloudTrail 發現項目。您可以在單一信任 IP 清單中包含最多 2000 個 IP 位址和CIDR範圍。在任何指定的時間，您在每個區域的每個 AWS 帳戶中，僅能上傳一份信任 IP 清單。

威脅 IP 清單

威脅清單包含已知的惡意 IP 地址。此清單可由第三方威脅情報提供，也可以專門為您的組織建立。除了由於潛在可疑活動而產生發現項目之外， GuardDuty 還會根據這些安全威脅清單產生發現項目。您最多可以在單一威脅清單中包含 250,000 個 IP 位址和CIDR範圍。 GuardDuty 只會根據涉及安全威脅清單中 IP 位址和CIDR範圍的活動產生發現項目；發現項目不會根據網域名稱產生。在任何特定時間點， AWS 帳戶 每個區域最多可以有六個上傳的威脅清單。

注意

如果您同時在信任 IP 清單和威脅清單中包含相同的 IP，則信任 IP 清單會先處理該 IP，而且不會產生調查結果。

在多帳戶環境中，只有管理 GuardDuty 員帳號的使用者才能新增和管理信任的 IP 清單和威脅清單。由管理員帳戶帳戶上傳的受信任 IP 清單和威脅清單會強加在其成員帳戶中的 GuardDuty 功能上。換句話說，在成員帳 GuardDuty 戶中，會根據涉及系統管理員帳戶安全威脅清單中已知惡意 IP 位址的活動產生發現項目，而且不會根據系統管理員帳戶信任 IP 清單中涉及 IP 位址的活動產生發現項目。如需詳細資訊，請參閱在 Amazon 管理多個帳戶 GuardDuty。

清單格式

GuardDuty 接受下列格式的清單。

託管信任 IP 清單或威脅 IP 清單的每個檔案的大小上限為 35 MB。在受信任的 IP 清單和威脅 IP 清單中，IP 位址和CIDR範圍必須每行顯示一個。僅接受IPv4地址。

• 明文 () TXT

  此格式同時支援CIDR封鎖和個別 IP 位址。下列範例清單使用純文字 (TXT) 格式。

  192.0.2.0/24
  198.51.100.1
  203.0.113.1

• 結構化威脅資訊運算式 (STIX)

  此格式同時支援CIDR封鎖和個別 IP 位址。下列範例清單會使用STIX格式。

  <?xml version="1.0" encoding="UTF-8"?>
  <stix:STIX_Package
      xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
      xmlns:stix="http://stix.mitre.org/stix-1"
      xmlns:stixCommon="http://stix.mitre.org/common-1"
      xmlns:ttp="http://stix.mitre.org/TTP-1"
      xmlns:cybox="http://cybox.mitre.org/cybox-2"
      xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2"
      xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
      xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
      xmlns:example="http://example.com/"
      xsi:schemaLocation="
      http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd
      http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd
      http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd
      http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd
      http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd
      http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd"
      id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16"
      version="1.2">
      <stix:Observables cybox_major_version="1" cybox_minor_version="1">
          <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236">
              <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245">
                  <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                      <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value>
                  </cybox:Properties>
              </cybox:Object>
          </cybox:Observable>
          <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab">
              <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d">
                  <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                      <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value>
                  </cybox:Properties>
              </cybox:Object>
          </cybox:Observable>
          <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784">
              <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391">
                  <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                      <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value>
                  </cybox:Properties>
              </cybox:Object>
          </cybox:Observable>
      </stix:Observables>
  </stix:STIX_Package>

• 開放式威脅交換 (OTX) ^TM CSV

  此格式同時支援CIDR封鎖和個別 IP 位址。下列範例清單會使用OTXTMCSV格式。

  Indicator type, Indicator, Description
  CIDR, 192.0.2.0/24, example
  IPv4, 198.51.100.1, example
  IPv4, 203.0.113.1, example

• FireEye^TM 與威SIGHT脅情報 CSV

  此格式同時支援CIDR封鎖和個別 IP 位址。下列範例清單使用FireEyeTMCSV格式。

  reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
  
  01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
  
  01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
  
  01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

• 校對 ^TM ET 智能飼料 CSV

  此格式僅支援個別 IP 地址。下列範例清單會使用ProofpointCSV格式。ports 為選用參數。如果跳過連接埠，請務必在結尾留下尾隨逗號 (,)。

  ip, category, score, first_seen, last_seen, ports (|)
  198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
  203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80

• AlienVault^TM 信譽摘要

  此格式僅支援個別 IP 地址。下列範例清單使用 AlienVault 格式。

  198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
  203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3

上傳信任 IP 清單和威脅清單所需的許可

各種IAM身分都需要特殊權限才能與中的受信任 IP 清單和威脅清單搭配使用 GuardDuty。具有連接的 AmazonGuardDutyFullAccess 受管政策的身分，只能重新命名和停用上傳的信任 IP 清單和威脅清單。

若要授予各種身分使用信任 IP 清單和威脅清單 (除了重新命名和停用，還包括新增、啟用、刪除和更新清單的位置或名稱) 的完整存取權限，請確認以下動作存在於連接至使用者、群組或角色的許可政策中：

{
    "Effect": "Allow",
    "Action": [
        "iam:PutRolePolicy",
        "iam:DeleteRolePolicy"
    ],
    "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}

重要

這些動作不包含在 AmazonGuardDutyFullAccess 受管政策中。

對信任 IP 清單和威脅清單使用伺服器端加密

GuardDuty 支援下列清單的加密類型：SSE-AES256 和 SSE-KMS。SSE-C 不受支援。如需有關 S3 的加密類型的詳細資訊，請參閱使用伺服器端加密保護資料。

如果您的清單使用伺服器端加密進行加密 SSE-KMS 您必須授與 GuardDuty 服務連結角色解密檔案的AWSServiceRoleForAmazonGuardDuty權限，才能啟動清單。將下列陳述式新增至KMS金鑰政策，並以您自己的帳號 ID 取代帳號 ID：

{
    "Sid": "AllowGuardDutyServiceRole",
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    },
    "Action": "kms:Decrypt*",
    "Resource": "*"
}

新增和啟用信任 IP 清單或威脅 IP 清單

選擇下列其中一種存取方法，以新增並啟用信任 IP 清單或威脅 IP 清單。

Console

（可選）步驟 1：獲取列URL表的位置

1. 在開啟 Amazon S3 主控台https://console.aws.amazon.com/s3/。

2. 在導覽窗格中，選擇 儲存貯體。

3. 選擇 Amazon S3 儲存貯體名稱，其中包含您要新增的特定清單。

4. 選擇物件 (清單) 名稱以檢視其詳細資訊。

5. 在「屬性」索引標籤下，複製此URI物件的 S3。

步驟 2：新增信任 IP 清單或威脅清單

重要

依預設，在任何指定的時間點，您只能擁有一個信任 IP 清單。同樣地，您可以有最多六個威脅清單。

1. 在開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/。

2. 在導覽窗格中，選擇清單。

3. 在清單管理頁面上，選擇新增信任 IP 清單或新增威脅清單。

4. 根據您的選擇，將出現一個對話框。執行以下步驟：

   1. 針對清單名稱，輸入清單的名稱。

      清單命名條件約束 — 清單名稱可包括小寫字母、大寫字母、數字、破折號 (-) 和底線 (_)。

   2. 針對位置，提供您上傳清單的位置。如果您尚未擁有位置，請參閱Step 1: Fetching location URL of your list。

      位置格式 URL

      • https://s3.amazonaws.com/bucket.name/file.txt

      • https://s3-aws-region.amazonaws.com/bucket.name/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • http://bucket.s3-aws-region.amazonaws.com/file.txt

      • s3://bucket.name/file.txt

   3. 選取我同意核取方塊。

   4. 選擇新增清單。依預設，新增清單的狀態為非作用中。若要使清單生效，您必須啟用清單。

步驟 3：啟用信任 IP 清單或威脅清單

1. 在開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/。

2. 在導覽窗格中，選擇清單。

3. 在清單管理頁面上，選取您要啟用的清單。

4. 選擇動作，然後選擇啟用。最多可能需要 15 分鐘的時間才能生效。

API/CLI

針對信任 IP 清單

• 運行 C reateIPSet. 請務必提供您要為其建立此信任 IP 清單之成員帳戶的 detectorId。

  清單命名條件約束 — 清單名稱可包括小寫字母、大寫字母、數字、破折號 (-) 和底線 (_)。

  • 或者，您可以執行下列 AWS Command Line Interface 命令來完成此操作，並務必使用您要更新信任 IP 清單之成員帳戶的偵測器 ID 來取代 detector-id。

    aws guardduty create-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --format Plaintext --location https://s3.amazonaws.com/amzn-s3-demo-bucket2/DOC-EXAMPLE-SOURCE-FILE.format --activate

針對威脅清單

• 運行CreateThreatIntelSet。請務必提供您要為其建立此威脅清單之成員帳戶的 detectorId。

  • 或者，您也可以執行下列 AWS Command Line Interface 命令來執行此操作。請務必提供您要為其建立威脅清單之成員帳戶的 detectorId。

    aws guardduty create-threat-intel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --format Plaintext --location https://s3.amazonaws.com/amzn-s3-demo-bucket2/DOC-EXAMPLE-SOURCE-FILE.format --activate

注意

啟用或更新任何 IP 清單後，最多 GuardDuty 可能需要 15 分鐘才能同步處理清單。

更新信任 IP 清單和威脅清單

您可以更新清單的名稱，或更新已新增並啟用之清單的新增 IP 地址。如果您更新清單，您必須再次啟動清單， GuardDuty 才能使用最新版本的清單。

選擇其中一種存取方法來更新信任 IP 清單或威脅清單。

Console

1. 在開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/。

2. 在導覽窗格中，選擇清單。

3. 在清單管理頁面上，選取您要更新的信任 IP 集或威脅清單。

4. 選擇動作，然後選擇編輯。

5. 在更新清單對話方塊中，視需要更新資訊。

   清單命名條件約束 — 清單名稱可包括小寫字母、大寫字母、數字、破折號 (-) 和底線 (_)。

6. 選中我同意核取方塊，然後選擇更新清單。狀態資料欄中的值將變更為非作用中。

7. 重新啟用更新後的清單

   1. 在清單管理頁面上，選取您要再次啟用的清單。

   2. 選擇動作，然後選擇啟用。

API/CLI

1. 執行 UpdateIPSet 以更新信任 IP 清單。

   • 或者，您可以執行下列 AWS CLI 命令來更新信任 IP 清單，並務必使用更新信任 IP 清單之成員帳戶的偵測器 ID 取代 detector-id。

     aws guardduty update-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --ip-set-id d4b94fc952d6912b8f3060768example --activate

2. 執行 UpdateThreatIntelSet 以更新威脅清單

   • 或者，您可以執行下列 AWS CLI 命令來更新威脅清單，並務必使用更新威脅清單之成員帳戶的偵測器 ID 取代 detector-id。

     aws guardduty update-threatintel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --threat-intel-set-id d4b94fc952d6912b8f3060768example --activate

停用或刪除信任 IP 清單或威脅清單

選擇要刪除 (使用主控台) 或停用 (使用API/CLI) 信任 IP 清單或安全威脅清單的存取方法之一。

Console

1. 在開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/。

2. 在導覽窗格中，選擇清單。

3. 在清單管理頁面上，選取您要刪除的清單。

4. 選擇動作，然後選擇刪除。

5. 確認動作，然後選擇刪除。特定清單將不再可用於表格中。

API/CLI

1. 針對信任 IP 清單

   執行 UpdateIPSet 以更新信任 IP 清單。

   • 或者，您可以執行下列 AWS CLI 命令來更新信任 IP 清單，並務必使用更新信任 IP 清單之成員帳戶的偵測器 ID 取代 detector-id。

     若要尋找您帳戶和目前區域的，請參閱主https://console.aws.amazon.com/guardduty/控台中的 「設定」 頁面，或執行 ListDetectorsAPI. detectorId

     aws guardduty update-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --ip-set-id d4b94fc952d6912b8f3060768example --no-activate

2. 針對威脅清單

   執行 UpdateThreatIntelSet 以更新威脅清單

   • 或者，您可以執行下列 AWS CLI 命令來更新信任 IP 清單，並務必使用更新威脅清單之成員帳戶的偵測器 ID 取代 detector-id。

     aws guardduty update-threatintel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --threat-intel-set-id d4b94fc952d6912b8f3060768example --no-activate