使用可信 IP 列表和威胁列表 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用可信 IP 列表和威胁列表

Amazon GuardDuty 监控您的安全性Amazon环境通过分析和处理 VPC 流日志,Amazon CloudTrail事件日志和 DNS 日志。您可以通过以下方式来自定义此监控范围:配置 GuardDuty 以便从您自己停止对可信 IP可信 IP 列表并提醒自己的已知恶意 IP威胁列表.

可信 IP 列表和威胁列表仅适用于以可公开路由的 IP 地址为目标的流量。列表的影响适用于所有 VPC 流日志和 CloudTrail 结果,但不适用于 DNS 结果。

GuardDuty 可以配置为使用以下类型的列表。

可信 IP 列表

可信 IP 列表包含可与您的安全通信的 IP 地址Amazon基础设施和应用。GuardDuty 不根据可信 VPC 列表生成 IP 地址结果。您最多可以在单个受信任的 IP 列表中包括 2000 个 IP 地址和 CIDR 范围。在任意给定的时间,您只能上传一个可信 IP 列表Amazon每区域的账户数。

威胁列表

威胁列表包含已知的恶意 IP 地址。这些列表可以由第三方威胁情报提供,也可以专门为您的组织创建。GuardDuty 将根据威胁列表生成结果。您最多可以在单个威胁列表中包括 250,000 个 IP 地址和 CIDR 范围。GuardDuty 仅根据涉及您的威胁列表中的 IP 地址和 CIDR 范围的活动生成结果,将不根据域名生成结果。在任意给定的时间,您可以在每个给定时间上传最多 6 个威胁列表Amazon每区域的账户数。

注意

如果您在受信任 IP 列表和威胁列表中包含相同的 IP,它将首先由受信任的 IP 列表处理,并且不会生成发现结果。

在多账户环境中,只有 GuardDuty 管理员账户的用户可以上传和管理可信 IP 列表和威胁列表。管理员账户上传的可信 IP 列表和威胁列表施加在其成员账户中的 GuardDuty 功能上。换言之,在成员账户中,GuardDuty 将根据涉及管理员威胁列表中的已知恶意 IP 地址的活动生成结果,对于涉及管理员的可信 IP 列表中的 IP 地址的活动,则不根据该活动生成结果。有关更多信息,请参阅在 Amazon GuardDuty 中管理多个账户 Amazon服务与 GuardDuty 的集成

列表格式

GuardDuty 接受以下格式的列表:

  • TXT

  • STIX

  • OTX_CSV

  • ALIEN_VAULT

  • PROOF_POINT

  • FIRE_EYE

托管可信的 IP 列表或威胁列表的文件的最大大小为 35 MB。

在您的可信 IP 列表和威胁列表中,IP 地址和 CIDR 范围必须每行显示一个。以下是纯文本 (TXT) 格式的示例列表:

54.20.175.217 205.0.0.0/8

上传可信 IP 列表和威胁列表所需的权限

各种 IAM 身份需要特殊权限才能在 GuardDuty 中使用可信 IP 列表和威胁列表。已附加 AmazonGuardDutyFullAccess 托管策略的身份只能重命名和停用已上传的可信 IP 列表和威胁列表。

要向各种身份授予完全访问权以使用可信 IP 列表和威胁列表 (以及重命名和停用,这包括上传、激活、删除和更新列表的位置),请确保以下操作在附加到 IAM 用户、组或角色的权限策略中存在:

{ "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }
重要

这些操作未包含在 AmazonGuardDutyFullAccess 托管策略中。

对可信 IP 列表和威胁列表使用服务器端加密

GuardDuty 支持列表的以下加密类型:SSE-AES256 和 SSE-KMS。不支持 SSE-C。有关 S3 加密类型的更多信息,请参阅使用服务器端加密保护数据.

如果您的列表使用服务器端加密 SSE-KMS 加密,则必须授予 GuardDuty 服务相关角色亚马逊 Guard 税务的 Amazon 服务角色解密文件以激活列表的权限。将以下语句添加到 KMS 密钥策略中,然后将账户 ID 替换为您自己的账户 ID:

{ "Sid": "AllowGuardDutyServiceRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws::iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }, "Action": "kms:Decrypt*", "Resource": "*" }

上传可信 IP 列表和威胁列表

以下过程介绍如何使用 GuardDuty 控制台上传可信 IP 列表和威胁列表。

上传可信 IP 列表和威胁列表 (控制台)

  1. 从打开 GuardDuty 控制台https://console.aws.amazon.com/guardduty/.

  2. 在导航窗格中的 Settings 下,选择 Lists

  3. List management 页面上,选择 Add a trusted IP listAdd a threat list

  4. 在对话框中,执行以下操作:

    • 适用于列表名称中,输入列表的名称。

    • 对于 Location,指定列表的位置 – 这是 S3 存储桶,您在其中存储可信 IP 列表或威胁列表以及包含您列表的文件。

      注意

      您可以按下列格式指定位置 URL:

      • https://s3.amazonaws.com/bucket.name/file.txt

      • https://s3-aws-region.amazonaws.com/bucket.name/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • http://bucket.s3-aws-region.amazonaws.com/file.txt

      • s3: //bucket.name /file.txt

    • 对于 Format,选择列表的文件类型。

    • 选中 I agree 复选框。

    • 选择 Add list

激活或取消激活可信 IP 列表和威胁列表

以下过程介绍如何激活或取消激活 GuardDuty 中的可信 IP 列表和威胁列表上传后。GuardDuty 将上传的列表包含在其对您的监控中Amazon只有当它们处于活动状态时才会

激活可信 IP 列表和威胁列表 (控制台)

  1. 从打开 GuardDuty 控制台https://console.aws.amazon.com/guardduty/.

  2. 在导航窗格中的 Settings 下,选择 Lists

  3. List management (列表管理) 页面上,找到要激活的可信 IP 集或威胁列表,然后选择 Active (激活) 列下的单选按钮。

取消激活可信 IP 列表和威胁列表 (API 或 CLI)

  • 您可以通过运行 UpdateThreatIntelSetUpdateIPSet 操作,或者运行 update-ip-setupdate-threat-intel-set CLI 命令,以此来停用受信任的 IP 列表或威胁列表。

    例如,您可以运行以下命令:

    Amazon guardduty update-ip-set --detector-id <detector-id> --ip-set-id <ip-set-id> --no-activate

    请务必将 <detector-id> 和 <ip-set-id> 替换为有效的探测器 ID 和可信 IP 列表 ID。

更新可信 IP 列表和威胁列表

如果您对已在 GuardDuty 中上传并激活的可信 IP 列表或威胁列表进行更改(例如,重命名列表或向其添加更多 IP 地址),则必须在 GuardDuty 中更新此列表并重新激活它,以便 GuardDuty 在其安全中使用最新版本的列表。监控范围。要更新可信 IP 列表或威胁列表,可以使用以下过程或运行UpdateThreatIntelSetUpdateIPSetGuardDuty API 的操作。

更新可信 IP 列表和威胁列表 (控制台)

  1. 从打开 GuardDuty 控制台https://console.aws.amazon.com/guardduty/.

  2. 在导航窗格中的 Settings 下,选择 Lists

  3. List management (列表管理) 页面上,找到要更新的可信 IP 集或威胁列表,然后选择 Active (激活) 列下的铅笔图标。

  4. Update list 弹出窗口中,验证所有指定列表信息,选择 I agree,然后选择 Update list

  5. List management (列表管理) 页面上,找到要再次激活的可信 IP 集或威胁列表,然后选择 Active (激活) 列下的单选按钮。

要了解如何以编程方式导入威胁情报源,请参阅博客文章如何自动导入第三方威胁情报源