使用可信 IP 列表和威胁列表 - 亚马逊 GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用可信 IP 列表和威胁列表

Amazon 通过分析和处理 VPC 流日志、Amazon CloudTrail事件日志和 DNS 日志来 GuardDuty 监控您的Amazon环境安全。您可以自定义此监控范围,方法是配置为停止 GuardDuty 对来自您自己的可信 IP 列表的可信 IP 发出警报,并对自己的威胁列表中的已知恶意 IP 发出警报。

可信 IP 列表和威胁列表仅适用于发往可公开路由 IP 地址的流量。列表的影响适用于所有 VPC 流日志和 CloudTrail 发现,但不适用于 DNS 发现。

GuardDuty 可以配置为使用以下类型的列表。

可信 IP 列表

可信 IP 列表由您信任的 IP 地址组成,用于与Amazon基础设施和应用程序进行安全通信。 GuardDuty 不会为可信 IP 列表上的 IP 地址生成 VPC 流日志或查找 CloudTrail 结果。您最多可以在单个受信任的 IP 列表中包括 2000 个 IP 地址和 CIDR 范围。在任何给定时间,每个区域的每个Amazon账户只能上传一个可信 IP 列表。

威胁 IP 列表

威胁列表包含已知的恶意 IP 地址。此列表可以由第三方威胁情报提供,也可以专门为您的组织创建。除了因潜在的可疑活动而生成调查结果外, GuardDuty 还会根据这些威胁列表生成调查结果。在一个威胁列表中最多可以包含 250,000 个 IP 地址和 CIDR 范围。 GuardDuty 仅根据威胁列表中涉及 IP 地址和 CIDR 范围的活动生成调查结果,不会根据域名生成调查结果。在任何给定时间,每个区域的每个Amazon账户最多可以上传六个威胁列表。

注意

如果您在可信 IP 列表和威胁列表中都包含相同的 IP,它将首先由可信 IP 列表进行处理,不会生成调查结果。

在多账户环境中,只有 GuardDuty 管理员帐户的用户才能上传和管理可信 IP 列表和威胁列表。管理员帐户上传的可信 IP 列表和威胁列表将对其成员帐户的 GuardDuty 功能强加于其成员帐户中的功能。换句话说,在成员帐户 GuardDuty 中,基于涉及管理员威胁列表中已知恶意 IP 地址的活动生成调查结果,而不会根据涉及管理员可信 IP 列表中的 IP 地址的活动生成调查结果。有关更多信息,请参阅 在亚马逊管理多个账户 GuardDuty Amazon与服务集成 GuardDuty

列表格式

GuardDuty 接受以下格式的列表。

托管您的可信 IP 列表或威胁 IP 列表的每个文件的最大大小为 35MB。在您的可信 IP 列表和威胁 IP 列表中,IP 地址和 CIDR 范围必须每行显示一个。只接受 IPv4 地址。

  • 纯文本 (TXT)

    此格式支持 CIDR 块和单个 IP 地址。以下示例列表使用纯文本 (TXT) 格式。

    192.0.2.0/24 198.51.100.1 203.0.113.1
  • 结构化威胁信息表达 (STIX)

    此格式支持 CIDR 块和单个 IP 地址。以下示例列表使用 STIX 格式。

    <?xml version="1.0" encoding="UTF-8"?> <stix:STIX_Package xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:stix="http://stix.mitre.org/stix-1" xmlns:stixCommon="http://stix.mitre.org/common-1" xmlns:ttp="http://stix.mitre.org/TTP-1" xmlns:cybox="http://cybox.mitre.org/cybox-2" xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2" xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2" xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1" xmlns:example="http://example.com/" xsi:schemaLocation=" http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd" id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16" version="1.2"> <stix:Observables cybox_major_version="1" cybox_minor_version="1"> <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236"> <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab"> <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784"> <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> </stix:Observables> </stix:STIX_Package>
  • 开放威胁交易所 (OTX) TM CSV

    此格式支持 CIDR 块和单个 IP 地址。以下示例列表使用OTXTM CSV 格式。

    Indicator type, indicator, description CIDR, 192.0.2.0/24, example IPv4, 198.51.100.1, example IPv4, 203.0.113.1, example
  • FireEyeTM iSight 威胁情报 CSV

    此格式支持 CIDR 块和单个 IP 地址。以下示例列表使用FireEyeTM CSV 格式。

    reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime 01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400 01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400 01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
  • Proofpoint TM ET 情报提要

    此格式仅支持单个 IP 地址。以下示例列表使用Proofpoint CSV 格式。ports 参数是可选的。如果您跳过端口,请确保在末尾留下逗号 (,)。

    ip, category, score, first_seen, last_seen, ports (|) 198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
  • AlienVaultTM 信誉提要

    此格式仅支持单个 IP 地址。以下示例列表使用该AlienVault格式。

    198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3 203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3

上传可信 IP 列表和威胁列表所需的权限

各种 IAM 身份需要特殊权限才能使用中的可信 IP 列表和威胁列表 GuardDuty。附带AmazonGuardDutyFullAccess托管策略的身份只能重命名和停用上传的可信 IP 列表和威胁列表。

要向各种身份授予完全访问权以使用可信 IP 列表和威胁列表 (以及重命名和停用,这包括上传、激活、删除和更新列表的位置),请确保以下操作在附加到 IAM 用户、组或角色的权限策略中存在:

{ "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }
重要

这些操作不包含在AmazonGuardDutyFullAccess托管策略中。

对可信 IP 列表和威胁列表使用服务器端加密

GuardDuty 支持以下列表加密类型:SSE-AES256 和 SSE-KMS。不支持 SSE-C。有关 S3 加密类型的更多信息,请参阅使用服务器端加密保护数据

如果您的列表使用服务器端加密 SSE-KMS 进行加密,则必须授予 GuardDuty 服务相关角色解密文件的AWSServiceRoleForAmazonGuardDuty权限才能激活列表。将以下语句添加到 KMS 密钥策略中,并将账户 ID 替换为自己的账户 ID:

{ "Sid": "AllowGuardDutyServiceRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }, "Action": "kms:Decrypt*", "Resource": "*" }

上传可信 IP 列表和威胁列表

以下过程介绍如何使用 GuardDuty 控制台上传可信 IP 列表和威胁列表。

上传可信 IP 列表和威胁列表 (控制台)
  1. 通过 https://console.aws.amazon.com/guardduty/ 打开 GuardDuty 主机。

  2. 在导航窗格中的 Settings 下,选择 Lists

  3. List management 页面上,选择 Add a trusted IP listAdd a threat list

  4. 在对话框中,执行以下操作:

    • 对于列表名称,输入列表的名称。

    • 对于 Location,指定列表的位置 – 这是 S3 存储桶,您在其中存储可信 IP 列表或威胁列表以及包含您列表的文件。

      注意

      您可以按下列格式指定位置 URL:

      • https://s3.amazonaws.com/bucket.name/file.txt

      • https://s3-aws-region.amazonaws.com/bucket.name/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • http://bucket.s3-aws-region.amazonaws.com/file.txt

      • s3://bucket.name/file.txt

    • 对于 Format,选择列表的文件类型。

    • 选中 “我同意” 复选框。

    • 选择 Add list

激活或停用可信 IP 列表和威胁列表

以下过程介绍如何在可信 IP 列表和威胁列表上传 GuardDuty 后将其激活或停用。 GuardDuty 仅当上传的列表处于活动状态时,才会将其包含在对Amazon环境的监控中。

激活可信 IP 列表和威胁列表 (控制台)
  1. 通过 https://console.aws.amazon.com/guardduty/ 打开 GuardDuty 主机。

  2. 在导航窗格中的 Settings 下,选择 Lists

  3. List management (列表管理) 页面上,找到要激活的可信 IP 集或威胁列表,然后选择 Active (激活) 列下的单选按钮。

取消激活可信 IP 列表和威胁列表 (API 或 CLI)
注意

激活或更新任何 IP 列表后,最多 GuardDuty 可能需要 15 分钟才能同步该列表。

更新可信 IP 列表和威胁列表

如果您更改了已上传并激活的可信 IP 列表或威胁列表 GuardDuty (例如,重命名该列表或向其添加更多 IP 地址),则必须更新 GuardDuty 并重新激活该列表, GuardDuty 以便在安全方面使用该列表的最新版本监控范围。要更新可信 IP 或威胁列表,您可以使用以下步骤或运行 GuardDuty API 的UpdateThreatIntelSetUpdateIPSet操作。

更新可信 IP 列表和威胁列表 (控制台)
  1. 通过 https://console.aws.amazon.com/guardduty/ 打开 GuardDuty 主机。

  2. 在导航窗格中的 Settings 下,选择 Lists

  3. List management (列表管理) 页面上,找到要更新的可信 IP 集或威胁列表,然后选择 Active (激活) 列下的铅笔图标。

  4. Update list 弹出窗口中,验证所有指定列表信息,选择 I agree,然后选择 Update list

  5. List management (列表管理) 页面上,找到要再次激活的可信 IP 集或威胁列表,然后选择 Active (激活) 列下的单选按钮。