列表格式上传可信 IP 列表和威胁列表所需的权限对可信 IP 列表和威胁列表使用服务器端加密添加和激活可信 IP 列表或威胁 IP 列表更新可信 IP 列表和威胁列表停用或删除可信 IP 列表或威胁列表

使用可信 IP 列表和威胁列表

Amazon 通过分析和处理 VPC 流日志、 Amazon CloudTrail 事件日志和 DNS 日志来 GuardDuty 监控您的 Amazon 环境安全。您可以自定义此监控范围，方法是配置 GuardDuty 为停止来自您自己的可信 IP 列表的可信 IP 的警报，并对自己的威胁列表中的已知恶意 IP 发出警报。

可信 IP 列表和威胁列表仅适用于发往公开可路由 IP 地址的流量。列表的影响适用于所有 VPC 流日志和 CloudTrail 发现，但不适用于 DNS 发现。

GuardDuty 可以配置为使用以下类型的列表。

可信 IP 列表: 可信 IP 列表由您信任的 IP 地址组成，这些地址用于与您的 Amazon 基础架构和应用程序进行安全通信。 GuardDuty 不会为可信 IP 列表上的 IP 地址生成 VPC 流日志或 CloudTrail 查找结果。您最多可以在单个受信任的 IP 列表中包括 2000 个 IP 地址和 CIDR 范围。在任何给定时间，每个区域的每个 Amazon 账户只能上传一个可信 IP 列表。
威胁 IP 列表: 威胁列表由已知的恶意 IP 地址组成。此列表可以由第三方威胁情报提供，也可以专门为您的组织创建。除了由于可能存在可疑活动而生成发现结果外， GuardDuty 还会根据这些威胁列表生成调查结果。单个威胁列表中最多可以包含 250,000 个 IP 地址和 CIDR 范围。 GuardDuty 仅根据涉及威胁列表中 IP 地址和 CIDR 范围的活动生成调查结果；结果不是根据域名生成的。在任何给定时间点， Amazon Web Services 账户每个区域最多可以上传六个威胁列表。

注意

如果在可信 IP 列表和威胁列表中包含相同的 IP，则可信 IP 列表将首先处理该 IP，并且不会生成调查发现。

在多账户环境中，只有 GuardDuty 管理员账户中的用户才能添加和管理可信 IP 列表和威胁列表。管理员账户账户上传的可信 IP 列表和威胁列表会被强加到其成员账户的 GuardDuty 功能上。换句话说，在成员账户 GuardDuty 中，根据涉及管理员账户威胁列表中已知恶意 IP 地址的活动生成调查结果，而不是根据涉及管理员账户可信 IP 列表中 IP 地址的活动生成调查结果。有关更多信息，请参阅在 Amazon 中管理多个账户 GuardDuty。

列表格式

GuardDuty 接受以下格式的列表。

托管可信 IP 列表或威胁 IP 列表的每个文件的最大大小为 35MB。在您的可信 IP 列表和威胁 IP 列表中，IP 地址和 CIDR 范围必须每行显示一个。只接受 IPv4 地址。

纯文本（TXT）

此格式同时支持 CIDR 块和单个 IP 地址。以下示例列表使用纯文本（TXT）格式。
```
192.0.2.0/24
198.51.100.1
203.0.113.1
```

Structured Threat Information Expression（STIX）

此格式同时支持 CIDR 块和单个 IP 地址。以下示例列表使用 STIX 格式。


<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:ttp="http://stix.mitre.org/TTP-1"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:example="http://example.com/"
    xsi:schemaLocation="
    http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd
    http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd
    http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd
    http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd
    http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd
    http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd"
    id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16"
    version="1.2">
    <stix:Observables cybox_major_version="1" cybox_minor_version="1">
        <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236">
            <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab">
            <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784">
            <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
    </stix:Observables>
</stix:STIX_Package>

Open Threat Exchange（OTX）^TM CSV

此格式同时支持 CIDR 块和单个 IP 地址。以下示例列表使用 OTX^TM CSV 格式。
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
```

FireEye^TM iSight 威胁情报 CSV

此格式同时支持 CIDR 块和单个 IP 地址。以下示例列表使用 FireEye^TM CSV 格式。


reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

Proofpoint^TM ET Intelligence Feed CSV

此格式仅支持单个 IP 地址。以下示例列表使用 Proofpoint CSV 格式。ports 参数是可选的。如果跳过端口，请确保在末尾留一个逗号（,）。
```
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
AlienVault^TM 信誉提要

此格式仅支持单个 IP 地址。以下示例列表使用 AlienVault 格式。
```
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
```

上传可信 IP 列表和威胁列表所需的权限

各种 IAM 身份需要特殊权限才能使用中的可信 IP 列表和威胁列表 GuardDuty。已附加 AmazonGuardDutyFullAccess 托管策略的身份只能重命名和停用上传的可信 IP 列表和威胁列表。

要授予各种身份使用可信 IP 列表和威胁列表的完全访问权限（除重命名和停用外，还包括添加、激活、删除和更新列表的位置或名称），确保附加到用户、组或角色的权限策略中包含以下操作：


{
    "Effect": "Allow",
    "Action": [
        "iam:PutRolePolicy",
        "iam:DeleteRolePolicy"
    ],
    "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}

重要

这些操作未包含在 AmazonGuardDutyFullAccess 托管策略中。

对可信 IP 列表和威胁列表使用服务器端加密

GuardDuty 支持列表的以下加密类型：SSE-AES256 和 SSE-KMS。不支持 SSE-C。有关 S3 加密类型的更多信息，请参阅使用服务器端加密保护数据。

如果您的列表使用服务器端加密 SSE-KMS 进行加密，则必须向 GuardDuty 服务相关角色授予解密文件的AWSServiceRoleForAmazonGuardDuty权限才能激活列表。将以下语句添加到 KMS 密钥政策中，并将账户 ID 替换为您自己的账户 ID：


{
    "Sid": "AllowGuardDutyServiceRole",
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    },
    "Action": "kms:Decrypt*",
    "Resource": "*"
}

添加和激活可信 IP 列表或威胁 IP 列表

选择以下访问方法之一添加和激活可信 IP 列表或威胁 IP 列表。

Console

（可选）步骤 1：获取列表的位置 URL

打开 Amazon S3 控制台，网址为：https://console.aws.amazon.com/s3/。
在导航窗格中，选择桶。
选择包含要添加的特定列表的 Amazon S3 存储桶名称。
选择对象（列表）名称以查看其详细信息。
在属性选项卡下，复制该对象的 S3 URI。

步骤 2：添加可信 IP 列表或威胁列表

重要

默认情况下，在任何给定时间点，您只能拥有一个可信 IP 列表。同样，您最多可以拥有 6 个威胁列表。

打开 GuardDuty 控制台，网址为 https://console.aws.amazon.com/guardduty/。
在导航窗格中，选择列表。
在 List management 页面上，选择 Add a trusted IP list 或 Add a threat list。
根据您的选择，将出现一个对话框。使用以下步骤：
1. 对于列表名称，输入列表的名称。
  
  列表命名限制-列表名称可以包括小写字母、大写字母、数字、短划线 (-) 和下划线 (_)。
2. 对于位置，请提供您上传列表的位置。如果您还没有，请参阅 Step 1: Fetching location URL of your list。
  位置 URL 的格式
  - https://s3.amazonaws.com/bucket.name/file.txt
  - https://s3-aws-region.amazonaws.com/bucket.name/file.txt
  - http://bucket.s3.amazonaws.com/file.txt
  - http://bucket.s3-aws-region.amazonaws.com/file.txt
  - s3://bucket.name/file.txt
3. 选中 I agree 复选框。
4. 选择 Add list。默认情况下，已添加列表的状态为非活动。要使列表生效，必须激活列表。

步骤 3：激活可信 IP 列表或威胁列表

打开 GuardDuty 控制台，网址为 https://console.aws.amazon.com/guardduty/。
在导航窗格中，选择列表。
在列表管理页面上，选择要激活的列表。
选择操作，然后选择激活。此列表最多可能需要 15 分钟才能生效。

API/CLI

对于可信 IP 列表

运行 CreateIPSet。务必提供要为其创建此可信 IP 列表的成员账户的 detectorId。

列表命名限制-列表名称可以包括小写字母、大写字母、数字、短划线 (-) 和下划线 (_)。
- 或者，您可以通过运行以下 Amazon Command Line Interface 命令来执行此操作，并确保将 detector-id 替换为要为其更新可信 IP 列表的成员账户的检测器 ID。
```
aws guardduty create-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --format Plaintext --location https://s3.amazonaws.com/DOC-EXAMPLE-BUCKET2/DOC-EXAMPLE-SOURCE-FILE.format --activate
```

对于威胁列表

运行 CreateThreatIntelSet。务必提供要为其创建此威胁列表的成员账户的 detectorId。
- 或者，您可以通过运行以下 Amazon Command Line Interface 命令来执行此操作。务必提供要为其创建威胁列表的成员账户的 detectorId。
```
aws guardduty create-threat-intel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --format Plaintext --location https://s3.amazonaws.com/DOC-EXAMPLE-BUCKET2/DOC-EXAMPLE-SOURCE-FILE.format --activate
```

注意

激活或更新任何 IP 列表后，最多 GuardDuty 可能需要 15 分钟才能同步该列表。

更新可信 IP 列表和威胁列表

您可以更新列表名称，或更新添加到已添加并激活的列表中的 IP 地址。如果您更新了列表，则必须重新激活该列表 GuardDuty 才能使用最新版本的列表。

选择一种访问方法更新可信 IP 或威胁列表。

Console

打开 GuardDuty 控制台，网址为 https://console.aws.amazon.com/guardduty/。
在导航窗格中，选择列表。
在列表管理页面上，选择要更新的可信 IP 集或威胁列表。
选择操作，然后选择编辑。
在更新列表对话框中，根据需要更新信息。

列表命名限制-列表名称可以包括小写字母、大写字母、数字、短划线 (-) 和下划线 (_)。
选中我同意复选框，然后选择更新列表。状态列中的值将变为非活动。
重新激活更新的列表
1. 在列表管理页面上，选择要再次激活的列表。
2. 选择操作，然后选择激活。

API/CLI

运行 UpdateIPSet 以更新可信 IP 列表。
- 或者，您可以运行以下 Amazon CLI 命令来更新可信 IP 列表，并确保将 detector-id 替换为要为其更新可信 IP 列表的成员账户的检测器 ID。
```
aws guardduty update-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --ip-set-id d4b94fc952d6912b8f3060768example --activate
```
运行 UpdateThreatIntelSet 以更新威胁列表
- 或者，您可以运行以下 Amazon CLI 命令来更新威胁列表，并确保将 detector-id 替换为要为其更新威胁列表的成员账户的检测器 ID。
```
aws guardduty update-threatintel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --threat-intel-set-id d4b94fc952d6912b8f3060768example --activate
```

停用或删除可信 IP 列表或威胁列表

选择一种访问方法删除（使用控制台）或停用（使用 API/CLI）可信 IP 列表或威胁列表。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

抑制规则

导出调查发现

使用可信 IP 列表和威胁列表

注意

列表格式

上传可信 IP 列表和威胁列表所需的权限

重要

对可信 IP 列表和威胁列表使用服务器端加密

添加和激活可信 IP 列表或威胁 IP 列表

（可选）步骤 1：获取列表的位置 URL

步骤 2：添加可信 IP 列表或威胁列表

重要

位置 URL 的格式

步骤 3：激活可信 IP 列表或威胁列表

对于可信 IP 列表

对于威胁列表

注意

更新可信 IP 列表和威胁列表

重新激活更新的列表

停用或删除可信 IP 列表或威胁列表

对于可信 IP 列表

对于威胁列表