本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用实体列表和 IP 地址列表自定义威胁检测
Amazon 通过分析和处理 VPC 流日志、 Amazon CloudTrail 事件日志和 DNS 日志来 GuardDuty 监控您的 Amazon 环境安全。通过启用一个或多个以[用例为重点的 GuardDuty 保护计划](https://docs.amazonaws.cn/guardduty/latest/ug/what-is-guardduty.html#features-of-guardduty)(除外)[运行时监控](runtime-monitoring.md),您可以扩展其中的监控功能。 GuardDuty
使用列表, GuardDuty 可帮助您自定义环境中威胁检测的范围。您可以配置 GuardDuty 为停止从可信来源生成调查结果,并从威胁列表中生成已知恶意来源的调查结果。 GuardDuty 继续支持传统 IP 地址列表,并将支持扩展到可能包含 IP 地址和/或域的实体列表(推荐)。
**Topics**
+ [理解实体列表和 IP 地址列表](#guardduty-threat-intel-list-entity-sets)
+ [GuardDuty 清单的重要注意事项](#guardduty-lists-entity-sets-considerations)
+ [列表格式](#prepare_list)
+ [了解列表状态](#guardduty-entity-list-statuses)
+ [设置实体列表和 IP 地址列表的先决条件](guardduty-lists-prerequisites.md)
+ [添加和启用实体列表或 IP 列表](guardduty-lists-create-activate.md)
+ [更新实体列表或 IP 地址列表](guardduty-lists-update-procedure.md)
+ [停用实体列表或 IP 地址列表](guardduty-lists-deactivate-procedure.md)
+ [删除实体列表或 IP 地址列表](guardduty-lists-delete-procedure.md)
## 理解实体列表和 IP 地址列表
GuardDuty 提供了两种实现方法:实体列表(推荐)和 IP 列表。这两种方法都可以帮助您指定可信来源,这些来源可 GuardDuty 阻止生成发现结果和已知威胁,后者 GuardDuty 用于生成调查结果。
**实体列表**同时支持 IP 地址和域名。它们仅需单一 IAM 权限即可实现直接的 Amazon Simple Storage Service(Amazon S3)访问,不会影响多个区域的 IAM 策略大小限制。
**IP 列表**仅支持 IP 地址而且需要使用 [GuardDuty 服务相关角色 (SLR)](slr-permissions.md)(SLR),需要按区域更新 IAM 策略,这可能会影响 IAM 策略的大小限制。
可信列表(包括实体列表和 IP 地址列表)包括您信任的用于与您的 Amazon 基础架构进行安全通信的条目。 GuardDuty 不会为可信来源中列出的条目生成搜索结果。在任何给定时间, Amazon Web Services 账户 每个区域只能添加一个可信实体列表和一个可信 IP 地址列表。
威胁列表(包括实体列表和 IP 地址列表)包含您确认为已知恶意来源的条目。当 GuardDuty 检测到涉及这些来源的活动时,它会生成调查结果,提醒您注意潜在的安全问题。您可以创建自己的威胁列表或整合第三方威胁情报源。此列表可以由第三方威胁情报提供,也可以专门为您的组织创建。除了由于可能存在可疑活动而生成发现结果外, GuardDuty 还会根据涉及威胁列表条目的活动生成调查结果。在任何给定时间, Amazon Web Services 账户 每个区域最多可以上传六个威胁实体列表和威胁 IP 地址列表。
**注意**
要从 IP 地址列表迁移到实体列表,请按照[实体列表的先决条件](guardduty-lists-prerequisites.md#guardduty-entity-list-prerequisites)中的信息进行操作,然后启用所需的实体列表。之后,您可以选择停用或删除相应的 IP 地址列表。
## GuardDuty 清单的重要注意事项
在开始使用列表之前,请阅读以下注意事项:
+ IP 地址列表和实体列表仅适用于目标位公开可路由 IP 地址和域的流量。
+ 在实体列表中,条目适用于 Amazon VPC 中的 VPC 流日志和 Route53 Resolver DNS 查询日志结果。 CloudTrail
在 IP 地址列表中,条目适用于 Amazon VPC 发现结果中的 VPC 流日志,但不适用于 Route53 Resolver DNS 查询日志结果。 CloudTrail
+ 如果您在可信列表和威胁列表中都包含相同的 IP 地址或域,则可信列表中的此条目将优先。 GuardDuty 如果存在与此条目相关的活动,则不会生成调查结果。
+ 在多账户环境中,只有 GuardDuty 管理员帐户才能管理列表。此设置自动应用于成员账户。 GuardDuty 根据涉及管理员帐户威胁源的已知恶意 IP 地址(和域)的活动生成调查结果,并且不会根据涉及管理员帐户可信来源的 IP 地址(和域)的活动生成调查结果。有关更多信息,请参阅 [亚马逊有多个账户 GuardDuty](guardduty_accounts.md)。
+ 只接受 IPv4 地址。 IPv6 不支持地址。
+ 启用、停用或删除实体列表或 IP 地址列表的过程预计需要 15 分钟完成。在某些情况下,此过程可能需要长达 40 分钟才能完成。
+ GuardDuty 仅当列表的状态变为 “**活动**” 时,才使用列表进行威胁检测。
+ 每当您在列表的 S3 存储桶位置添加或更新条目时,都必须重新启用该列表。有关更多信息,请参阅 [更新实体列表或 IP 地址列表](guardduty-lists-update-procedure.md)。
+ 实体列表和 IP 地址列表具有不同的配额。有关更多信息,请参阅 [GuardDuty 配额](guardduty_limits.md)。
## 列表格式
GuardDuty 您的列表和实体列表接受多种文件格式,每个文件最大 35 MB。每种格式都有特定的要求和功能。
### 纯文本(TXT)
此格式支持 IP 地址、CIDR 范围和域名。每行只能有一个条目。
**Example **实体列表示例****
```
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
```
**Example **IP 地址列表示例****
```
192.0.2.0/24
198.51.100.1
203.0.113.1
```
### Structured Threat Information Expression(STIX)
此格式支持 IP 地址、CIDR 数据块和域名。STIX 允许您在威胁情报中加入其他背景信息。 GuardDuty 处理 STIX 指标中的 IP 地址、CIDR 范围和域名。
**Example **实体列表示例****
```
Malicious domain observed Example
Domain Watchlist
bad.example.com
```
**Example **IP 地址列表示例****
```
192.0.2.0##comma##192.0.2.255
198.51.100.1
203.0.113.1
```
### Open Threat Exchange(OTX)TM CSV
此格式支持 CIDR 数据块、单个 IP 地址和域名。此文件格式采用逗号分隔值。
**Example **实体列表示例****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
```
**Example **IP 地址列表示例****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
```
### FireEyeTM iSight 威胁情报 CSV
此格式支持 CIDR 数据块、单个 IP 地址和域名。以下示例列表采用 `FireEyeTM` CSV 格式。
**Example **实体列表示例****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
```
**Example **IP 地址列表示例****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
```
### ProofpointTM ET Intelligence Feed CSV
在 ProofPoint CSV 格式中,可以在一个列表中添加 IP 地址或域名。以下示例列表使用 `Proofpoint` CSV 格式。可以选择是否为 `ports` 参数提供值。如果不提供,请在末尾留一个逗号 (,)。
**Example **实体列表示例****
```
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01,
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
**Example **IP 地址列表示例****
```
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01,
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
### AlienVaultTM 信誉提要
以下示例列表使用 `AlienVault` 格式。
**Example **实体列表示例****
```
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
```
**Example **IP 地址列表示例****
```
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
```
## 了解列表状态
添加实体列表或 IP 地址列表时,会 GuardDuty 显示该列表的状态。**状态**列指示列表是否有效以及是否需要采取任何操作。下表描述了各种有效状态值:
+ **活动**:表示列表当前正在用于自定义威胁检测。
+ **非活动**:表示列表当前未被使用。 GuardDuty 要在您的环境中使用此列表进行威胁检测,请参阅中的步骤 3:激活实体列表或 IP 地址列表[添加和启用实体列表或 IP 列表](guardduty-lists-create-activate.md)。
+ **错误**:表示列表有问题。将鼠标悬停在状态上方可查看错误详情。
+ **激活**-表示 GuardDuty 已启动激活列表的过程。您可以继续监控此列表的状态。如果没有错误,则状态会更新为**活动**。如果状态保持为**正在启用**,您无法对此列表执行任何操作。列表状态可能需要几分钟才能变为**活动**状态。
+ **停用** — 表示 GuardDuty 已启动取消激活列表的过程。您可以继续监控此列表的状态。如果没有错误,则状态应更新为**非活动**。如果状态保持为**正在停用**,您无法对此列表执行任何操作。
+ **待删除**:表示正在删除列表。如果状态保持为**待删除**,您无法对此列表执行任何操作。