Anpassen der Bedrohungserkennung mit Entitätslisten und IP-Adresslisten - Amazon GuardDuty
Grundlegendes zu Entitätslisten und IP-AdresslistenWichtige Überlegungen zu GuardDuty ListenListenformateGrundlegendes zum Listenstatus

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anpassen der Bedrohungserkennung mit Entitätslisten und IP-Adresslisten

Amazon GuardDuty überwacht die Sicherheit Ihrer AWS Umgebung, indem es VPC-Flow-Logs, AWS CloudTrail Event-Logs und DNS-Logs analysiert und verarbeitet. Indem Sie einen oder mehrere auf den Anwendungsfall ausgerichtete GuardDuty Schutzpläne aktivieren (mit der AusnahmeLaufzeit-Überwachung, dass Sie die darin enthaltenen Überwachungsfunktionen erweitern können). GuardDuty

Mithilfe von Listen können Sie den Umfang der Bedrohungserkennung in Ihrer Umgebung individuell anpassen. GuardDuty Sie können so konfigurieren GuardDuty , dass keine Ergebnisse mehr aus Ihren vertrauenswürdigen Quellen generiert werden und dass Ergebnisse für bekannte bösartige Quellen aus Ihren Bedrohungslisten generiert werden. GuardDuty unterstützt weiterhin ältere IP-Adresslisten und erweitert die Unterstützung auf Entitätslisten (empfohlen), die IP-Adressen, Domänen oder beides enthalten können.

Themen

Grundlegendes zu Entitätslisten und IP-Adresslisten

GuardDuty bietet zwei Implementierungsansätze: Entitätslisten (empfohlen) und IP-Listen. Bei beiden Ansätzen können Sie vertrauenswürdige Quellen angeben, die keine Erkenntnisse generieren, und bekannte Bedrohungen, die zur Generierung GuardDuty von Erkenntnissen GuardDuty verwendet werden.

Entitätslisten unterstützen sowohl IP-Adressen als auch Domainnamen. Sie verwenden direkten Zugriff auf Amazon Simple Storage Service (Amazon S3) mit einer einzigen IAM-Berechtigung, die sich nicht auf die Größenbeschränkungen der IAM-Richtlinien in mehreren Regionen auswirkt.

IP-Listen unterstützen nur IP-Adressen und deren Verwendung GuardDuty Serviceverknüpfte Rolle (SLR) (SLR), sodass IAM-Richtlinienaktualisierungen pro Region erforderlich sind, was sich auf die Größenbeschränkungen der IAM-Richtlinien auswirken kann.

Vertrauenswürdige Listen (sowohl Entitätslisten als auch IP-Adresslisten) enthalten Einträge, denen Sie bei der sicheren Kommunikation mit Ihrer Infrastruktur vertrauen. AWS GuardDuty generiert keine Ergebnisse für Einträge, die in vertrauenswürdigen Quellen aufgeführt sind. Sie können jeweils nur eine Liste vertrauenswürdiger Entitäten und eine Liste vertrauenswürdiger IP-Adressen AWS-Konto pro Region hinzufügen.

Bedrohungslisten (sowohl Entitätslisten als auch IP-Adresslisten) enthalten Einträge, die Sie als bekannte bösartige Quellen identifiziert haben. Wenn eine Aktivität GuardDuty erkannt wird, an der diese Quellen beteiligt sind, generiert es Ergebnisse, die Sie vor potenziellen Sicherheitsproblemen warnen. Sie können Ihre eigenen Bedrohungslisten erstellen oder Feeds mit Bedrohungsinformationen von Drittanbietern integrieren. Diese Liste kann von Bedrohungsdaten von Drittanbietern stammen oder speziell für Ihr Unternehmen erstellt werden. Neben der Generierung von Ergebnissen aufgrund einer potenziell verdächtigen Aktivität werden GuardDuty auch Ergebnisse generiert, die auf einer Aktivität basieren, die Einträge aus Ihren Bedrohungslisten beinhaltet. Sie können jederzeit bis zu sechs Listen mit Bedrohungsentitäten und Bedrohungs-IP-Adressen AWS-Konto pro Region hochladen.

Anmerkung

Um von IP-Adresslisten zu Entitätslisten zu migrierenVoraussetzungen für Entitätslisten, folgen Sie den Anweisungen, fügen Sie sie hinzu und aktivieren Sie sie. Danach können Sie wählen, ob Sie die entsprechende IP-Adressliste deaktivieren oder löschen möchten.

Wichtige Überlegungen zu GuardDuty Listen

Bevor Sie mit der Arbeit mit Listen beginnen, sollten Sie die folgenden Überlegungen lesen:

  • IP-Adresslisten und Entitätslisten gelten nur für Datenverkehr, der für öffentlich routbare IP-Adressen und Domänen bestimmt ist.

  • In einer Entitätsliste gelten die Einträge für VPC Flow Logs in Amazon VPC und Route53 Resolver DNS-Abfrageprotokolle. CloudTrail

    In einer IP-Adressliste beziehen sich die Einträge auf CloudTrail die Ergebnisse von VPC Flow Logs in Amazon VPC, nicht aber auf die Ergebnisse der Route53 Resolver DNS-Abfrageprotokolle.

  • Wenn Sie dieselbe IP-Adresse oder Domain sowohl in die Liste der vertrauenswürdigen Adressen als auch in die Liste der Bedrohungen aufnehmen, hat dieser Eintrag in der Liste der vertrauenswürdigen Adressen Vorrang. GuardDuty generiert kein Ergebnis, wenn mit diesem Eintrag eine Aktivität verknüpft ist.

  • In einer Umgebung mit mehreren Konten kann nur das GuardDuty Administratorkonto Listen verwalten. Diese Einstellung gilt automatisch für die Mitgliedskonten. GuardDuty generiert Ergebnisse auf der Grundlage einer Aktivität, an der bekannte bösartige IP-Adressen (und Domänen) aus den Bedrohungsquellen des Administratorkontos beteiligt sind, und generiert keine Ergebnisse, die auf Aktivitäten basieren, die IP-Adressen (und Domänen) aus den vertrauenswürdigen Quellen des Administratorkontos betreffen. Weitere Informationen finden Sie unter Mehrere Konten bei Amazon GuardDuty.

  • Es werden nur IPv4 Adressen akzeptiert. IPv6 Adressen werden nicht unterstützt.

  • Nachdem Sie eine Entitäts- oder IP-Adressliste aktiviert, deaktiviert oder gelöscht haben, wird der Vorgang voraussichtlich innerhalb von 15 Minuten abgeschlossen sein. In bestimmten Szenarien kann es bis zu 40 Minuten dauern, bis dieser Vorgang abgeschlossen ist.

  • GuardDuty verwendet eine Liste nur dann zur Erkennung von Bedrohungen, wenn der Status der Liste Aktiv lautet.

  • Jedes Mal, wenn Sie einen Eintrag zum S3-Bucket-Speicherort der Liste hinzufügen oder aktualisieren, müssen Sie die Liste erneut aktivieren. Weitere Informationen finden Sie unter Aktualisierung einer Entitäts- oder IP-Adressliste.

  • Entitätslisten und IP-Adressen haben unterschiedliche Kontingente. Weitere Informationen finden Sie unter GuardDuty Kontingente.

Listenformate

GuardDuty akzeptiert mehrere Dateiformate für Ihre Listen und Entitätslisten mit einem Maximum von 35 MB pro Datei. Jedes Format hat spezifische Anforderungen und Funktionen.

Dieses Format unterstützt IP-Adressen, CIDR-Bereiche und Domainnamen. Jeder Eintrag muss in einer separaten Zeile stehen.

Beispiel für eine Entitätsliste
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
Beispiel für eine IP-Adressliste
192.0.2.0/24
198.51.100.1
203.0.113.1

Dieses Format unterstützt IP-Adressen, CIDR-Block und Domainnamen. STIX ermöglicht es Ihnen, Ihren Bedrohungsinformationen zusätzlichen Kontext hinzuzufügen. GuardDuty verarbeitet IP-Adressen, CIDR-Bereiche und Domainnamen anhand der STIX-Indikatoren.

Beispiel für eine Entitätsliste
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:cyboxCommon="http://cybox.mitre.org/common-2"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:indicator="http://stix.mitre.org/Indicator-2"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:DomainNameObj="http://cybox.mitre.org/objects#DomainNameObject-1"
    id="example:Package-a1b2c3d4-1111-2222-3333-444455556666"
    version="1.2">
    <stix:Indicators>
        <stix:Indicator
            id="example:indicator-a1b2c3d4-aaaa-bbbb-cccc-ddddeeeeffff"
            timestamp="2025-08-12T00:00:00Z"
            xsi:type="indicator:IndicatorType"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
            <indicator:Title>Malicious domain observed Example</indicator:Title>
            <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">Domain Watchlist</indicator:Type>
            <indicator:Observable id="example:Observable-0000-1111-2222-3333">
                <cybox:Object id="example:Object-0000-1111-2222-3333">
                    <cybox:Properties xsi:type="DomainNameObj:DomainNameObjectType">
                        <DomainNameObj:Value condition="Equals">bad.example.com</DomainNameObj:Value>
                    </cybox:Properties>
                </cybox:Object>
            </indicator:Observable>
        </stix:Indicator>
    </stix:Indicators>
</stix:STIX_Package>
Beispiel für eine IP-Adressliste
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:ttp="http://stix.mitre.org/TTP-1"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:example="http://example.com/"
    xsi:schemaLocation="
    http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd
    http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd
    http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd
    http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd
    http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd
    http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd"
    id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16"
    version="1.2">
    <stix:Observables cybox_major_version="1" cybox_minor_version="1">
        <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236">
            <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab">
            <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784">
            <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
    </stix:Observables>
</stix:STIX_Package>

Dieses Format unterstützt CIDR-Block, einzelne IP-Adressen und Domänen. Dieses Dateiformat hat kommagetrennte Werte.

Beispiel für eine Entitätsliste
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
Beispiel für eine IP-Adressliste
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example

Dieses Format unterstützt CIDR-Block, einzelne IP-Adressen und Domänen. Die folgenden Beispiellisten verwenden ein FireEyeTM CSV-Format.

Beispiel für eine Entitätsliste
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

 01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
Beispiel für eine IP-Adressliste
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

Im ProofPoint CSV-Format können Sie entweder IP-Adressen oder Domainnamen zu einer einzigen Liste hinzufügen. Die folgende Beispielliste verwendet das Proofpoint-CSV-Format. Die Angabe eines Werts für den ports Parameter ist optional. Wenn Sie ihn nicht angeben, hinterlassen Sie am Ende ein Komma (,).

Beispiel für eine Entitätsliste
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
Beispiel für eine IP-Adressliste
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80

Die folgende Beispielliste verwendet das AlienVault-Format.

Beispiel für eine Entitätsliste
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
Beispiel für eine IP-Adressliste
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3

Grundlegendes zum Listenstatus

Wenn Sie eine Entitätsliste oder eine IP-Adressliste hinzufügen, GuardDuty wird der Status dieser Liste angezeigt. Die Spalte Status gibt an, ob die Liste wirksam ist und ob Maßnahmen erforderlich sind. In der folgenden Liste werden gültige Statuswerte beschrieben:

  • Aktiv — Zeigt an, dass die Liste derzeit für die Erkennung benutzerdefinierter Bedrohungen verwendet wird.

  • Inaktiv — Zeigt an, dass die Liste derzeit nicht verwendet wird. Informationen GuardDuty zur Verwendung dieser Liste zur Erkennung von Bedrohungen in Ihrer Umgebung finden Sie unter Schritt 3: Aktivieren einer Entitäts- oder IP-Adressliste inAktualisierung einer Entitäts- oder IP-Adressliste.

    Wenn Sie eine Liste aktualisieren, ändert sich der Status automatisch in Inaktiv. Sie müssen sie erneut aktivieren GuardDuty , um die neueste Version der aktualisierten Details zu berücksichtigen.

  • Fehler — Zeigt an, dass ein Problem mit der Liste vorliegt. Bewegen Sie den Mauszeiger über den Status, um die Fehlerdetails anzuzeigen.

  • Aktiviert — Zeigt an, GuardDuty dass der Vorgang zur Aktivierung der Liste eingeleitet wurde. Sie können den Status dieser Liste weiter überwachen. Wenn kein Fehler auftritt, sollte der Status auf Aktiv aktualisiert werden. Solange der Status Aktiviert bleibt, können Sie in dieser Liste keine Aktion ausführen. Es kann einige Minuten dauern, bis sich der Status der Liste auf Aktiv ändert.

  • Deaktiviert — Zeigt an, GuardDuty dass der Prozess der Deaktivierung der Liste eingeleitet wurde. Sie können den Status dieser Liste weiter überwachen. Wenn kein Fehler vorliegt, sollte der Status auf Inaktiv aktualisiert werden. Solange der Status Deaktiviert bleibt, können Sie in dieser Liste keine Aktion ausführen.

  • Ausstehend löschen — Zeigt an, dass die Liste gerade gelöscht wird. Solange der Status „Ausstehend löschen“ bleibt, können Sie für diese Liste keine Aktion ausführen.