Personalización de la detección de amenazas con listas de entidades y listas de direcciones IP - Amazon GuardDuty
Descripción de las listas de entidades y las listas de direcciones IPConsideraciones importantes para las listas GuardDuty Formatos de las listasDescripción de los estados de las listas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Personalización de la detección de amenazas con listas de entidades y listas de direcciones IP

Amazon GuardDuty supervisa la seguridad de su AWS entorno mediante el análisis y el procesamiento de los registros de flujo de VPC, los registros de AWS CloudTrail eventos y los registros de DNS. Al habilitar uno o más planes de GuardDuty protección centrados en los casos de uso (excepto los planes)Supervisión en tiempo de ejecución, puede ampliar las capacidades de monitoreo que ofrecen. GuardDuty

Con listas, le GuardDuty ayuda a personalizar el alcance de la detección de amenazas en su entorno. Puede configurarlo GuardDuty para que deje de generar hallazgos a partir de sus fuentes confiables y genere hallazgos de fuentes maliciosas conocidas a partir de sus listas de amenazas. GuardDuty sigue siendo compatible con las listas de direcciones IP antiguas y amplía el soporte a las listas de entidades (recomendado) que pueden contener direcciones IP, dominios o ambos.

Temas

Descripción de las listas de entidades y las listas de direcciones IP

GuardDuty ofrece dos enfoques de implementación: listas de entidades (recomendadas) y listas de IP. Ambos enfoques le ayudan a especificar fuentes confiables, que dejan GuardDuty de generar hallazgos y las amenazas conocidas, que GuardDuty utilizan para generar hallazgos.

Las listas de entidades admiten tanto direcciones IP como nombres de dominio. Utilizan el acceso directo a Amazon Simple Storage Service (Amazon S3) con un único permiso de IAM que no afecta a los límites de tamaño de las políticas de IAM en varias regiones.

Las listas de IP solo admiten direcciones IP y su uso GuardDuty rol vinculado a un servicio (SLR) (SLR), por lo que es necesario actualizar las políticas de IAM por región, lo que puede afectar a los límites de tamaño de las políticas de IAM.

Las listas de confianza (tanto listas de entidades como listas de direcciones IP) incluyen entradas en las que puede confiar para una comunicación segura con su infraestructura. AWS GuardDuty no genera resultados para las entradas incluidas en fuentes confiables. En un momento dado, solo puede añadir una lista de entidades de confianza y una lista de direcciones IP de confianza Cuenta de AWS por región.

Las listas de amenazas (tanto listas de entidades como listas de direcciones IP) incluyen entradas que haya identificado como fuentes maliciosas conocidas. Cuando GuardDuty detecta una actividad relacionada con estas fuentes, genera datos que le avisan de posibles problemas de seguridad. Puede crear sus propias listas de amenazas o incorporar fuentes de inteligencia sobre amenazas de terceros. La inteligencia sobre amenazas de terceros puede ofrecer esta lista, que también se puede crear específicamente para su organización. Además de generar hallazgos debido a una actividad potencialmente sospechosa, GuardDuty también genera hallazgos basados en una actividad que incluye entradas de sus listas de amenazas. En cualquier momento, puede cargar hasta seis listas de entidades de amenazas y listas de direcciones IP de amenazas Cuenta de AWS por región.

nota

Para migrar de listas de direcciones IP a listas de entidades, siga la lista de entidades requerida yRequisitos previos para las listas de entidades, a continuación, añada y active la lista de entidades requerida. Después de esto, puede optar por desactivar o eliminar la lista de direcciones IP correspondiente.

Consideraciones importantes para las listas GuardDuty

Antes de empezar a trabajar con listas, lea las siguientes consideraciones:

  • Las listas de direcciones IP y las listas de entidades se aplican únicamente al tráfico destinado a dominios y direcciones IP enrutables públicamente.

  • En una lista de entidades, las entradas se aplican a CloudTrail los registros de flujo de VPC en Amazon VPC y a los resultados de los registros de consultas DNS de Route53 Resolver.

    En una lista de direcciones IP, las entradas se aplican a CloudTrail los hallazgos de los registros de flujo de VPC incluidos en Amazon VPC, pero no a los hallazgos de los registros de consultas de DNS de Route53 Resolver.

  • Si incluye la misma dirección IP o dominio en las listas de confianza y de amenazas, prevalecerá esta entrada de la lista de confianza. GuardDuty no generará ningún resultado si hay una actividad asociada a esta entrada.

  • En un entorno con varias cuentas, solo la cuenta de GuardDuty administrador puede administrar las listas. Esta configuración se aplica automáticamente a las cuentas de los miembros. GuardDuty genera hallazgos basados en una actividad que involucra direcciones IP (y dominios) maliciosos conocidos de las fuentes de amenazas de la cuenta de administrador, y no genera hallazgos basados en actividades que involucran direcciones IP (y dominios) de las fuentes de confianza de la cuenta de administrador. Para obtener más información, consulte Varias cuentas en Amazon GuardDuty.

  • Solo se aceptan IPv4 direcciones. IPv6 no se admiten direcciones.

  • Tras activar, desactivar o eliminar una lista de entidades o una lista de direcciones IP, se estima que el proceso se completará en 15 minutos. En algunos escenarios, este proceso puede tardar hasta 40 minutos en completarse.

  • GuardDuty utiliza una lista para detectar amenazas solo cuando el estado de la lista pasa a ser Activo.

  • Siempre que añada o actualice una entrada en la ubicación del bucket de S3 de la lista, debe volver a activar la lista. Para obtener más información, consulte Actualización de una lista de entidades o una lista de direcciones IP.

  • Las listas de entidades y las direcciones IP tienen cuotas diferentes. Para obtener más información, consulte GuardDuty cuotas.

Formatos de las listas

GuardDuty acepta varios formatos de archivo para sus listas y listas de entidades, con un máximo de 35 MB por archivo. Cada formato tiene requisitos y capacidades específicos.

Este formato admite direcciones IP, rangos de CIDR y nombres de dominio. Cada entrada debe aparecer en una línea independiente.

ejemplo Ejemplo de lista de entidades
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
ejemplo Ejemplo de lista de direcciones IP
192.0.2.0/24
198.51.100.1
203.0.113.1

Este formato admite direcciones IP, bloques CIDR y nombres de dominio. STIX le permite incluir contexto adicional en su inteligencia sobre amenazas. GuardDuty procesa las direcciones IP, los rangos de CIDR y los nombres de dominio a partir de los indicadores STIX.

ejemplo Ejemplo de una lista de entidades
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:cyboxCommon="http://cybox.mitre.org/common-2"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:indicator="http://stix.mitre.org/Indicator-2"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:DomainNameObj="http://cybox.mitre.org/objects#DomainNameObject-1"
    id="example:Package-a1b2c3d4-1111-2222-3333-444455556666"
    version="1.2">
    <stix:Indicators>
        <stix:Indicator
            id="example:indicator-a1b2c3d4-aaaa-bbbb-cccc-ddddeeeeffff"
            timestamp="2025-08-12T00:00:00Z"
            xsi:type="indicator:IndicatorType"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
            <indicator:Title>Malicious domain observed Example</indicator:Title>
            <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">Domain Watchlist</indicator:Type>
            <indicator:Observable id="example:Observable-0000-1111-2222-3333">
                <cybox:Object id="example:Object-0000-1111-2222-3333">
                    <cybox:Properties xsi:type="DomainNameObj:DomainNameObjectType">
                        <DomainNameObj:Value condition="Equals">bad.example.com</DomainNameObj:Value>
                    </cybox:Properties>
                </cybox:Object>
            </indicator:Observable>
        </stix:Indicator>
    </stix:Indicators>
</stix:STIX_Package>
ejemplo Ejemplo de una lista de direcciones IP
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:ttp="http://stix.mitre.org/TTP-1"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:example="http://example.com/"
    xsi:schemaLocation="
    http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd
    http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd
    http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd
    http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd
    http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd
    http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd"
    id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16"
    version="1.2">
    <stix:Observables cybox_major_version="1" cybox_minor_version="1">
        <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236">
            <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab">
            <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784">
            <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
    </stix:Observables>
</stix:STIX_Package>

Este formato admite bloques CIDR, direcciones IP individuales y dominios. Este formato de archivo tiene valores separados por comas.

ejemplo Ejemplo de lista de entidades
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
ejemplo Ejemplo de lista de direcciones IP
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example

Este formato admite el bloque CIDR, las direcciones IP individuales y los dominios. Las siguientes listas de ejemplo utilizan un formato FireEyeTM CSV.

ejemplo Ejemplo de lista de entidades
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

 01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
ejemplo Ejemplo de lista de direcciones IP
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

En formato ProofPoint CSV, puede agregar direcciones IP o nombres de dominio en una lista. En la siguiente lista de ejemplo se utiliza el formato de CSV de Proofpoint. Proporcionar un valor para el ports parámetro es opcional. Si no lo proporciona, deje una coma (,) al final.

ejemplo Ejemplo de lista de entidades
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
ejemplo Ejemplo de lista de direcciones IP
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80

En la siguiente lista de ejemplo se utiliza el formato AlienVault.

ejemplo Ejemplo de lista de entidades
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
ejemplo Ejemplo de lista de direcciones IP
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3

Descripción de los estados de las listas

Al añadir una lista de entidades o una lista de direcciones IP, GuardDuty muestra el estado de esa lista. La columna Estado indica si la lista está en vigor y si es necesario realizar alguna acción. En la siguiente lista se describen los valores de estado válidos:

  • Activa: indica que la lista se está utilizando actualmente para la detección personalizada de amenazas.

  • Inactiva: indica que la lista no está en uso actualmente. GuardDuty Para utilizar esta lista para detectar amenazas en su entorno, consulte el paso 3: Activar una lista de entidades o una lista de direcciones IP enActualización de una lista de entidades o una lista de direcciones IP.

    Al actualizar una lista, el estado cambia automáticamente a Inactivo. Debe volver a activarla GuardDuty para tener en cuenta la última versión de los detalles actualizados.

  • Error: indica que hay un problema con la lista. Pase el ratón sobre el estado para ver los detalles del error.

  • Activación: indica que GuardDuty se ha iniciado el proceso de activación de la lista. Puede seguir supervisando el estado de esta lista. Si no hay ningún error, el estado debería actualizarse a Activo. Mientras el estado siga siendo Activado, no podrás realizar ninguna acción de esta lista. Es posible que el estado de la lista tarde unos minutos en cambiar a Activa.

  • Desactivar: indica que se GuardDuty ha iniciado el proceso de desactivación de la lista. Puede seguir supervisando el estado de esta lista. Si no hay ningún error, el estado debería actualizarse a Inactivo. Mientras el estado siga siendo Desactivado, no podrás realizar ninguna acción de esta lista.

  • Eliminar pendiente: indica que la lista está en proceso de borrarse. Mientras el estado siga siendo Eliminar pendiente, no podrá realizar ninguna acción en esta lista.