Personalizzazione del rilevamento delle minacce con elenchi di entità ed elenchi di indirizzi IP - Amazon GuardDuty
Comprensione degli elenchi di entità e degli elenchi di indirizzi IPConsiderazioni importanti per gli elenchi GuardDuty Formati di elencoComprensione degli stati degli elenchi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Personalizzazione del rilevamento delle minacce con elenchi di entità ed elenchi di indirizzi IP

Amazon GuardDuty monitora la sicurezza del tuo AWS ambiente analizzando ed elaborando i log di flusso VPC, i log degli AWS CloudTrail eventi e i log DNS. Abilitando uno o più piani di GuardDuty protezione incentrati sui casi d'uso (ad eccezione Monitoraggio del runtime dei casi d'uso), puoi espandere le funzionalità di monitoraggio all'interno. GuardDuty

Grazie agli elenchi, GuardDuty consente di personalizzare l'ambito del rilevamento delle minacce nel proprio ambiente. È possibile GuardDuty eseguire la configurazione in modo da interrompere la generazione di risultati da fonti attendibili e generare risultati per fonti dannose note dai propri elenchi di minacce. GuardDuty continua a supportare gli elenchi di indirizzi IP precedenti ed estende il supporto agli elenchi di entità (consigliato) che possono contenere indirizzi IP, domini o entrambi.

Argomenti

Comprensione degli elenchi di entità e degli elenchi di indirizzi IP

GuardDuty offre due approcci di implementazione: elenchi di entità (consigliati) ed elenchi IP. Entrambi gli approcci consentono di specificare fonti attendibili, che GuardDuty impediscono di generare risultati, e minacce note, che GuardDuty utilizzano per generare risultati.

Gli elenchi di entità supportano sia gli indirizzi IP che i nomi di dominio. Utilizzano l'accesso diretto ad Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) con un'unica autorizzazione IAM che non influisce sui limiti di dimensione delle policy IAM in più regioni.

Gli elenchi IP supportano solo gli indirizzi IP e l'uso GuardDuty ruolo collegato al servizio (SLR) (SLR) e richiedono aggiornamenti delle policy IAM per regione, il che può influire sui limiti di dimensione delle policy IAM.

Gli elenchi attendibili (sia elenchi di entità che elenchi di indirizzi IP) includono voci ritenute affidabili per comunicazioni sicure con la propria AWS infrastruttura. GuardDuty non genera risultati per le voci elencate in fonti attendibili. In qualsiasi momento, puoi aggiungere solo un elenco di entità attendibili e un elenco di indirizzi IP attendibili Account AWS per regione.

Gli elenchi di minacce (sia gli elenchi di entità che gli elenchi di indirizzi IP) includono voci che hai identificato come fonti dannose note. Quando GuardDuty rileva un'attività che coinvolge queste fonti, genera risultati per avvisare l'utente di potenziali problemi di sicurezza. È possibile creare elenchi di minacce personalizzati o incorporare feed di intelligence sulle minacce di terze parti. Questo elenco può essere fornito dall'intelligence sulle minacce di terze parti o creato appositamente per l'organizzazione. Oltre a generare risultati a causa di un'attività potenzialmente sospetta, genera GuardDuty anche risultati basati su un'attività che coinvolge voci presenti negli elenchi delle minacce. In qualsiasi momento, puoi caricare fino a sei elenchi di entità minacciose e elenchi di indirizzi IP delle minacce Account AWS per regione.

Nota

Per migrare dagli elenchi di indirizzi IP agli elenchi di entità, seguiPrerequisiti per gli elenchi di entità, quindi aggiungi e attiva l'elenco di entità richiesto. Dopodiché, puoi scegliere di disattivare o eliminare l'elenco di indirizzi IP corrispondente.

Considerazioni importanti per gli elenchi GuardDuty

Prima di iniziare a lavorare con gli elenchi, leggi le seguenti considerazioni:

  • Gli elenchi di indirizzi IP e gli elenchi di entità si applicano solo al traffico destinato a domini e indirizzi IP instradabili pubblicamente.

  • In un elenco di entità, le voci si riferiscono ai CloudTrail risultati dei log di flusso VPC in Amazon VPC e ai risultati dei log delle query DNS di Route53 Resolver.

    In un elenco di indirizzi IP, le voci si applicano ai CloudTrail log di flusso VPC nei risultati di Amazon VPC, ma non ai risultati dei log delle query DNS di Route53 Resolver.

  • Se includi lo stesso indirizzo IP o dominio sia negli elenchi di siti attendibili che in quelli di minacce, questa voce nell'elenco delle persone attendibili avrà la precedenza. GuardDuty non genererà alcun risultato se esiste un'attività associata a questa voce.

  • In un ambiente con più account, solo l'account GuardDuty amministratore può gestire gli elenchi. Questa impostazione si applica automaticamente agli account dei membri. GuardDuty genera risultati basati su un'attività che coinvolge indirizzi IP (e domini) dannosi noti provenienti dalle fonti di minaccia dell'account amministratore e non genera risultati basati su attività che coinvolgono indirizzi IP (e domini) provenienti da fonti attendibili dell'account amministratore. Per ulteriori informazioni, consulta Account multipli in Amazon GuardDuty.

  • Sono accettati solo IPv4 gli indirizzi. IPv6 gli indirizzi non sono supportati.

  • Dopo aver attivato, disattivato o eliminato un elenco di entità o un elenco di indirizzi IP, il processo dovrebbe essere completato entro 15 minuti. In alcuni scenari, il completamento di questo processo potrebbe richiedere fino a 40 minuti.

  • GuardDuty utilizza un elenco per il rilevamento delle minacce solo quando lo stato dell'elenco diventa Attivo.

  • Ogni volta che aggiungi o aggiorni una voce nella posizione del bucket S3 dell'elenco, devi attivare nuovamente l'elenco. Per ulteriori informazioni, consulta Aggiornamento di un elenco di entità o di indirizzi IP.

  • Gli elenchi di entità e gli indirizzi IP hanno quote diverse. Per ulteriori informazioni, consulta GuardDuty quote.

Formati di elenco

GuardDuty accetta più formati di file per gli elenchi e gli elenchi di entità, con un massimo di 35 MB per file. Ogni formato presenta requisiti e funzionalità specifici.

Questo formato supporta indirizzi IP, intervalli CIDR e nomi di dominio. Ogni voce deve apparire su una riga distinta.

Esempio di elenco di entità
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
Esempio di elenco di indirizzi IP
192.0.2.0/24
198.51.100.1
203.0.113.1

Questo formato supporta indirizzi IP, blocchi CIDR e nomi di dominio. STIX ti consente di includere un contesto aggiuntivo nella tua intelligence sulle minacce. GuardDuty elabora indirizzi IP, intervalli CIDR e nomi di dominio a partire dagli indicatori STIX.

Esempio di elenco di entità
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:cyboxCommon="http://cybox.mitre.org/common-2"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:indicator="http://stix.mitre.org/Indicator-2"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:DomainNameObj="http://cybox.mitre.org/objects#DomainNameObject-1"
    id="example:Package-a1b2c3d4-1111-2222-3333-444455556666"
    version="1.2">
    <stix:Indicators>
        <stix:Indicator
            id="example:indicator-a1b2c3d4-aaaa-bbbb-cccc-ddddeeeeffff"
            timestamp="2025-08-12T00:00:00Z"
            xsi:type="indicator:IndicatorType"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
            <indicator:Title>Malicious domain observed Example</indicator:Title>
            <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">Domain Watchlist</indicator:Type>
            <indicator:Observable id="example:Observable-0000-1111-2222-3333">
                <cybox:Object id="example:Object-0000-1111-2222-3333">
                    <cybox:Properties xsi:type="DomainNameObj:DomainNameObjectType">
                        <DomainNameObj:Value condition="Equals">bad.example.com</DomainNameObj:Value>
                    </cybox:Properties>
                </cybox:Object>
            </indicator:Observable>
        </stix:Indicator>
    </stix:Indicators>
</stix:STIX_Package>
Esempio di elenco di indirizzi IP
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:ttp="http://stix.mitre.org/TTP-1"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:example="http://example.com/"
    xsi:schemaLocation="
    http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd
    http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd
    http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd
    http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd
    http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd
    http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd"
    id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16"
    version="1.2">
    <stix:Observables cybox_major_version="1" cybox_minor_version="1">
        <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236">
            <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab">
            <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784">
            <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
    </stix:Observables>
</stix:STIX_Package>

Questo formato supporta blocchi CIDR, singoli indirizzi IP e domini. Questo formato di file ha valori separati da virgole.

Esempio di elenco di entità
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
Esempio di elenco di indirizzi IP
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example

Questo formato supporta blocchi CIDR, indirizzi IP individuali e domini. I seguenti elenchi di esempio utilizzano un FireEyeTM formato CSV.

Esempio di elenco di entità
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

 01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
Esempio di elenco di indirizzi IP
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

In formato ProofPoint CSV, puoi aggiungere indirizzi IP o nomi di dominio in un unico elenco. Il seguente elenco di esempio utilizza il formato Proofpoint CSV. L'indicazione del valore per il ports parametro è facoltativa. Se non lo fornisci, lascia una virgola finale (,) alla fine.

Esempio di elenco di entità
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
Esempio di elenco di indirizzi IP
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80

Il seguente elenco di esempio utilizza il formato AlienVault.

Esempio di elenco di entità
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
Esempio di elenco di indirizzi IP
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3

Comprensione degli stati degli elenchi

Quando aggiungi un elenco di entità o un elenco di indirizzi IP, GuardDuty mostra lo stato di tale elenco. La colonna Stato indica se l'elenco è efficace e se è necessaria un'azione. L'elenco seguente descrive i valori di stato validi:

  • Attivo: indica che l'elenco è attualmente in uso per il rilevamento personalizzato delle minacce.

  • Inattivo: indica che l'elenco non è attualmente in uso. GuardDuty Per utilizzare questo elenco per il rilevamento delle minacce nel proprio ambiente, vedere Passaggio 3: Attivazione di un elenco di entità o di un elenco di indirizzi IP in. Aggiornamento di un elenco di entità o di indirizzi IP

    Quando aggiorni un elenco, lo stato diventa automaticamente Inattivo. È necessario riattivarlo per GuardDuty prendere in considerazione la versione più recente dei dettagli aggiornati.

  • Errore: indica che c'è un problema con l'elenco. Passa il mouse sullo stato per visualizzare i dettagli dell'errore.

  • Attivazione: indica che GuardDuty è stato avviato il processo di attivazione dell'elenco. È possibile continuare a monitorare lo stato di questo elenco. Se non si verifica alcun errore, lo stato dovrebbe essere aggiornato su Attivo. Finché lo stato rimane Attivato, non è possibile eseguire alcuna azione in questo elenco. Potrebbero essere necessari alcuni minuti prima che lo stato dell'elenco passi ad Attivo.

  • Disattivazione: indica che GuardDuty è stato avviato il processo di disattivazione dell'elenco. È possibile continuare a monitorare lo stato di questo elenco. Se non si verifica alcun errore, lo stato dovrebbe essere aggiornato a Inattivo. Finché lo stato rimane Disattivato, non è possibile eseguire alcuna azione in questo elenco.

  • Eliminazione in sospeso: indica che l'elenco è in fase di eliminazione. Sebbene lo stato rimanga Elimina in sospeso, non è possibile eseguire alcuna azione su questo elenco.