エンティティリストまたは IP リストの追加とアクティブ化 - Amazon GuardDuty

エンティティリストまたは IP リストの追加とアクティブ化

エンティティリストと IP アドレスリストは、GuardDuty の脅威検出機能をカスタマイズするのに役立ちます。これらのリストの詳細については、「エンティティリストと IP アドレスリストについて理解する」を参照してください。AWS 環境の信頼できる脅威インテリジェンスデータを管理するために、GuardDuty ではエンティティリストを使用することをお勧めします。開始する前に、「エンティティリストと IP アドレスリストの前提条件の設定」を参照してください。

次のアクセス方法のいずれかを選択して、信頼できるエンティティリスト、脅威エンティティリスト、信頼できる IP リストまたは脅威 IP リストを追加してアクティブ化します。

Console
(オプション) ステップ 1: リストの場所の URL を取得する

  1. Amazon S3 コンソール (https://console.aws.amazon.com/s3/) を開きます。

  2. ナビゲーションペインで、バケットを選択します。

  3. 追加する特定のリストを含む Amazon S3 バケット名を選択します。

  4. オブジェクト (リスト) 名を選択すると、その詳細が表示されます。

  5. [プロパティ] タブで、このオブジェクトの S3 URI をコピーします。

ステップ 2: 信頼できるデータまたは脅威インテリジェンスデータを追加する

  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. ナビゲーションペインで、[リスト]‎‏‎‏ を選択します。

  3. [リスト] ページで、[エンティティリスト] または [IP アドレスリスト] タブを選択します。

  4. 選択したタブに基づいて、信頼できるリストまたは脅威リストの追加を選択します。

  5. 信頼できるリストまたは脅威リストを追加するダイアログボックスで、以下の手順を実行します。

    1. [リスト名] で、リストの名前を入力します。

      リストの命名に関する制約 - リストの名前には、小文字、大文字、数字、ダッシュ (-)、アンダースコア (_) を含めることができます。

      IP アドレスリストの場合、リストの名前は AWS アカウント および リージョン内で一意である必要があります。

    2. [場所] で、リストをアップロードした場所を指定します。まだ持っていない場合は、「Step 1: Fetching location URL of your list」を参照してください。

      カスタム脅威とカスタムの信頼できるエンティティセットにのみ適用されます – 次のサポートされている形式と一致しない場所の URL を指定すると、リストの追加とアクティベーション中にエラーメッセージが表示されます。

      場所の URL の形式。

      • https://s3.amazonaws.com/bucket.name/file.txt

      • https://s3-aws-region.amazonaws.com/bucket.name/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • http://bucket.s3-aws-region.amazonaws.com/file.txt

      • s3://bucket.name/file.txt

    3. (オプション) 予想されるバケット所有者には、[場所] フィールドで指定された Amazon S3 バケットを所有する AWS アカウント ID を入力できます。

      AWS アカウント ID 所有者を指定しない場合、GuardDuty はエンティティリストと IP アドレスリストに対して異なる動作をします。エンティティリストの場合、GuardDuty は現在のメンバーアカウントが [場所] フィールドで指定された S3 バケットを所有していることを検証します。IP アドレスリストでは、AWS アカウント ID 所有者を指定しない場合、GuardDuty は検証を実行しません。

      GuardDuty がこの S3 バケットが指定されたアカウント ID に属していないと判断した場合、リストのアクティブ化時にエラーが発生します。

    4. [I agree] (同意します) チェックボックスをオンにします。

    5. [Add list] (リストを追加) を選択します。デフォルトでは、追加されたリストの [ステータス] は [非アクティブ] です。リストを有効にするには、リストをアクティブ化する必要があります。

ステップ 3: エンティティリストまたは IP アドレスリストをアクティブ化する

  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. ナビゲーションペインで、[リスト]‎‏‎‏ を選択します。

  3. [リスト[ ページで、リストをアクティブ化するタブ - [エンティティリスト] または [IP アドレスリスト] を選択します。

  4. アクティブ化するリストを 1 つ選択します。これにより、[アクション] メニューと[編集] メニューが有効になります。

  5. [アクション] を選択し、[アクティブ化] を選択します。

API/CLI
信頼できるエンティティリストを追加およびアクティブ化するには

  1. CreateTrustedEntitySet を実行します。この信頼できるエンティティリストを作成するメンバーアカウントの detectorId を必ず指定してください。アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

    リストの命名に関する制約 - リストの名前には、小文字、大文字、数字、ダッシュ (-)、アンダースコア (_) を含めることができます。

  2. あるいは、次の AWS Command Line Interface コマンドを実行することによってこれを実行できます。

    aws guardduty create-trusted-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-id を、信頼できるエンティティリストを作成するメンバーアカウントのディテクター ID、および赤で示されるその他のプレースホルダー値に置き換えます。

    この新しく作成されたリストをアクティブ化しない場合は、 パラメータ --activate--no-activate に置き換えます。

    expected-bucket-owner パラメータはオプションです。このパラメータの値を指定するかどうかにかかわらず、GuardDuty は、この --detector-id 値に関連付けられた AWS アカウント ID が --location パラメータで指定された S3 バケットを所有していることを検証します。GuardDuty がこの S3 バケットが指定されたアカウント ID に属していないと判断した場合、このリストをアクティブ化するときにエラーが発生します。

    カスタム脅威とカスタムの信頼できるエンティティセットにのみ適用されます – 次のサポートされている形式と一致しない場所の URL を指定すると、リストの追加とアクティベーション中にエラーメッセージが表示されます。

脅威エンティティリストを追加およびアクティブ化するには

  1. CreateThreatEntitySet を実行します。この脅威エンティティリストを作成するメンバーアカウントの detectorId を必ず指定してください。アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

    リストの命名に関する制約 - リストの名前には、小文字、大文字、数字、ダッシュ (-)、アンダースコア (_) を含めることができます。

  2. あるいは、次の AWS Command Line Interface コマンドを実行することによってこれを実行できます。

    aws guardduty create-threat-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-id を、信頼できるエンティティリストを作成するメンバーアカウントのディテクター ID、および赤で示されるその他のプレースホルダー値に置き換えます。

    この新しく作成されたリストをアクティブ化しない場合は、 パラメータ --activate--no-activate に置き換えます。

    expected-bucket-owner パラメータはオプションです。このパラメータの値を指定するかどうかにかかわらず、GuardDuty は、この --detector-id 値に関連付けられた AWS アカウント ID が --location パラメータで指定された S3 バケットを所有していることを検証します。GuardDuty がこの S3 バケットが指定されたアカウント ID に属していないと判断した場合、このリストをアクティブ化するときにエラーが発生します。

    カスタム脅威とカスタムの信頼できるエンティティセットにのみ適用されます – 次のサポートされている形式と一致しない場所の URL を指定すると、リストの追加とアクティベーション中にエラーメッセージが表示されます。

信頼できる IP アドレスリストを追加してアクティブ化するには

  1. CreateIPSet を実行します。この信頼されている IP アドレスリストを作成するメンバーアカウントの detectorId を必ず指定してください。アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

    IP アドレスリストの場合、リストの名前は AWS アカウント および リージョン内で一意である必要があります。

    リストの命名に関する制約 - リストの名前には、小文字、大文字、数字、ダッシュ (-)、アンダースコア (_) を含めることができます。

  2. または、次の AWS Command Line Interface コマンドを実行してこれを行うこともできます。このとき、detector-id を、信頼されている IP アドレスリストを更新するメンバーアカウントのディテクター ID に置き換えてください。

    aws guardduty create-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-id を、信頼できる IP リストを作成するメンバーアカウントのディテクター ID、および赤で示されるその他のプレースホルダー値に置き換えます。

    この新しく作成されたリストをアクティブ化しない場合は、 パラメータ --activate--no-activate に置き換えます。

    expected-bucket-owner パラメータはオプションです。S3 バケットを所有するアカウント ID を指定しない場合、GuardDuty は検証を実行しません。expected-bucket-owner パラメータのアカウント ID を指定すると、GuardDuty はこの AWS アカウント ID が --locationパラメータで指定された S3 バケットを所有していることを検証します。GuardDuty がこの S3 バケットが指定されたアカウント ID に属していないと判断した場合、このリストをアクティブ化するときにエラーが発生します。

脅威 IP リストを追加およびアクティブ化するには

  1. CreateThreatIntelSet を実行します。この脅威 IP アドレスリストを作成するメンバーアカウントの detectorId を必ず指定してください。アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

    リストの命名に関する制約 - リストの名前には、小文字、大文字、数字、ダッシュ (-)、アンダースコア (_) を含めることができます。

    IP アドレスリストの場合、リストの名前は AWS アカウント および リージョン内で一意である必要があります。

  2. または、次の AWS Command Line Interface コマンドを実行してこれを行うこともできます。このとき、detector-id を、脅威 IP リストを更新するメンバーアカウントのディテクター ID に置き換えてください。

    aws guardduty create-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-id を脅威 IP リストを作成するメンバーアカウントのディテクター ID と、赤で示されるその他のプレースホルダー値に置き換えます。

    この新しく作成されたリストをアクティブ化しない場合は、 パラメータ --activate--no-activate に置き換えます。

    expected-bucket-owner パラメータはオプションです。S3 バケットを所有するアカウント ID を指定しない場合、GuardDuty は検証を実行しません。expected-bucket-owner パラメータのアカウント ID を指定すると、GuardDuty はこの AWS アカウント ID が --locationパラメータで指定された S3 バケットを所有していることを検証します。GuardDuty がこの S3 バケットが指定されたアカウント ID に属していないと判断した場合、このリストをアクティブ化するときにエラーが発生します。

エンティティリストまたは IP アドレスリストを有効化すると、そのリストが有効になるまでに数分かかる場合があります。詳細については、「GuardDuty リストに関する重要な考慮事項」を参照してください。