エンティティリストと IP アドレスリストについて理解する GuardDuty リストに関する重要な考慮事項リストフォーマットリストのステータスについて理解する

Customizing threat detection with entity lists and IP address lists

VPC フローログ、AWS のイベントログ、DNS ログを分析および処理することで、Amazon GuardDuty は、AWS CloudTrail 環境のセキュリティをモニタリングします。1 つ以上のユースケースに焦点を当てた GuardDuty 保護プランを有効にすることで (Runtime Monitoring を除くと、GuardDuty 内でモニタリング機能を拡張できます。

リストを使用することで、GuardDuty は環境における脅威検出の範囲をカスタマイズするのに役立ちます。GuardDuty を設定して、信頼できるソースからの検出結果の生成を停止し、脅威リストに登録された既知の悪意のあるソースからの検出結果を生成することができます。GuardDuty は従来の IP アドレスリストを引き続きサポートし、IP アドレス、ドメイン、またはその両方を格納できるエンティティリスト (推奨) へのサポートを拡張します。

トピック

エンティティリストと IP アドレスリストについて理解する

GuardDuty は 2 つの実装アプローチを提供します：エンティティリスト (推奨) と IP リストです。どちらのアプローチも、信頼できるソースを指定するのに役立ちます。これにより、GuardDuty はそのソースを検出結果に含めなくなり、GuardDuty が検出結果を生成する際に参照する既知の脅威から除外できるようになります。

エンティティリストは、IP アドレスとドメイン名の両方をサポートします。単一の IAM 権限による Amazon Simple Storage Service (Amazon S3) への直接アクセスを利用しており、複数のリージョンにわたる IAM ポリシーのサイズ制限に影響を与えません。

IP リストは IP アドレスのみをサポートし、GuardDuty サービスにリンクされたロール (SLR) (SLR) を使用します。そのため、リージョンごとに IAM ポリシーを更新が必要となり、IAM ポリシーのサイズ制限に影響する可能性があります。

信頼できるリスト (エンティティリストと IP アドレスリストの両方) には、AWS インフラストラクチャとの安全な通信のために信頼できるエントリが含まれています。GuardDuty は、信頼できるソースにリストされているエントリに対しては検出結果を生成しません。どの時点でも、リージョン別に AWS アカウントごとに 1 つの信頼されたエンティティリストと 1 つの信頼できる IP アドレスリストのみを追加できます。

脅威リスト (エンティティリストと IP アドレスリストの両方) には、既知の悪意のあるソースとして特定したエントリが含まれます。GuardDuty がこれらのソースに関連するアクティビティを検出すると、潜在的なセキュリティ問題について警告する調査結果を生成します。独自の脅威リストを作成したり、サードパーティの脅威インテリジェンスフィードを組み込んだりできます。このリストは、サードパーティの脅威インテリジェンスによって提供されるか、あるいは組織専用に特別に生成することができます。GuardDuty は、疑わしいアクティビティの可能性に基づいて検出結果を生成するだけでなく、脅威リストのエントリに関連するアクティビティに基づいても検出結果も生成します。いつでも、リージョン別に AWS アカウントごとに最大 6 つの脅威エンティティリストと脅威 IP アドレスリストをアップロードできます。

注記

IP アドレスリストからエンティティリストに移行するには、エンティティリストの前提条件に従い、必要なエンティティリストを追加してアクティブ化します。その後、対応する IP アドレスリストを非アクティブ化または削除できます。

GuardDuty リストに関する重要な考慮事項

リストの操作を始める前に、以下の注意事項をお読みください。

IP アドレスリストとエンティティリストは、パブリックにルーティング可能な IP アドレスとドメインを宛先とするトラフィックにのみ適用されます。
エンティティリストでは、エントリは CloudTrail、Amazon VPC の VPC フローログ、Route53 Resolver DNS クエリログの検出結果に適用されます。

IP アドレスリストのエントリは、Amazon VPC の CloudTrail および VPC フローログの検出結果に適用されますが、Route53 リゾルバーの DNS クエリログの検出結果には適用されません。
信頼済みリストと脅威リストの両方に同じ IP アドレスまたはドメインが含まれている場合、信頼済みリストのエントリが優先されます。GuardDuty は、このエントリに関連するアクティビティがある場合は、検出結果を生成しません。
マルチアカウント環境でリストを管理できるのは、GuardDuty 管理者アカウントのみです。この設定は、メンバーアカウントに自動的に適用されます。GuardDuty は管理者アカウントの脅威ソースからの、既知の悪意ある IP アドレス (およびドメイン) を含むアクティビティに基づく検出結果を生成しますが、管理者アカウントの信頼できるソースからの IP アドレス (およびドメイン) を含むアクティビティに基づく検出結果は生成しません。詳細については、「Amazon GuardDuty の複数のアカウント」を参照してください。
IPv4 アドレスのみ受け入れられます。IPv6 アドレスはサポートされません。
エンティティリストまたは IP アドレスリストをアクティブ化、非アクティブ化、または削除すると、プロセスは 15 分以内に完了すると推定されます。シナリオによっては、このプロセスが完了するまでに最大 40 分かかることがあります。
GuardDuty は、リストのステータスがアクティブになった場合にのみ、脅威検出にリストを使用します。
リストの S3 バケットの場所でエントリを追加または更新するたびに、リストを再度アクティブ化する必要があります。詳細については、「エンティティリストまたは IP アドレスリストの更新」を参照してください。
エンティティリストと IP アドレスのクォータは異なります。詳細については、「GuardDuty クォータ」を参照してください。

リストフォーマット

GuardDuty は、リストとエンティティリストに複数のファイル形式を受け入れます。ファイルあたり最大 35 MB です。各形式には固有の要件と機能があります。

この形式は、IP アドレス、CIDR 範囲、およびドメイン名をサポートしています。各エントリは別々の行に表示される必要があります。

例エンティティリストの例


192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org

例 IP アドレスリストの例


192.0.2.0/24
198.51.100.1
203.0.113.1

この形式は、IP アドレス、CIDR ブロック、ドメイン名をサポートしています。STIX により、脅威インテリジェンスに追加のコンテキストを含めることができます。GuardDuty は、STIX インジケータから IP アドレス、CIDR 範囲、およびドメイン名を処理します。

例エンティティリストの例


<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:cyboxCommon="http://cybox.mitre.org/common-2"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:indicator="http://stix.mitre.org/Indicator-2"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:DomainNameObj="http://cybox.mitre.org/objects#DomainNameObject-1"
    id="example:Package-a1b2c3d4-1111-2222-3333-444455556666"
    version="1.2">
    <stix:Indicators>
        <stix:Indicator
            id="example:indicator-a1b2c3d4-aaaa-bbbb-cccc-ddddeeeeffff"
            timestamp="2025-08-12T00:00:00Z"
            xsi:type="indicator:IndicatorType"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
            <indicator:Title>Malicious domain observed Example</indicator:Title>
            <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">Domain Watchlist</indicator:Type>
            <indicator:Observable id="example:Observable-0000-1111-2222-3333">
                <cybox:Object id="example:Object-0000-1111-2222-3333">
                    <cybox:Properties xsi:type="DomainNameObj:DomainNameObjectType">
                        <DomainNameObj:Value condition="Equals">bad.example.com</DomainNameObj:Value>
                    </cybox:Properties>
                </cybox:Object>
            </indicator:Observable>
        </stix:Indicator>
    </stix:Indicators>
</stix:STIX_Package>

例 IP アドレスリストの例


<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:ttp="http://stix.mitre.org/TTP-1"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:example="http://example.com/"
    xsi:schemaLocation="
    http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd
    http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd
    http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd
    http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd
    http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd
    http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd"
    id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16"
    version="1.2">
    <stix:Observables cybox_major_version="1" cybox_minor_version="1">
        <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236">
            <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab">
            <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784">
            <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
    </stix:Observables>
</stix:STIX_Package>

このフォーマットは、CIDR ブロック、個々の IP アドレス、およびドメインをサポートします。このファイル形式は、カンマで区切られた値を持っています。

例エンティティリストの例


Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example

例 IP アドレスリストの例


Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example

このフォーマットは、CIDR ブロック、個々の IP アドレス、およびドメインをサポートします。次のサンプルリストは FireEye^TM CSV フォーマットを使用しています。

例エンティティリストの例


reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

 01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400

例 IP アドレスリストの例


reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

ProofPoint CSV フォーマットでは、IP アドレスまたはドメイン名を 1 つのリストに追加できます。次のサンプルリストは Proofpoint CSV フォーマットを使用しています。ports パラメータに値を指定するかどうかはオプションです。指定しない場合は、末尾にカンマ (,) を残します。

例エンティティリストの例


domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80

例 IP アドレスリストの例


ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80

次のサンプルリストは AlienVault フォーマットを使用しています。

例エンティティリストの例


192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3

例 IP アドレスリストの例


198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3

リストのステータスについて理解する

エンティティリストまたは IP アドレスリストを追加すると、GuardDuty はそのリストのステータスを表示します。[ステータス] 列は、リストが有効かどうか、およびアクションが必要かどうかを示します。以下のリストは、有効なステータス値を示しています。

アクティブ – そのリストが現在、カスタム脅威検出に使用されていることを示します。
非アクティブ – そのリストが現在、使用されていないことを示します。GuardDuty がこのリストを環境内の脅威検出に使用する方法については、「エンティティリストまたは IP リストの追加とアクティブ化」の「ステップ 3: エンティティリストまたは IP アドレスリストをアクティブ化する」を参照してください。
エラー – そのリストに問題があることを示します。ステータスにカーソルを合わせると、エラーの詳細を確認できます。
アクティブ化 — GuardDuty がリストのアクティブ化プロセスを開始したことを示します。このリストのステータスを引き続きモニタリングできます。エラーがない場合、ステータスは [アクティブ] に更新されます。ステータスが [アクティブ化] の間は、このリストに対してアクションを実行することはできません。リストのステータスが [アクティブ] に変わるまでに数分かかる場合があります。
非アクティブ化 — GuardDuty がリストを非アクティブ化するプロセスを開始したことを示します。このリストのステータスを引き続きモニタリングできます。エラーがない場合、ステータスは [非アクティブ] に更新されます。ステータスが [非アクティブ化] の間は、このリストに対してアクションを実行することはできません。
削除保留中 – そのリストが削除中であることを示します。ステータスが [削除保留中] の間は、このリストに対してアクションを実行することはできません。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

抑制ルールを削除する

エンティティリストと IP アドレスリストの前提条件の設定

Customizing threat detection with entity lists and IP address lists

トピック

エンティティリストと IP アドレスリストについて理解する

注記

GuardDuty リストに関する重要な考慮事項

リストフォーマット

例 エンティティリストの例

例 IP アドレスリストの例

例 エンティティリストの例

例 IP アドレスリストの例

例 エンティティリストの例

例 IP アドレスリストの例

例 エンティティリストの例

例 IP アドレスリストの例

例 エンティティリストの例

例 IP アドレスリストの例

例 エンティティリストの例

例 IP アドレスリストの例

リストのステータスについて理解する

例エンティティリストの例

例エンティティリストの例

例エンティティリストの例

例エンティティリストの例

例エンティティリストの例

例エンティティリストの例