エンティティリストと IP アドレスリストを使用した脅威検出のカスタマイズ - Amazon GuardDuty
エンティティリストと IP アドレスリストについてGuardDuty リストに関する重要な考慮事項リストフォーマットリストステータスについて

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

エンティティリストと IP アドレスリストを使用した脅威検出のカスタマイズ

Amazon GuardDuty は、VPC フローログ、 AWS CloudTrail イベントログ、DNS ログを分析して処理することで、 AWS 環境のセキュリティをモニタリングします。1 つ以上のユースケースに焦点を当てた GuardDuty 保護プランを有効にすることで ( を除くとRuntime Monitoring、GuardDuty 内でモニタリング機能を拡張できます。

リストを使用すると、GuardDuty は環境内の脅威検出の範囲をカスタマイズするのに役立ちます。信頼できるソースからの検出結果の生成を停止し、脅威リストから既知の悪意のあるソースの検出結果を生成するように GuardDuty を設定できます。GuardDuty は引き続きレガシー IP アドレスリストをサポートし、IP アドレス、ドメイン、またはその両方を含めることができるエンティティリスト (推奨) のサポートを拡張します。

トピック

エンティティリストと IP アドレスリストについて

GuardDuty には、エンティティリスト (推奨) と IP リストの 2 つの実装アプローチがあります。どちらのアプローチも、信頼されたソースを指定するのに役立ちます。これにより、GuardDuty が検出結果や既知の脅威を生成できなくなり、GuardDuty が検出結果を生成するために使用されます。

エンティティリストは、IP アドレスとドメイン名の両方をサポートします。複数のリージョンで IAM ポリシーのサイズ制限に影響を与えない単一の IAM アクセス許可を持つ Amazon Simple Storage Service (Amazon S3) への直接アクセスを使用します。

IP リストは IP アドレスと使用 GuardDuty サービスにリンクされたロール (SLR) (SLR) のみをサポートしており、リージョンごとに IAM ポリシーを更新する必要があるため、IAM ポリシーのサイズ制限に影響する可能性があります。

信頼できるリスト (エンティティリストと IP アドレスリストの両方) には、 AWS インフラストラクチャとの安全な通信のために信頼できるエントリが含まれています。GuardDuty は、信頼できるソースにリストされているエントリの検出結果を生成しません。どの時点でも、リージョン AWS アカウント ごとに 1 つの信頼されたエンティティリストと 1 つの信頼された IP アドレスリストのみを追加できます。

脅威リスト (エンティティリストと IP アドレスリストの両方) には、既知の悪意のあるソースとして識別したエントリが含まれます。GuardDuty は、これらのソースに関連するアクティビティを検出すると、潜在的なセキュリティ問題を警告する結果を生成します。独自の脅威リストを作成したり、サードパーティーの脅威インテリジェンスフィードを組み込むことができます。このリストは、サードパーティの脅威インテリジェンスによって提供されるか、あるいは組織専用に特別に生成することができます。GuardDuty は、疑わしいアクティビティが原因で検出結果を生成するだけでなく、脅威リストからのエントリを含むアクティビティに基づいて検出結果も生成します。いつでも、リージョン AWS アカウント ごとに ごとに最大 6 つの脅威エンティティリストと脅威 IP アドレスリストをアップロードできます。

注記

IP アドレスリストからエンティティリストに移行するには、 に従いエンティティリストの前提条件、必要なエンティティリストを追加してアクティブ化します。その後、対応する IP アドレスリストを非アクティブ化または削除することを選択できます。

GuardDuty リストに関する重要な考慮事項

リストの使用を開始する前に、以下の考慮事項をお読みください。

  • IP アドレスリストとエンティティリストは、パブリックにルーティング可能な IP アドレスとドメイン宛てのトラフィックにのみ適用されます。

  • エンティティリストでは、エントリは CloudTrail、Amazon VPC の VPC フローログ、Route53 Resolver DNS クエリログの結果に適用されます。

    IP アドレスリストでは、エントリは Amazon VPC の検出結果の CloudTrail および VPC フローログに適用されますが、Route53 Resolver DNS クエリログの検出結果には適用されません。

  • 信頼されたリストと脅威リストの両方に同じ IP アドレスまたはドメインを含める場合、信頼されたリストのこのエントリが優先されます。このエントリに関連付けられたアクティビティがある場合、GuardDuty は結果を生成しません。

  • マルチアカウント環境では、GuardDuty 管理者アカウントのみがリストを管理できます。この設定は、メンバーアカウントに自動的に適用されます。GuardDuty は、管理者アカウントの脅威ソースから既知の悪意のある IP アドレス (およびドメイン) が関与するアクティビティに基づいて検出結果を生成し、管理者アカウントの信頼できるソースから IP アドレス (およびドメイン) が関与するアクティビティに基づいて検出結果を生成しません。詳細については、「Amazon GuardDuty の複数のアカウント」を参照してください。

  • IPv4 アドレスのみ受け入れられます。IPv6 アドレスはサポートされません。

  • エンティティリストまたは IP アドレスリストをアクティブ化、非アクティブ化、または削除すると、プロセスは 15 分以内に完了すると推定されます。特定のシナリオでは、このプロセスが完了するまでに最大 40 分かかることがあります。

  • GuardDuty は、リストのステータスがアクティブになった場合にのみ、脅威検出にリストを使用します。

  • リストの S3 バケットロケーションでエントリを追加または更新するたびに、リストを再度アクティブ化する必要があります。詳細については、「エンティティリストまたは IP アドレスリストの更新」を参照してください。

  • エンティティリストと IP アドレスのクォータは異なります。詳細については、「GuardDuty クォータ」を参照してください。

リストフォーマット

GuardDuty は、リストとエンティティリストに複数のファイル形式を受け入れ、ファイルあたり最大 35 MB です。各形式には特定の要件と機能があります。

この形式は、IP アドレス、CIDR 範囲、ドメイン名をサポートします。各エントリは別々の行に表示される必要があります。

エンティティリストの例
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
IP アドレスリストの例
192.0.2.0/24
198.51.100.1
203.0.113.1

この形式は、IP アドレス、CIDR ブロック、ドメイン名をサポートします。STIX を使用すると、脅威インテリジェンスに追加のコンテキストを含めることができます。GuardDuty は、STIX インジケータから IP アドレス、CIDR 範囲、ドメイン名を処理します。

エンティティリストの例
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:cyboxCommon="http://cybox.mitre.org/common-2"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:indicator="http://stix.mitre.org/Indicator-2"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:DomainNameObj="http://cybox.mitre.org/objects#DomainNameObject-1"
    id="example:Package-a1b2c3d4-1111-2222-3333-444455556666"
    version="1.2">
    <stix:Indicators>
        <stix:Indicator
            id="example:indicator-a1b2c3d4-aaaa-bbbb-cccc-ddddeeeeffff"
            timestamp="2025-08-12T00:00:00Z"
            xsi:type="indicator:IndicatorType"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
            <indicator:Title>Malicious domain observed Example</indicator:Title>
            <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">Domain Watchlist</indicator:Type>
            <indicator:Observable id="example:Observable-0000-1111-2222-3333">
                <cybox:Object id="example:Object-0000-1111-2222-3333">
                    <cybox:Properties xsi:type="DomainNameObj:DomainNameObjectType">
                        <DomainNameObj:Value condition="Equals">bad.example.com</DomainNameObj:Value>
                    </cybox:Properties>
                </cybox:Object>
            </indicator:Observable>
        </stix:Indicator>
    </stix:Indicators>
</stix:STIX_Package>
IP アドレスリストの例
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:ttp="http://stix.mitre.org/TTP-1"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:example="http://example.com/"
    xsi:schemaLocation="
    http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd
    http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd
    http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd
    http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd
    http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd
    http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd"
    id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16"
    version="1.2">
    <stix:Observables cybox_major_version="1" cybox_minor_version="1">
        <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236">
            <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab">
            <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784">
            <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
    </stix:Observables>
</stix:STIX_Package>

この形式は、CIDR ブロック、個々の IP アドレス、ドメインをサポートします。このファイル形式にはカンマ区切りの値があります。

エンティティリストの例
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
IP アドレスリストの例
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example

この形式は、CIDR ブロック、個々の IP アドレス、ドメインをサポートします。次のサンプルリストでは、CSV FireEyeTM 形式を使用しています。

エンティティリストの例
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

 01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
IP アドレスリストの例
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

ProofPoint CSV 形式では、IP アドレスまたはドメイン名を 1 つのリストに追加できます。次のサンプルリストは Proofpoint CSV フォーマットを使用しています。ports パラメータに値を指定することはオプションです。指定しない場合は、末尾にカンマ (,) を残します。

エンティティリストの例
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
IP アドレスリストの例
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80

次のサンプルリストは AlienVault フォーマットを使用しています。

エンティティリストの例
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
IP アドレスリストの例
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3

リストステータスについて

エンティティリストまたは IP アドレスリストを追加すると、GuardDuty はそのリストのステータスを表示します。Status 列は、リストが有効かどうか、およびアクションが必要かどうかを示します。次のリストは、有効なステータス値を示しています。

  • アクティブ – リストがカスタム脅威検出に現在使用されていることを示します。

  • 非アクティブ – リストが現在使用されていないことを示します。GuardDuty がこのリストを使用して環境で脅威を検出できるようにするには、「」の「ステップ 3: エンティティリストまたは IP アドレスリストをアクティブ化する」を参照してくださいエンティティリストまたは IP アドレスリストの更新

    リストを更新すると、ステータスは自動的に非アクティブに変わります。GuardDuty が更新された詳細の最新バージョンを考慮するには、再度アクティブ化する必要があります。

  • エラー – リストに問題があることを示します。ステータスにカーソルを合わせると、エラーの詳細が表示されます。

  • アクティブ化 — GuardDuty がリストのアクティブ化プロセスを開始したことを示します。このリストのステータスを引き続きモニタリングできます。エラーがない場合、ステータスはアクティブに更新されます。ステータスがアクティブのままの間は、このリストに対してアクションを実行することはできません。リストのステータスがアクティブに変わるまでに数分かかる場合があります。

  • 非アクティブ化 — GuardDuty がリストを非アクティブ化するプロセスを開始したことを示します。このリストのステータスを引き続きモニタリングできます。エラーがない場合、ステータスは非アクティブに更新されます。ステータスが非アクティブ化のままの間は、このリストに対してアクションを実行することはできません。

  • 削除保留中 – リストが削除中であることを示します。ステータスは削除保留中のままですが、このリストに対してアクションを実行することはできません。