Personalizando a detecção de ameaças com listas de entidades e listas de endereços IP - Amazon GuardDuty
Entendendo listas de entidades e listas de endereços IPConsiderações importantes sobre listas GuardDuty Formatos das listasEntendendo os status da lista

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Personalizando a detecção de ameaças com listas de entidades e listas de endereços IP

A Amazon GuardDuty monitora a segurança do seu AWS ambiente analisando e processando registros de fluxo de VPC, registros de AWS CloudTrail eventos e registros de DNS. Ao habilitar um ou mais planos de GuardDuty proteção focados em casos de uso (excetoMonitoramento de runtime, você pode expandir os recursos de monitoramento internos). GuardDuty

Com listas, GuardDuty ajuda você a personalizar o escopo da detecção de ameaças em seu ambiente. Você pode configurar GuardDuty para parar de gerar descobertas de suas fontes confiáveis e gerar descobertas de fontes maliciosas conhecidas a partir de suas listas de ameaças. GuardDuty continua oferecendo suporte a listas de endereços IP antigas e estende o suporte a listas de entidades (recomendadas) que podem conter endereços IP, domínios ou ambos.

Tópicos

Entendendo listas de entidades e listas de endereços IP

GuardDuty oferece duas abordagens de implementação: listas de entidades (recomendadas) e listas de IP. Ambas as abordagens ajudam você a especificar fontes confiáveis, que GuardDuty impedem de gerar descobertas, e ameaças conhecidas, que são GuardDuty usadas para gerar descobertas.

As listas de entidades oferecem suporte a endereços IP e nomes de domínio. Eles usam acesso direto ao Amazon Simple Storage Service (Amazon S3) com uma única permissão do IAM que não afeta os limites de tamanho da política do IAM em várias regiões.

As listas de IP oferecem suporte somente para endereços e uso de IP GuardDuty função vinculada ao serviço (SLR) (SLR), exigindo atualizações da política do IAM por região, o que pode afetar os limites de tamanho da política do IAM.

As listas confiáveis (listas de entidades e listas de endereços IP) incluem entradas nas quais você confia para comunicação segura com sua AWS infraestrutura. GuardDuty não gera descobertas para entradas listadas em fontes confiáveis. A qualquer momento, você pode adicionar somente uma lista de entidades confiáveis e uma lista de endereços IP confiáveis Conta da AWS por região.

As listas de ameaças (listas de entidades e listas de endereços IP) incluem entradas que você identificou como fontes maliciosas conhecidas. Quando GuardDuty detecta uma atividade envolvendo essas fontes, ela gera descobertas para alertá-lo sobre possíveis problemas de segurança. Você pode criar suas próprias listas de ameaças ou incorporar feeds de inteligência de ameaças de terceiros. Essa lista pode ser fornecida por inteligência de ameaças de terceiros ou criada especificamente para sua organização. Além de gerar descobertas devido a uma atividade potencialmente suspeita, GuardDuty também gera descobertas com base em uma atividade que envolve entradas de suas listas de ameaças. A qualquer momento, você pode fazer upload de até seis listas de entidades de ameaças e listas de endereços IP de ameaças Conta da AWS por região.

nota

Para migrar de listas de endereços IP para listas de entidades, sigaPré-requisitos para listas de entidades, adicione e ative a lista de entidades necessária. Depois disso, você pode optar por desativar ou excluir a lista de endereços IP correspondente.

Considerações importantes sobre listas GuardDuty

Antes de começar a trabalhar com listas, leia as seguintes considerações:

  • As listas de endereços IP e listas de entidades se aplicam somente ao tráfego destinado a endereços IP e domínios roteáveis publicamente.

  • Em uma lista de entidades, as entradas se aplicam às CloudTrail descobertas dos registros de consulta de DNS do VPC Flow Logs no Amazon VPC e do Route53 Resolver.

    Em uma lista de endereços IP, as entradas se aplicam aos CloudTrail registros de fluxo de VPC nas descobertas do Amazon VPC, mas não às descobertas dos registros de consulta de DNS do Route53 Resolver.

  • Se você incluir o mesmo endereço IP ou domínio nas listas confiáveis e de ameaças, essa entrada na lista de confiáveis terá precedência. GuardDuty não gerará uma descoberta se houver uma atividade associada a essa entrada.

  • Em um ambiente com várias contas, somente a conta GuardDuty do administrador pode gerenciar listas. Essa configuração se aplica automaticamente às contas dos membros. GuardDuty gera descobertas com base em uma atividade que envolve endereços IP (e domínios) maliciosos conhecidos das fontes de ameaça da conta do administrador e não gera descobertas com base em atividades que envolvem endereços IP (e domínios) das fontes confiáveis da conta do administrador. Para obter mais informações, consulte Várias contas na Amazon GuardDuty.

  • Somente IPv4 endereços são aceitos. IPv6 endereços não são suportados.

  • Depois de ativar, desativar ou excluir uma lista de entidades ou uma lista de endereços IP, estima-se que o processo seja concluído em 15 minutos. Em certos cenários, pode levar até 40 minutos para que esse processo seja concluído.

  • GuardDuty usa uma lista para detecção de ameaças somente quando o status da lista se torna Ativo.

  • Sempre que você adiciona ou atualiza uma entrada no local do bucket do S3 da lista, você deve ativar a lista novamente. Para obter mais informações, consulte Atualizando uma lista de entidades ou lista de endereços IP.

  • As listas de entidades e os endereços IP têm cotas diferentes. Para obter mais informações, consulte GuardDuty cotas.

Formatos das listas

GuardDuty aceita vários formatos de arquivo para suas listas e listas de entidades, com um máximo de 35 MB por arquivo. Cada formato tem requisitos e capacidades específicos.

Esse formato oferece suporte a endereços IP, intervalos CIDR e nomes de domínio. Cada entrada deve aparecer em uma linha separada.

exemplo Exemplo de lista de entidades
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
exemplo Exemplo de lista de endereços IP
192.0.2.0/24
198.51.100.1
203.0.113.1

Esse formato oferece suporte a endereços IP, blocos CIDR e nomes de domínio. O STIX permite que você inclua contexto adicional com sua inteligência de ameaças. GuardDuty processa endereços IP, intervalos CIDR e nomes de domínio dos indicadores STIX.

exemplo Exemplo de uma lista de entidades
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:cyboxCommon="http://cybox.mitre.org/common-2"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:indicator="http://stix.mitre.org/Indicator-2"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:DomainNameObj="http://cybox.mitre.org/objects#DomainNameObject-1"
    id="example:Package-a1b2c3d4-1111-2222-3333-444455556666"
    version="1.2">
    <stix:Indicators>
        <stix:Indicator
            id="example:indicator-a1b2c3d4-aaaa-bbbb-cccc-ddddeeeeffff"
            timestamp="2025-08-12T00:00:00Z"
            xsi:type="indicator:IndicatorType"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
            <indicator:Title>Malicious domain observed Example</indicator:Title>
            <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">Domain Watchlist</indicator:Type>
            <indicator:Observable id="example:Observable-0000-1111-2222-3333">
                <cybox:Object id="example:Object-0000-1111-2222-3333">
                    <cybox:Properties xsi:type="DomainNameObj:DomainNameObjectType">
                        <DomainNameObj:Value condition="Equals">bad.example.com</DomainNameObj:Value>
                    </cybox:Properties>
                </cybox:Object>
            </indicator:Observable>
        </stix:Indicator>
    </stix:Indicators>
</stix:STIX_Package>
exemplo Exemplo de uma lista de endereços IP
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:ttp="http://stix.mitre.org/TTP-1"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:example="http://example.com/"
    xsi:schemaLocation="
    http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd
    http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd
    http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd
    http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd
    http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd
    http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd"
    id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16"
    version="1.2">
    <stix:Observables cybox_major_version="1" cybox_minor_version="1">
        <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236">
            <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab">
            <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784">
            <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
    </stix:Observables>
</stix:STIX_Package>

Esse formato suporta blocos CIDR, endereços IP individuais e domínios. Esse formato de arquivo tem valores separados por vírgula.

exemplo Exemplo de lista de entidades
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
exemplo Exemplo de lista de endereços IP
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example

Esse formato suporta blocos CIDR, endereços IP individuais e domínios. As listas de amostra a seguir usam o formato FireEyeTM CSV.

exemplo Exemplo de lista de entidades
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

 01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
exemplo Exemplo de lista de endereços IP
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

No formato ProofPoint CSV, você pode adicionar endereços IP ou nomes de domínio em uma única lista. A lista de exemplo a seguir usa o formato CSV Proofpoint. Fornecer valor para o ports parâmetro é opcional. Quando você não fornecer, deixe uma vírgula (,) no final.

exemplo Exemplo de lista de entidades
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
exemplo Exemplo de lista de endereços IP
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80

A lista de exemplos a seguir usa o formato AlienVault.

exemplo Exemplo de lista de entidades
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
exemplo Exemplo de lista de endereços IP
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3

Entendendo os status da lista

Quando você adiciona uma lista de entidades ou uma lista de endereços IP, GuardDuty mostra o status dessa lista. A coluna Status indica se a lista é efetiva e se alguma ação é necessária. A lista a seguir descreve valores de status válidos:

  • Ativo — Indica que a lista está sendo usada atualmente para detecção personalizada de ameaças.

  • Inativo — Indica que a lista não está em uso no momento. GuardDuty Para usar essa lista para detecção de ameaças em seu ambiente, consulte Etapa 3: Ativando uma lista de entidades ou lista de endereços IP emAtualizando uma lista de entidades ou lista de endereços IP.

    Quando você atualiza uma lista, o status muda automaticamente para Inativo. Você deve ativá-lo novamente GuardDuty para considerar a versão mais recente dos detalhes atualizados.

  • Erro — Indica que há um problema com a lista. Passe o mouse sobre o status para ver os detalhes do erro.

  • Ativando — Indica que GuardDuty iniciou o processo de ativação da lista. Você pode continuar monitorando o status dessa lista. Se não houver erro, o status deverá ser atualizado para Ativo. Enquanto o status permanecer Ativando, você não poderá realizar nenhuma ação nessa lista. Pode levar alguns minutos para que o status da lista mude para Ativo.

  • Desativação — Indica que GuardDuty iniciou o processo de desativação da lista. Você pode continuar monitorando o status dessa lista. Se não houver erro, o status deverá ser atualizado para Inativo. Embora o status permaneça Desativando, você não poderá realizar nenhuma ação nessa lista.

  • Excluir pendente — Indica que a lista está em processo de exclusão. Embora o status permaneça Excluir pendente, você não poderá realizar nenhuma ação nessa lista.