使用实体列表和 IP 地址列表自定义威胁检测 - Amazon GuardDuty
理解实体列表和 IP 地址列表GuardDuty 列表的重要注意事项列表格式了解列表状态

使用实体列表和 IP 地址列表自定义威胁检测

Amazon GuardDuty 通过分析和处理 VPC 流日志、AWS CloudTrail 事件日志和 DNS 日志来监控 AWS 环境的安全性。通过启用一个或多个以使用案例为中心的 GuardDuty 防护计划运行时监控除外),您可以扩展 GuardDuty 的监控范围。

借助列表,GuardDuty 可以帮助您自定义环境中的威胁检测范围。您可以将 GuardDuty 配置为停止针对可信来源生成调查发现,并针对威胁列表中已知的恶意来源生成调查发现。GuardDuty 继续支持旧版 IP 地址列表,并将支持扩展到可包含 IP 地址、域名或两者的实体列表(推荐)。

主题

理解实体列表和 IP 地址列表

GuardDuty 提供两种实现方法:实体列表(推荐)和 IP 列表。这两种方法都可以帮助您指定可信来源,阻止 GuardDuty 生成调查发现和已知威胁(GuardDuty 会据此生成调查发现)。

实体列表同时支持 IP 地址和域名。它们仅需单一 IAM 权限即可实现直接的 Amazon Simple Storage Service(Amazon S3)访问,不会影响多个区域的 IAM 策略大小限制。

IP 列表仅支持 IP 地址而且需要使用 GuardDuty 服务关联角色(SLR)(SLR),需要按区域更新 IAM 策略,这可能会影响 IAM 策略的大小限制。

可信列表(包括实体列表和 IP 地址列表)包含您确认可用于与您的 AWS 基础架构进行安全通信的可信条目。GuardDuty 不会为可信来源中列的条目生成调查发现。在任何给定时间,每个区域的每个 AWS 账户只能添加一个可信实体列表和一个可信 IP 地址列表。

威胁列表(包括实体列表和 IP 地址列表)包含您确认为已知恶意来源的条目。GuardDuty 检测到涉及这些来源的活动时,会生成调查发现,提醒您注意潜在的安全问题。您可以创建自己的威胁列表或整合第三方威胁情报源。此列表可以由第三方威胁情报提供,也可以专门为您的组织创建。除了因潜在可疑活动生成调查发现外,GuardDuty 还会针对涉及威胁列表条目的活动生成调查发现。在任何给定时间,每个区域的每个 AWS 账户最多可以上传六个威胁实体列表和威胁 IP 地址列表。

注意

要从 IP 地址列表迁移到实体列表,请按照实体列表的先决条件中的信息进行操作,然后启用所需的实体列表。之后,您可以选择停用或删除相应的 IP 地址列表。

GuardDuty 列表的重要注意事项

在开始使用列表之前,请阅读以下注意事项:

  • IP 地址列表和实体列表仅适用于目标位公开可路由 IP 地址和域的流量。

  • 实体列表中的条目会应用于 CloudTrail、Amazon VPC 中的 VPC 流日志和 Route53 Resolver DNS 查询日志的调查发现。

    IP 地址列表中的条目会应用于 CloudTrail、Amazon VPC 中的 VPC 流日志的调查发现,但不会应用于 Route53 Resolver DNS 查询日志的调查发现。

  • 如果您在可信列表和威胁列表中都包含相同的 IP 地址或域,则可信列表中的条目将具有优先级。GuardDuty 不会为该条目关联的活动生成调查发现。

  • 在多账户环境中,仅 GuardDuty 管理员账户可以管理列表。此设置会自动应用于成员账户。GuardDuty 会针对涉及管理员账户威胁列表中已知恶意 IP 地址(和域名)的活动生成调查发现,但不会针对涉及管理员账户可信来源中 IP 地址(和域名)的活动生成调查发现。有关更多信息,请参阅 Amazon GuardDuty 中的多个账户

  • 只接受 IPv4 地址。不支持 IPv6 地址。

  • 启用、停用或删除实体列表或 IP 地址列表的过程预计需要 15 分钟完成。在某些情况下,此过程可能需要长达 40 分钟才能完成。

  • 仅当列表的状态变为活动时,GuardDuty 才使用列表进行威胁检测。

  • 每当您在列表的 S3 存储桶位置添加或更新条目时,都必须重新启用该列表。有关更多信息,请参阅 更新实体列表或 IP 地址列表

  • 实体列表和 IP 地址列表具有不同的配额。有关更多信息,请参阅 GuardDuty 配额

列表格式

GuardDuty 接受多种自定义列表和实体列表文件格式,每个文件的大小上限为 35 MB。每种格式都有特定的要求和功能。

此格式支持 IP 地址、CIDR 范围和域名。每行只能有一个条目。

实体列表示例
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
IP 地址列表示例
192.0.2.0/24
198.51.100.1
203.0.113.1

此格式支持 IP 地址、CIDR 数据块和域名。STIX 允许包含威胁情报的其他背景信息。GuardDuty 会处理来自 STIX 指示符的 IP 地址、CIDR 范围和域名。

实体列表示例
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:cyboxCommon="http://cybox.mitre.org/common-2"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:indicator="http://stix.mitre.org/Indicator-2"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:DomainNameObj="http://cybox.mitre.org/objects#DomainNameObject-1"
    id="example:Package-a1b2c3d4-1111-2222-3333-444455556666"
    version="1.2">
    <stix:Indicators>
        <stix:Indicator
            id="example:indicator-a1b2c3d4-aaaa-bbbb-cccc-ddddeeeeffff"
            timestamp="2025-08-12T00:00:00Z"
            xsi:type="indicator:IndicatorType"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
            <indicator:Title>Malicious domain observed Example</indicator:Title>
            <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">Domain Watchlist</indicator:Type>
            <indicator:Observable id="example:Observable-0000-1111-2222-3333">
                <cybox:Object id="example:Object-0000-1111-2222-3333">
                    <cybox:Properties xsi:type="DomainNameObj:DomainNameObjectType">
                        <DomainNameObj:Value condition="Equals">bad.example.com</DomainNameObj:Value>
                    </cybox:Properties>
                </cybox:Object>
            </indicator:Observable>
        </stix:Indicator>
    </stix:Indicators>
</stix:STIX_Package>
IP 地址列表示例
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:ttp="http://stix.mitre.org/TTP-1"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:example="http://example.com/"
    xsi:schemaLocation="
    http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd
    http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd
    http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd
    http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd
    http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd
    http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd"
    id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16"
    version="1.2">
    <stix:Observables cybox_major_version="1" cybox_minor_version="1">
        <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236">
            <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab">
            <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784">
            <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
    </stix:Observables>
</stix:STIX_Package>

此格式支持 CIDR 数据块、单个 IP 地址和域名。此文件格式采用逗号分隔值。

实体列表示例
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
IP 地址列表示例
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example

此格式支持 CIDR 数据块、单个 IP 地址和域名。以下示例列表采用 FireEyeTM CSV 格式。

实体列表示例
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

 01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
IP 地址列表示例
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

在 ProofPoint CSV 格式中,您可以在一个列表中添加 IP 地址或域名。以下示例列表使用 Proofpoint CSV 格式。可以选择是否为 ports 参数提供值。如果不提供,请在末尾留一个逗号 (,)。

实体列表示例
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
IP 地址列表示例
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80

以下示例列表使用 AlienVault 格式。

实体列表示例
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
IP 地址列表示例
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3

了解列表状态

添加实体列表或 IP 地址列表后,GuardDuty 会显示该列表的状态。状态列指示列表是否有效以及是否需要采取任何操作。下表描述了各种有效状态值:

  • 活动:表示列表当前正在用于自定义威胁检测。

  • 非活动:表示列表当前未被使用。要让 GuardDuty 在您的环境中使用此列表进行威胁检测,请参阅添加和启用实体列表或 IP 列表中的“步骤 3:启用实体列表或 IP 地址列表”。

  • 错误:表示列表有问题。将鼠标悬停在状态上方可查看错误详情。

  • 正在启用:表示 GuardDuty 已启动列表启用流程。您可以继续监控此列表的状态。如果没有错误,则状态会更新为活动。如果状态保持为正在启用,您无法对此列表执行任何操作。列表状态可能需要几分钟才能变为活动状态。

  • 正在停用:表示 GuardDuty 已启动列表停用流程。您可以继续监控此列表的状态。如果没有错误,则状态应更新为非活动。如果状态保持为正在停用,您无法对此列表执行任何操作。

  • 待删除:表示正在删除列表。如果状态保持为待删除,您无法对此列表执行任何操作。