翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Customizing threat detection with entity lists and IP address lists
Amazon GuardDuty は、VPC フローログ、 AWS CloudTrail イベントログ、DNS ログを分析して処理することで、 AWS 環境のセキュリティをモニタリングします。1 つ以上の[ユースケースに焦点を当てた GuardDuty 保護プラン](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html#features-of-guardduty) ( を除く[ランタイムモニタリング](runtime-monitoring.md)) を有効にすることで、GuardDuty 内でモニタリング機能を拡張できます。
リストを使用することで、GuardDuty は環境における脅威検出の範囲をカスタマイズするのに役立ちます。GuardDuty を設定して、信頼できるソースからの検出結果の生成を停止し、脅威リストに登録された既知の悪意のあるソースからの検出結果を生成することができます。GuardDuty では従来の IP アドレスリストが引き続きサポートされるほか、IP アドレス、ドメイン、またはその両方を格納できるエンティティリスト (推奨) にもサポートが拡張されています。
**Topics**
+ [エンティティリストと IP アドレスリストについて理解する](#guardduty-threat-intel-list-entity-sets)
+ [GuardDuty リストに関する重要な考慮事項](#guardduty-lists-entity-sets-considerations)
+ [リストフォーマット](#prepare_list)
+ [リストのステータスについて理解する](#guardduty-entity-list-statuses)
+ [エンティティリストと IP アドレスリストの前提条件の設定](guardduty-lists-prerequisites.md)
+ [エンティティリストまたは IP リストの追加とアクティブ化](guardduty-lists-create-activate.md)
+ [エンティティリストまたは IP アドレスリストの更新](guardduty-lists-update-procedure.md)
+ [エンティティリストまたは IP アドレスリストの非アクティブ化](guardduty-lists-deactivate-procedure.md)
+ [エンティティリストまたは IP アドレスリストの削除](guardduty-lists-delete-procedure.md)
## エンティティリストと IP アドレスリストについて理解する
GuardDuty は、エンティティリスト (推奨) と IP リストの 2 つの実装アプローチを提供します。どちらのアプローチも、信頼できるソースを指定するのに役立ちます。これにより、GuardDuty はそのソースを検出結果に含めなくなり、GuardDuty が検出結果を生成する際に参照する既知の脅威から除外できるようになります。
**エンティティリスト**は、IP アドレス、ドメイン名、および SHA-256 ファイルハッシュをサポートします。単一の IAM 権限による Amazon Simple Storage Service (Amazon S3) への直接アクセスを利用しており、複数のリージョンにわたる IAM ポリシーのサイズ制限に影響を与えません。
**IP リスト**は IP アドレスのみをサポートし、[GuardDuty サービスにリンクされたロール (SLR)](slr-permissions.md) (SLR) を使用します。そのため、リージョンごとに IAM ポリシーの更新が必要となり、IAM ポリシーのサイズ制限に影響する可能性があります。
信頼できるリスト (エンティティリストと IP アドレスリストの両方) には、 AWS インフラストラクチャとの安全な通信のために信頼できるエントリが含まれています。GuardDuty は、信頼できるソースにリストされているエントリに対しては検出結果を生成しません。どの時点でも、リージョン AWS アカウント ごとに 1 つの信頼されたエンティティリストと 1 つの信頼された IP アドレスリストのみを追加できます。
脅威リスト (エンティティリストと IP アドレスリストの両方) には、既知の悪意のあるソースとして特定したエントリが含まれます。GuardDuty がこれらのソースに関連するアクティビティを検出すると、潜在的なセキュリティ問題について警告する調査結果を生成します。独自の脅威リストを作成したり、サードパーティの脅威インテリジェンスフィードを組み込んだりできます。このリストは、サードパーティの脅威インテリジェンスによって提供されるか、あるいは組織専用に特別に生成することができます。GuardDuty は、疑わしいアクティビティの可能性に基づいて検出結果を生成するだけでなく、脅威リストのエントリに関連するアクティビティに基づいても検出結果も生成します。いつでも、リージョン AWS アカウント ごとに ごとに最大 6 つの脅威エンティティリストと脅威 IP アドレスリストをアップロードできます。
**注記**
IP アドレスリストからエンティティリストに移行するには、 [エンティティリストの前提条件](guardduty-lists-prerequisites.md#guardduty-entity-list-prerequisites) に従い、必要なエンティティリストを追加してアクティブ化します。その後、対応する IP アドレスリストを非アクティブ化または削除できます。
## GuardDuty リストに関する重要な考慮事項
リストの操作を始める前に、以下の注意事項をお読みください。
+ IP アドレスリストとエンティティリストは、パブリックにルーティング可能な IP アドレスとドメインを宛先とするトラフィックにのみ適用されます。
+ エンティティリストでは、エントリは CloudTrail、Amazon VPC の VPC フローログ、Route53 Resolver DNS クエリログの検出結果に適用されます。
IP アドレスリストのエントリは、CloudTrail と Amazon VPC の VPC フローログの検出結果に適用されますが、Route 53 Resolver DNS クエリログの検出結果には適用されません。
+ 信頼できるリストと脅威リストの両方に同じ IP アドレスまたはドメインが含まれている場合、信頼できるリストのエントリが優先されます。GuardDuty は、このエントリに関連するアクティビティがある場合は、検出結果を生成しません。
+ マルチアカウント環境でリストを管理できるのは、GuardDuty 管理者アカウントのみです。この設定は、メンバーアカウントに自動的に適用されます。GuardDuty は管理者アカウントの脅威ソースからの、既知の悪意ある IP アドレス (およびドメイン) を含むアクティビティに基づく検出結果を生成しますが、管理者アカウントの信頼できるソースからの IP アドレス (およびドメイン) を含むアクティビティに基づく検出結果は生成しません。詳細については、「[Amazon GuardDuty の複数のアカウント](guardduty_accounts.md)」を参照してください。
+ IPv4 アドレスのみ受け入れられます。IPv6 アドレスはサポートされません。
+ SHA-256 ファイルハッシュは、脅威エンティティリストでのみサポートされています。信頼されたエンティティリストまたは IP アドレスリストにファイルハッシュを含めることはできません。
+ エンティティリストまたは IP アドレスリストをアクティブ化、非アクティブ化、または削除すると、プロセスは 15 分以内に完了すると推定されます。シナリオによっては、このプロセスが完了するまでに最大 40 分かかることがあります。
+ GuardDuty は、リストのステータスが**アクティブ**になった場合にのみ、脅威検出にリストを使用します。
+ リストの S3 バケットの場所でエントリを追加または更新するたびに、リストを再度アクティブ化する必要があります。詳細については、「[エンティティリストまたは IP アドレスリストの更新](guardduty-lists-update-procedure.md)」を参照してください。
+ エンティティリストと IP アドレスのクォータは異なります。詳細については、「[GuardDuty クォータ](guardduty_limits.md)」を参照してください。
## リストフォーマット
GuardDuty は、リストとエンティティリストに複数のファイル形式 (ファイルあたり最大 35 MB) を受け入れます。各形式には固有の要件と機能があります。
### プレーンテキスト (TXT)
この形式は、IP アドレス、CIDR 範囲、ドメイン名、および SHA-256 ファイルハッシュをサポートします。SHA-256 ファイルハッシュは、脅威エンティティリストでのみサポートされています。各エントリは別々の行に表示される必要があります。
**Example **エンティティリストの例****
```
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
```
**Example **ファイルハッシュを含む脅威エンティティリストの例****
```
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3
```
**Example **IP アドレスリストの例****
```
192.0.2.0/24
198.51.100.1
203.0.113.1
```
### 脅威情報構造化記述形式 (STIX)
この形式は、IP アドレス、CIDR ブロック、ドメイン名、および SHA-256 ファイルハッシュをサポートします。STIX では、脅威インテリジェンスを使って追加のコンテキストを含めることができます。GuardDuty は、STIX インジケータから IP アドレス、CIDR 範囲、ドメイン名、および SHA-256 ファイルハッシュを処理します。SHA-256 ファイルハッシュは、脅威エンティティリストでのみサポートされています。
**Example **エンティティリストの例****
```
Malicious domain observed Example
Domain Watchlist
bad.example.com
```
**Example **ファイルハッシュを含む脅威エンティティリストの例****
```
Malicious domain observed Example
Domain Watchlist
bad.example.com
File hash for malware variant
File Hash Watchlist
SHA256
a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3
```
**Example **IP アドレスリストの例****
```
192.0.2.0##comma##192.0.2.255
198.51.100.1
203.0.113.1
```
### Open Threat Exchange (OTX)TM CSV
この形式は、CIDR ブロック、個々の IP アドレス、ドメイン、およびファイルハッシュの`SHA256`インジケータタイプをサポートします。SHA-256 ファイルハッシュは、脅威エンティティリストでのみサポートされています。このファイル形式は、カンマで区切られた値を持っています。
**Example **エンティティリストの例****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
```
**Example **ファイルハッシュを含む脅威エンティティリストの例****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
SHA256, a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3, example
```
**Example **IP アドレスリストの例****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
```
### FireEyeTM iSIGHT 脅威インテリジェンス CSV
この形式は、 `sha256`列で CIDR ブロック、個々の IP アドレス、ドメイン、および SHA-256 ファイルハッシュをサポートします。SHA-256 ファイルハッシュは、脅威エンティティリストでのみサポートされています。次のサンプルリストは `FireEyeTM` CSV フォーマットを使用しています。
**Example **エンティティリストの例****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
```
**Example **ファイルハッシュを含む脅威エンティティリストの例****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
01-00000005, Malicious file hash, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000005, https://www.example.com/report/01-00000005, , , , , , , , , , , , , , , a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3, , , , , , , , , , , , Related, , , , , , network, , Ursnif, 9b9a6ea0-3cbf-4e12-bd3e-0c1d7b4e5f6a, , , 1494944400
```
**Example **IP アドレスリストの例****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
```
### ProofpointTM ET Intelligence Feed CSV
ProofPoint CSV フォーマットでは、IP アドレスまたはドメイン名を 1 つのリストに追加できます。次のサンプルリストは `Proofpoint` CSV フォーマットを使用しています。`ports` パラメータに値を指定するかどうかはオプションです。指定しない場合は、末尾にカンマ (,) を残します。
**Example **エンティティリストの例****
```
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01,
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
**Example **IP アドレスリストの例****
```
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01,
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
### AlienVaultTM Reputation Feed
次のサンプルリストは `AlienVault` フォーマットを使用しています。この形式は、インジケータ列の SHA-256 ファイルハッシュもサポートしています。SHA-256 ファイルハッシュは、脅威エンティティリストでのみサポートされています。
**Example **エンティティリストの例****
```
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
```
**Example **ファイルハッシュを含む脅威エンティティリストの例****
```
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3#4#2#Malicious Hash###0.0,0.0#3
```
**Example **IP アドレスリストの例****
```
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
```
## リストのステータスについて理解する
エンティティリストまたは IP アドレスリストを追加すると、GuardDuty はそのリストのステータスを表示します。**[ステータス]** 列は、リストが有効かどうか、およびアクションが必要かどうかを示します。以下のリストは、有効なステータス値を示しています。
+ **アクティブ** – そのリストが現在、カスタム脅威検出に使用されていることを示します。
+ **非アクティブ** – そのリストが現在、使用されていないことを示します。GuardDuty がこのリストを環境内の脅威検出に使用する方法については、「[エンティティリストまたは IP リストの追加とアクティブ化](guardduty-lists-create-activate.md)」の「ステップ 3: エンティティリストまたは IP アドレスリストをアクティブ化する」を参照してください。
+ **エラー** – そのリストに問題があることを示します。ステータスにカーソルを合わせると、エラーの詳細を確認できます。
+ **アクティブ化** — GuardDuty がリストのアクティブ化プロセスを開始したことを示します。このリストのステータスを引き続きモニタリングできます。エラーがない場合、ステータスは **[アクティブ]** に更新されます。ステータスが **[アクティブ化]** の間は、このリストに対してアクションを実行することはできません。リストのステータスが **[アクティブ]** に変わるまでに数分かかる場合があります。
+ **非アクティブ化** — GuardDuty がリストを非アクティブ化するプロセスを開始したことを示します。このリストのステータスを引き続きモニタリングできます。エラーがない場合、ステータスは **[非アクティブ]** に更新されます。ステータスが **[非アクティブ化]** の間は、このリストに対してアクションを実行することはできません。
+ **削除保留中** – そのリストが削除中であることを示します。ステータスが **[削除保留中]** の間は、このリストに対してアクションを実行することはできません。