Personalización de la detección de amenazas con listas de entidades y listas de direcciones IP - Amazon GuardDuty
Comprender las listas de entidades y listas de direcciones IPConsideraciones importantes sobre las listas de GuardDutyFormatos de las listasExplicación de los estados de las listas

Personalización de la detección de amenazas con listas de entidades y listas de direcciones IP

Para supervisar la seguridad del entorno de AWS, Amazon GuardDuty analiza y procesa los registros de flujos de VPC, los registros de eventos de AWS CloudTrail y los registros de DNS. Al habilitar uno o más planes de protección GuardDuty centrados en casos de uso (excepto Supervisión en tiempo de ejecución), puede ampliar las capacidades de monitoreo de GuardDuty.

Con las listas, GuardDuty le ayuda a personalizar el alcance de la detección de amenazas en su entorno. Puede configurar GuardDuty para que deje de generar resultados de sus fuentes de confianza y genere resultados de fuentes maliciosas conocidas a partir de sus listas de amenazas. GuardDuty sigue siendo compatible con las listas de direcciones IP antiguas y amplía la compatibilidad a las listas de entidades (recomendado) que pueden contener direcciones IP, dominios o ambos.

Temas

Comprender las listas de entidades y listas de direcciones IP

GuardDuty ofrece dos enfoques de implementación: listas de entidades (recomendado) y listas de IP. Ambos enfoques ayudan a especificar fuentes confiables, que impiden que GuardDuty genere resultados y amenazas conocidas, que GuardDuty utiliza para generar resultados.

Las listas de entidades admiten tanto direcciones IP como nombres de dominio. Utilizan el acceso directo a Amazon Simple Storage Service (Amazon S3) con un único permiso de IAM que no afecta a los límites de tamaño de las políticas de IAM en múltiples regiones.

Las listas de IP solo admiten direcciones IP y utilizan Rol vinculado al servicio (SLR) de GuardDuty (SLR), por lo que es necesario actualizar las políticas de IAM por región, lo que puede afectar a los límites de tamaño de las políticas de IAM.

Las listas de confianza (tanto listas de entidades como listas de direcciones IP) incluyen entradas en las que puede confiar para una comunicación segura con su infraestructura de AWS. GuardDuty no genera resultados para las entradas que figuran en fuentes de confianza. Solo puede agregar una lista de entidades de confianza y una lista de direcciones IP de confianza por Cuenta de AWS y por región.

Las listas de amenazas (tanto listas de entidades como listas de direcciones IP) incluyen entradas que haya identificado como fuentes maliciosas conocidas. Cuando GuardDuty detecta una actividad que involucra a estas fuentes, genera resultados para alertarlo de posibles problemas de seguridad. Puede crear sus propias listas de amenazas o incorporar fuentes de inteligencia de amenazas de terceros. La inteligencia sobre amenazas de terceros puede ofrecer esta lista, que también se puede crear específicamente para su organización. Además de generar resultados debido a una actividad potencialmente sospechosa, GuardDuty también genera resultados en función de una actividad que involucra entradas de las listas de amenazas. En cada momento, puede cargar hasta seis listas de entidades de amenazas y listas de direcciones IP de amenazas por Cuenta de AWS por región.

nota

Para migrar de listas de direcciones IP a listas de entidades, siga Requisitos previos para las listas de entidades, a continuación, añada y active la lista de entidades requerida. Después de esto, puede optar por desactivar o eliminar la lista de direcciones IP correspondiente.

Consideraciones importantes sobre las listas de GuardDuty

Antes de comenzar a trabajar con las listas, lea las siguientes consideraciones:

  • Las listas de IP y de entidades se aplican únicamente al tráfico destinado a dominios y direcciones IP enrutables públicamente.

  • En una lista de entidades, las entradas se aplican a los resultados de los registros de consultas de DNS de CloudTrail, VPC Flow Logs en Amazon VPC y Route53 Resolver.

    En una lista de direcciones IP, las entradas se aplican a los resultados de los registros de consultas de DNS de CloudTrail, VPC Flow Logs en Amazon VPC, pero no a los de Route53 Resolver.

  • Si incluye la misma dirección IP o dominio en las listas de confianza y de amenazas, prevalecerá esta entrada de la lista de confianza. GuardDuty no generará un resultado si existe una actividad asociada a esa esta entrada.

  • En un entorno con varias cuentas, solo la cuenta de administrador de GuardDuty puede administrar las listas. Esta configuración se aplica automáticamente a las cuentas de miembros. GuardDuty genera resultados basados en la actividad que involucra direcciones IP (y dominios) maliciosas conocidas de las fuentes de amenazas de la cuenta de administrador y no se generan resultados basados en la actividad que involucra direcciones IP (dominios) de las fuentes de confianza de la cuenta de administrador. Para obtener más información, consulte Múltiples cuentas en Amazon GuardDuty.

  • Solo se aceptan direcciones IPv4. No se admiten direcciones IPv6.

  • Tras activar, desactivar o eliminar una lista de entidades o una lista de direcciones IP, se estima que el proceso se completará en 15 minutos. En algunos casos, este proceso puede tardar hasta 40 minutos en completarse.

  • GuardDuty utiliza una lista para detectar amenazas solo cuando el estado de la lista pasa a ser Activo.

  • Siempre que añada o actualice una entrada en la ubicación del bucket S3 de la lista, debe volver a activar la lista. Para obtener más información, consulte Actualización de una lista de entidades o una lista de direcciones IP.

  • Las listas de entidades y las direcciones IP tienen cuotas diferentes. Para obtener más información, consulte Cuotas de GuardDuty.

Formatos de las listas

GuardDuty acepta varios formatos de archivo para sus listas y listas de entidades, con un máximo de 35 MB por archivo. Cada formato tiene requisitos y capacidades específicos.

Este formato admite direcciones IP, rangos de CIDR y nombres de dominio. Cada entrada debe aparecer en una línea independiente.

ejemplo Ejemplo de lista de entidades
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
ejemplo Ejemplo de lista de direcciones IP
192.0.2.0/24
198.51.100.1
203.0.113.1

Este formato admite direcciones IP, bloques de CIDR y nombres de dominio. STIX le permite incluir contexto adicional en su inteligencia de amenazas. GuardDuty procesa las direcciones IP, los rangos de CIDR y los nombres de dominio de los indicadores STIX.

ejemplo Ejemplo de una lista de entidades
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:cyboxCommon="http://cybox.mitre.org/common-2"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:indicator="http://stix.mitre.org/Indicator-2"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:DomainNameObj="http://cybox.mitre.org/objects#DomainNameObject-1"
    id="example:Package-a1b2c3d4-1111-2222-3333-444455556666"
    version="1.2">
    <stix:Indicators>
        <stix:Indicator
            id="example:indicator-a1b2c3d4-aaaa-bbbb-cccc-ddddeeeeffff"
            timestamp="2025-08-12T00:00:00Z"
            xsi:type="indicator:IndicatorType"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
            <indicator:Title>Malicious domain observed Example</indicator:Title>
            <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">Domain Watchlist</indicator:Type>
            <indicator:Observable id="example:Observable-0000-1111-2222-3333">
                <cybox:Object id="example:Object-0000-1111-2222-3333">
                    <cybox:Properties xsi:type="DomainNameObj:DomainNameObjectType">
                        <DomainNameObj:Value condition="Equals">bad.example.com</DomainNameObj:Value>
                    </cybox:Properties>
                </cybox:Object>
            </indicator:Observable>
        </stix:Indicator>
    </stix:Indicators>
</stix:STIX_Package>
ejemplo Ejemplo de una lista de direcciones IP
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:ttp="http://stix.mitre.org/TTP-1"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:example="http://example.com/"
    xsi:schemaLocation="
    http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd
    http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd
    http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd
    http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd
    http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd
    http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd"
    id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16"
    version="1.2">
    <stix:Observables cybox_major_version="1" cybox_minor_version="1">
        <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236">
            <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab">
            <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784">
            <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
    </stix:Observables>
</stix:STIX_Package>

Este formato admite direcciones IP individuales, bloques de CIDR y dominios. Este formato de archivo tiene valores separados por comas.

ejemplo Ejemplo de lista de entidades
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
ejemplo Ejemplo de lista de direcciones IP
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example

Este formato admite direcciones IP individuales, bloques de CIDR y dominios. En las siguiente listas de ejemplo se utiliza un formato de CSV de FireEyeTM.

ejemplo Ejemplo de lista de entidades
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

 01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
ejemplo Ejemplo de lista de direcciones IP
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

En el formato CSV de ProofPoint, puede añadir direcciones IP o nombres de dominio en una sola lista. En la siguiente lista de ejemplo se utiliza el formato de CSV de Proofpoint. Proporcionar un valor para el parámetro ports es opcional. Si no lo proporciona, deje una coma (,) al final.

ejemplo Ejemplo de lista de entidades
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
ejemplo Ejemplo de lista de direcciones IP
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80

En la siguiente lista de ejemplo se utiliza el formato AlienVault.

ejemplo Ejemplo de lista de entidades
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
ejemplo Ejemplo de lista de direcciones IP
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3

Explicación de los estados de las listas

Al añadir una lista de entidades o una lista de direcciones IP, GuardDuty muestra el estado de esa lista. La columna Estado indica si la lista está en vigor y si es necesario realizar acciones. La lista siguiente describe los valores de estado válidos:

  • Activa: indica que la lista se está utilizando actualmente para la detección personalizada de amenazas.

  • Inactiva: indica que la lista no está en uso actualmente. Para que GuardDuty utilice esta lista para detectar amenazas en su entorno, consulte el paso 3: Activar una lista de entidades o una lista de direcciones IP en Añadir y activar una lista de entidades o una lista de IP.

  • Error: indica que hay un problema con la lista. Pase el cursor sobre el estado para ver los detalles del error.

  • Activación: indica que GuardDuty ha iniciado el proceso de activación de la lista. Puede seguir con el monitoreo del estado de esta lista. Si no hay ningún error, el estado debería actualizarse a Activo. Mientras el estado siga siendo Activación, no podrá realizar ninguna acción de esta lista. El estado de la lista puede tardar unos minutos en pasar a Activo.

  • Desactivación: indica que GuardDuty ha iniciado el proceso de desactivación de la lista. Puede seguir con el monitoreo del estado de esta lista. Si no hay ningún error, el estado debería actualizarse a Inactivo. Mientras el estado siga siendo Desactivación, no podrá realizar ninguna acción de esta lista.

  • Eliminar pendientes: indica que la lista está en proceso de eliminarse. Mientras el estado siga siendo Eliminar pendientes, no podrá realizar ninguna acción de esta lista.