LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@HIRA_dayo(平木 佳介)in株式会社サイバーセキュリティクラウド

Amazon GuardDutyでドメインも脅威リストや信頼リストに入れられるEntity listが追加されていたので試してみる

Last updated at Posted at 2025-08-15

こんにちは、CSC の平木です!

みなさん、GuardDuty を使用してセキュリティ対策していますか?

GuardDuty では検知がノイズになるのを防ぐためや確実に検知させるために
もとより信頼できる IP リスト(Trusted IP list)と脅威リスト(Threat IP list)があります。

今日 GuardDuty を覗いていたところ Entity lists - 新規と書いてある場所が追加されており、
どうやらまだドキュメントにも追加されていないようなのでどんなものなのか調べてみました。

(8/18 追記)
確認したところドキュメントも更新されていました
Customizing threat detection with entity lists and IP address lists - Amazon GuardDuty

しかも、文中には Entity lists (recommended) となっています。

gd_entity_list_2025-08-15-21-26-34.png

Entity list とは

まずコンソール上の説明欄を見てみます。

GuardDuty supports both entity lists and IP lists. Entity lists (recommended) can include both IP addresses and domains. GuardDuty will generate findings for entries provided in threat lists and exclude findings generated from trusted lists.

GuardDuty は、エンティティ リストと IP リストの両方をサポートしています。エンティティ リスト (推奨) には、IP アドレスとドメインの両方を含めることができます。GuardDuty は、脅威リストで提供されたエントリの調査結果を生成し、信頼済みリス トから生成された調査結果は除外します。(Deepl 翻訳)

コンソールの説明を読む限りどうやら今まで IP リストでは当然 IP のみしか指定できなかったのに対して、エンティティリストでは IP とドメインを含めることができるようです。

しかも(推奨)と書いているので今後はおそらくこっちを使ってね、という形になるのかなと推測できます。

Entity list で扱えるリスト形式

IP リストではいくつかテキスト形式に箇条書きで記載するだけでなく、
Open Threat Exchange (OTX)TM CSV 形式や AlienVaultTM Reputation Feed 形式などいくつかのリスト形式をサポートしていました。

Entity list で扱えるリスト形式がサポートしているリスト形式は本日時点ではドキュメントへの記載はありませんでしたが、コンソールを見ると IP リストと同じ形式をサポートしているようです。

gd_entity_list_2025-08-15-21-37-39.png

各リスト形式についてはこちらのページで確認できます。

やってみた

記載方法もなんとなく分かったところで実際にドメインを信頼リストに入れて動作確認をしてみます。

まずはアラートを鳴らしてみます。

今回は下記ブログを参照させていただき、
CryptoCurrency:EC2/BitcoinTool.B!DNS を検出させるためのドメインを呼び出してみます。

対象ドメインへのdigコマンド実行後、しばらくすると検知が確認できました。

gd_entity_list_2025-08-15-22-14-36.png

gd_entity_list_2025-08-15-22-16-15.png

gd_entity_list_2025-08-15-22-17-01.png

では続いて

  • pool.minergate.com
  • ②xmr.pool.minergate.com
  • pool.supportxmr.com

の中で③を記載したテキストファイルを S3 バケットに配置し、検証してみます。

まずは S3 バケットにドメインを記載したテキストファイルをアップロードします。

gd_entity_list_2025-08-15-21-50-43.png

続いて「設定 > リスト」から Entity lists のタブであることを確認し、「Add a trusted entity list」を押します

gd_entity_list_2025-08-15-21-58-26.png

続いて、リスト名・リストを配置したオブジェクト URL ・形式を選択または入力し、
同意しますにチェックを入れ、「リストの追加」を押します。

gd_entity_list_2025-08-15-21-55-47.png

設定できたらアクティブ化するためにアクションから「有効化」を押してアクティブになれば完了です。

gd_entity_list_2025-08-15-21-59-36.png

早速全てのドメインへ dig コマンドをたたいてみました。

gd_entity_list_2025-08-15-23-30-50.png

gd_entity_list_2025-08-15-23-31-30.png

gd_entity_list_2025-08-15-23-32-10.png

1 個余分なものが検知していますが、信頼リストに入れた③pool.supportxmr.comは検知していないことが分かりました。

登録できるリストの数

こちらは IP リスト同様、
信頼されたエンティティリストの数は 1 個、
脅威のエンティティリストは 6 個
が上限のようです。

gd_entity_list_2025-08-15-23-36-40.png

リストを更新したい場合

こちらも IP リスト同様、編集ボタンを押し、リストの更新を押すと最新の S3 オブジェクトを参照してくれます。

gd_entity_list_2025-08-15-22-21-16.png

gd_entity_list_2025-08-15-22-21-49.png

おわりに

今回はふと追加されていたエンティティリストを見ていきました。

今までは抑制ルールを作成すれば自動アーカイブされていきましたが、
エンティティリストを活用することでより GuardDuty を効果的に使えるかと思われます。

この記事がどなたかの役に立つと嬉しいです。

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?