Hinzufügen und Aktivieren einer Entitätsliste oder IP-Liste - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Hinzufügen und Aktivieren einer Entitätsliste oder IP-Liste

Mit Entitätslisten und IP-Adresslisten können Sie die Funktionen zur Bedrohungserkennung in anpassen GuardDuty. Weitere Informationen zu diesen Listen finden Sie unterGrundlegendes zu Entitätslisten und IP-Adresslisten. Für die Verwaltung vertrauenswürdiger Daten und Daten mit Bedrohungsinformationen für Ihre AWS Umgebung GuardDuty empfiehlt es sich, Entitätslisten zu verwenden. Bevor Sie beginnen, sehen Sie sich Voraussetzungen für Entitätslisten und IP-Adresslisten einrichten an.

Wählen Sie eine der folgenden Zugriffsmethoden, um eine Liste vertrauenswürdiger Entitäten, Bedrohungsentitäten, vertrauenswürdiger IP-Adressen oder Bedrohungs-IP-Listen hinzuzufügen und zu aktivieren.

Console
(Optional) Schritt 1: Den Standort-URL Ihrer Liste abrufen

  1. Öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im Navigationsbereich die Option Buckets aus.

  3. Wählen Sie den Amazon-S3-Bucket-Namen, der die spezifische Liste enthält, die Sie hinzufügen möchten.

  4. Wählen Sie den Namen des Objekts (Liste), um dessen Details anzuzeigen.

  5. Kopieren Sie auf der Registerkarte Eigenschaften den S3-URI für dieses Objekt.

Schritt 2: Vertrauenswürdige Daten oder Daten mit Bedrohungsinformationen hinzufügen

  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  2. Wählen Sie im Navigationsbereich Listen.

  3. Wählen Sie auf der Seite Listen die Registerkarte Entitätslisten oder IP-Adresslisten aus.

  4. Wählen Sie je nach ausgewähltem Tab, ob Sie eine vertrauenswürdige Liste oder eine Bedrohungsliste hinzufügen möchten.

  5. Gehen Sie im Dialogfeld wie folgt vor, um entweder eine vertrauenswürdige Liste oder eine Liste mit Bedrohungen hinzuzufügen:

    1. In Name der Liste geben Sie einen Namen für Ihre Liste ein.

      Einschränkungen bei der Benennung von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (_) enthalten.

      Bei einer IP-Adressliste muss der Name Ihrer Liste innerhalb einer AWS-Konto UND-Region eindeutig sein.

    2. Geben Sie unter Standort den Ort an, an dem Sie Ihre Liste hochgeladen haben. Falls Sie den Standort noch nicht haben, finden Sie weitere Informationen unter Step 1: Fetching location URL of your list.

      Format der Standort-URL

      • https://s3.amazonaws.com/bucket.name/file.txt

      • https://s3-aws-region.amazonaws.com/bucket.name/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • http://bucket.s3-aws-region.amazonaws.com/file.txt

      • s3://bucket.name/file.txt

    3. (Optional) Für Erwarteter Bucket-Besitzer können Sie die AWS-Konto ID eingeben, der der Amazon S3 S3-Bucket gehört, der im Feld Standort angegeben ist.

      Wenn Sie keinen AWS-Konto ID-Besitzer angeben, GuardDuty verhält sich das Verhalten bei Entitätslisten und IP-Adresslisten unterschiedlich. GuardDuty Überprüft bei Entitätslisten, ob das aktuelle Mitgliedskonto Eigentümer des im Feld Standort angegebenen S3-Buckets ist. Wenn Sie bei IP-Adresslisten keinen AWS-Konto ID-Besitzer angeben, GuardDuty wird keine Überprüfung durchgeführt.

      Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung der Liste eine Fehlermeldung.

    4. Aktivieren Sie das Kontrollkästchen I agree.

    5. Wählen Sie Liste hinzufügen. Standardmäßig ist der Status der hinzugefügten Liste Inaktiv. Damit die Liste gültig ist, müssen Sie sie aktivieren.

Schritt 3: Aktivierung einer Entitätsliste oder IP-Adressliste

  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  2. Wählen Sie im Navigationsbereich Listen.

  3. Wählen Sie auf der Seite Listen die Registerkarte aus, auf der Sie die Liste aktivieren möchten — Entitätslisten oder IP-Adresslisten.

  4. Wählen Sie eine Liste aus, die Sie aktivieren möchten. Dadurch werden die Menüs Aktion und Bearbeiten aktiviert.

  5. Wählen Sie Aktion und dann Aktivieren.

API/CLI
Um eine Liste vertrauenswürdiger Entitäten hinzuzufügen und zu aktivieren

  1. Führen Sie CreateTrustedEntitySet. Stellen Sie sicher, dass Sie das detectorId Mitgliedskonto angeben, für das Sie diese Liste vertrauenswürdiger Entitäten erstellen möchten. Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/Konsole oder führen Sie die ListDetectorsAPI aus.

    Einschränkungen bei der Benennung von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (_) enthalten.

  2. Sie können dies auch tun, indem Sie den folgenden Befehl ausführen: AWS Command Line Interface 

    aws guardduty create-trusted-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-idErsetzen Sie es durch die Detektor-ID des Mitgliedskontos, für das Sie die Liste der vertrauenswürdigen Entitäten erstellen möchten, und durch andere Platzhalterwerte, die es sindshown in red.

    Wenn Sie diese neu erstellte Liste nicht aktivieren möchten, ersetzen Sie den Parameter --activate durch--no-activate.

    Der Parameter expected-bucket-owner ist optional. Unabhängig davon, ob Sie den Wert für diesen Parameter angeben oder nicht, wird GuardDuty überprüft, ob die mit diesem --detector-id Wert verknüpfte AWS-Konto ID den im --location Parameter angegebenen S3-Bucket besitzt. Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung dieser Liste eine Fehlermeldung.

Um Listen mit Bedrohungsentitäten hinzuzufügen und zu aktivieren

  1. Führen Sie CreateThreatEntitySet. Stellen Sie sicher, dass Sie das detectorId Mitgliedskonto angeben, für das Sie diese Liste der Bedrohungsentitäten erstellen möchten. Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/Konsole oder führen Sie die ListDetectorsAPI aus.

    Einschränkungen bei der Benennung von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (_) enthalten.

  2. Sie können dies auch tun, indem Sie den folgenden Befehl ausführen: AWS Command Line Interface 

    aws guardduty create-threat-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-idErsetzen Sie es durch die Detektor-ID des Mitgliedskontos, für das Sie die Liste der vertrauenswürdigen Entitäten erstellen möchten, und durch andere Platzhalterwerte, die es sindshown in red.

    Wenn Sie diese neu erstellte Liste nicht aktivieren möchten, ersetzen Sie den Parameter --activate durch--no-activate.

    Der Parameter expected-bucket-owner ist optional. Unabhängig davon, ob Sie den Wert für diesen Parameter angeben oder nicht, wird GuardDuty überprüft, ob die mit diesem --detector-id Wert verknüpfte AWS-Konto ID den im --location Parameter angegebenen S3-Bucket besitzt. Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung dieser Liste eine Fehlermeldung.

Um eine Liste vertrauenswürdiger IP-Adressen hinzuzufügen und zu aktivieren

  1. Führen Sie Create ausIPSet. Stellen Sie sicher, dass Sie das Mitgliedskonto angeben, für das Sie diese Liste vertrauenswürdiger IP-Adressen erstellen möchten. detectorId Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/Konsole oder führen Sie die ListDetectorsAPI aus.

    Bei einer IP-Adressliste muss der Name Ihrer Liste innerhalb einer AWS-Konto UND-Region eindeutig sein.

    Einschränkungen bei der Benennung von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (_) enthalten.

  2. Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen und sicherstellen, dass Sie das durch die detector-id Detektor-ID des Mitgliedskontos ersetzen, für das Sie die Liste der vertrauenswürdigen IP-Adressen aktualisieren möchten.

    aws guardduty create-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-idErsetzen Sie es durch die Detektor-ID des Mitgliedskontos, für das Sie die Liste der vertrauenswürdigen IP-Adressen erstellen möchten, und durch andere Platzhalterwerte, die es sindshown in red.

    Wenn Sie diese neu erstellte Liste nicht aktivieren möchten, ersetzen Sie den Parameter --activate durch--no-activate.

    Der Parameter expected-bucket-owner ist optional. Wenn Sie die Konto-ID nicht angeben, der der S3-Bucket gehört, führt GuardDuty keine Überprüfung durch. Wenn Sie die Konto-ID für den expected-bucket-owner Parameter angeben, wird GuardDuty überprüft, ob diese AWS-Konto ID Eigentümer des im --location Parameter angegebenen S3-Buckets ist. Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung dieser Liste eine Fehlermeldung.

Um Bedrohungs-IP-Listen hinzuzufügen und zu aktivieren

  1. Führen Sie CreateThreatIntelSet. Stellen Sie sicher, dass Sie das detectorId Mitgliedskonto angeben, für das Sie diese Bedrohungs-IP-Adressliste erstellen möchten. Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/Konsole oder führen Sie die ListDetectorsAPI aus.

    Einschränkungen bei der Benennung von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (_) enthalten.

    Bei einer IP-Adressliste muss der Name Ihrer Liste innerhalb einer AWS-Konto UND-Region eindeutig sein.

  2. Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen und sicherstellen, dass Sie das durch die detector-id Melder-ID des Mitgliedskontos ersetzen, für das Sie die Bedrohungs-IP-Liste aktualisieren möchten.

    aws guardduty create-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-idErsetzen Sie es durch die Detektor-ID des Mitgliedskontos, für das Sie die Bedrohungs-IP-Liste erstellen möchten, und durch andere Platzhalterwerteshown in red, die

    Wenn Sie diese neu erstellte Liste nicht aktivieren möchten, ersetzen Sie den Parameter --activate durch--no-activate.

    Der Parameter expected-bucket-owner ist optional. Wenn Sie die Konto-ID nicht angeben, der der S3-Bucket gehört, führt GuardDuty keine Überprüfung durch. Wenn Sie die Konto-ID für den expected-bucket-owner Parameter angeben, wird GuardDuty überprüft, ob diese AWS-Konto ID Eigentümer des im --location Parameter angegebenen S3-Buckets ist. Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung dieser Liste eine Fehlermeldung.

Nachdem Sie eine Entitätsliste oder IP-Adressliste aktiviert haben, kann es einige Minuten dauern, bis diese Liste wirksam wird. Weitere Informationen finden Sie unter Wichtige Überlegungen zu GuardDuty Listen.