Arbeiten mit vertrauenswürdigen IP- und Bedrohungslisten - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Arbeiten mit vertrauenswürdigen IP- und Bedrohungslisten

Amazon GuardDuty überwacht die Sicherheit Ihrer AWS Umgebung, indem es VPC Flow Logs, AWS CloudTrail Event Logs und Logs analysiert und DNS verarbeitet. Sie können diesen Überwachungsumfang anpassen, indem Sie so konfigurieren GuardDuty , dass Warnmeldungen für vertrauenswürdige IP-Adressen IPs aus Ihren eigenen Listen für vertrauenswürdige IP-Adressen und Warnungen bei bekannten bösartigen Bedrohungen IPs aus Ihren eigenen Bedrohungslisten gestoppt werden.

Vertrauenswürdige IP-Adressen-Listen und Bedrohungslisten gelten nur für Datenverkehr, der an öffentlich routingfähige IP-Adressen geleitet wird. Die Auswirkungen einer Liste gelten für alle VPC Flow-Protokolle und CloudTrail Ergebnisse, gelten jedoch nicht für DNS Ergebnisse.

GuardDuty kann so konfiguriert werden, dass die folgenden Listentypen verwendet werden.

Liste vertrauenswürdiger IPs

Listen vertrauenswürdiger IP-Adressen bestehen aus IP-Adressen, denen Sie für die sichere Kommunikation mit Ihrer AWS Infrastruktur und Ihren Anwendungen vertraut haben. GuardDuty generiert kein VPC Datenflussprotokoll oder keine CloudTrail Ergebnisse für IP-Adressen auf vertrauenswürdigen IP-Listen. Sie können maximal 2000 IP-Adressen und CIDR Bereiche in eine einzige Liste vertrauenswürdiger IP-Adressen aufnehmen. Es kann immer nur eine Liste vertrauenswürdiger IPs pro AWS -Konto pro Region hochgeladen werden.

Liste der bedrohlichen IP-Adressen

Bedrohungslisten enthalten bekannte schädliche IP-Adressen. Diese Liste kann von Bedrohungsdaten von Drittanbietern stammen oder speziell für Ihr Unternehmen erstellt werden. Neben der Generierung von Ergebnissen aufgrund einer potenziell verdächtigen Aktivität werden GuardDuty auch Ergebnisse generiert, die auf diesen Bedrohungslisten basieren. Sie können maximal 250.000 IP-Adressen und CIDR Bereiche in eine einzige Bedrohungsliste aufnehmen. GuardDuty generiert nur Ergebnisse auf der Grundlage einer Aktivität, die IP-Adressen und CIDR Bereiche in Ihren Bedrohungslisten einbezieht. Die Ergebnisse werden nicht auf der Grundlage der Domainnamen generiert. Zu jedem Zeitpunkt können Sie AWS-Konto pro Region bis zu sechs hochgeladene Bedrohungslisten hochladen.

Anmerkung

Wenn Sie dieselbe IP-Adresse sowohl in eine Liste vertrauenswürdiger IP-Adressen als auch in eine Bedrohungsliste aufnehmen, wird sie zuerst von der Liste vertrauenswürdiger IP-Adressen verarbeitet und es wird keine Erkenntnis generiert.

In Umgebungen mit mehreren Konten können nur Benutzer mit GuardDuty Administratorkonten vertrauenswürdige IP-Adressen und Bedrohungslisten hinzufügen und verwalten. Listen vertrauenswürdiger IP-Adressen und Bedrohungslisten, die vom Administratorkonto hochgeladen werden, wirken sich negativ auf die GuardDuty Funktionalität der Mitgliedskonten aus. Mit anderen Worten: Bei Mitgliedskonten werden Ergebnisse auf der Grundlage von Aktivitäten GuardDuty generiert, bei denen es sich um bekannte bösartige IP-Adressen aus den Bedrohungslisten des Administratorkontos handelt, und es werden keine Ergebnisse generiert, die auf Aktivitäten basieren, die IP-Adressen aus den vertrauenswürdigen IP-Listen des Administratorkontos betreffen. Weitere Informationen finden Sie unter Mehrere Konten bei Amazon GuardDuty.

Listenformate

GuardDuty akzeptiert Listen in den folgenden Formaten.

Die maximale Größe der Datei, die die Liste zuverlässiger IPs oder die Bedrohungsliste hostet, ist 35 MB. In Ihren Listen für vertrauenswürdige IP-Adressen und Bedrohungslisten müssen IP-Adressen und CIDR Bereiche jeweils eine pro Zeile erscheinen. Es werden nur IPv4 Adressen akzeptiert.

  • Klartext () TXT

    Dieses Format unterstützt sowohl CIDR Block- als auch einzelne IP-Adressen. Die folgende Beispielliste verwendet das Plaintext (TXT) -Format.

    192.0.2.0/24 198.51.100.1 203.0.113.1
  • Strukturierter Ausdruck von Bedrohungsinformationen () STIX

    Dieses Format unterstützt sowohl CIDR Block- als auch einzelne IP-Adressen. In der folgenden Beispielliste wird das STIX Format verwendet.

    <?xml version="1.0" encoding="UTF-8"?> <stix:STIX_Package xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:stix="http://stix.mitre.org/stix-1" xmlns:stixCommon="http://stix.mitre.org/common-1" xmlns:ttp="http://stix.mitre.org/TTP-1" xmlns:cybox="http://cybox.mitre.org/cybox-2" xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2" xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2" xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1" xmlns:example="http://example.com/" xsi:schemaLocation=" http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd" id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16" version="1.2"> <stix:Observables cybox_major_version="1" cybox_minor_version="1"> <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236"> <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab"> <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784"> <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391"> <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr"> <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value> </cybox:Properties> </cybox:Object> </cybox:Observable> </stix:Observables> </stix:STIX_Package>
  • Öffnen Sie Threat Exchange (OTX) TM CSV

    Dieses Format unterstützt sowohl CIDR Block- als auch einzelne IP-Adressen. In der folgenden Beispielliste wird das OTXTM CSV Format verwendet.

    Indicator type, Indicator, Description CIDR, 192.0.2.0/24, example IPv4, 198.51.100.1, example IPv4, 203.0.113.1, example
  • FireEyeTM steht SIGHT für Threat Intelligence CSV

    Dieses Format unterstützt sowohl CIDR Block- als auch einzelne IP-Adressen. Die folgende Beispielliste verwendet ein FireEyeTM CSV Format.

    reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime 01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400 01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400 01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
  • Proofpoint TM ET Intelligence Feed CSV

    Dieses Format unterstützt ausschließlich individuelle IP-Adressen. Die folgende Beispielliste verwendet das Proofpoint CSV Format. Der Parameter ports ist optional. Wenn Sie den Port überspringen, achten Sie darauf, am Ende ein Komma (,) zu hinterlassen.

    ip, category, score, first_seen, last_seen, ports (|) 198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
  • AlienVaultTM Reputation Feed

    Dieses Format unterstützt ausschließlich individuelle IP-Adressen. Die folgende Beispielliste verwendet das AlienVault-Format.

    198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3 203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3

Erforderliche Berechtigungen für das Hochladen von Listen mit vertrauenswürdigen IPs und Bedrohungslisten

Verschiedene IAM Identitäten erfordern spezielle Berechtigungen, um mit vertrauenswürdigen IP-Listen und Bedrohungslisten in GuardDuty arbeiten zu können. Eine Identität, der die verwaltete Richtlinie AmazonGuardDutyFullAccess angefügt ist, kann nur hochgeladene Listen mit vertrauenswürdigen IPs und Bedrohungslisten umbenennen und deaktivieren.

Um verschiedenen Identitäten vollen Zugriff auf die Arbeit mit vertrauenswürdigen IP-Listen und Bedrohungslisten zu erteilen (dies umfasst neben dem Umbenennen und Deaktivieren auch das Hinzufügen, Aktivieren, Löschen und Aktualisieren des Speicherorts oder der Namen der Listen), stellen Sie sicher, dass die folgenden Aktionen in der einem Benutzer, einer Gruppe oder einer Rolle zugewiesenen Berechtigungsrichtlinie vorhanden sind:

{ "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }
Wichtig

Diese Aktionen sind nicht in der verwalteten Richtlinie AmazonGuardDutyFullAccess enthalten.

Verwenden der serverseitigen Verschlüsselung für Listen vertrauenswürdiger IPs und Bedrohungslisten

GuardDuty unterstützt die folgenden Verschlüsselungstypen für Listen: SSE - AES256 und SSE -KMS. SSE-C wird nicht unterstützt. Weitere Informationen zu Verschlüsselungstypen für S3 finden Sie unter Schützen von Daten mit serverseitiger Verschlüsselung.

Wenn Ihre Liste serverseitig verschlüsselt ist, müssen SSE KMS Sie der GuardDuty dienstbezogenen Rolle die AWSServiceRoleForAmazonGuardDutyBerechtigung zum Entschlüsseln der Datei erteilen, um die Liste zu aktivieren. Fügen Sie der KMS Schlüsselrichtlinie die folgende Aussage hinzu und ersetzen Sie die Konto-ID durch Ihre eigene:

{ "Sid": "AllowGuardDutyServiceRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }, "Action": "kms:Decrypt*", "Resource": "*" }

Hinzufügen und Aktivieren einer vertrauenswürdigen IP-Liste oder einer Bedrohungs-IP-Liste

Wählen Sie eine der folgenden Zugriffsmethoden, um eine vertrauenswürdige IP-Liste oder eine Bedrohungs-IP-Liste hinzuzufügen und zu aktivieren.

Console
(Optional) Schritt 1: Abrufen des Speicherorts URL Ihrer Liste
  1. Öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im Navigationsbereich die Option Buckets aus.

  3. Wählen Sie den Amazon-S3-Bucket-Namen, der die spezifische Liste enthält, die Sie hinzufügen möchten.

  4. Wählen Sie den Namen des Objekts (Liste), um dessen Details anzuzeigen.

  5. Kopieren Sie auf der Registerkarte Eigenschaften das S3 URI für dieses Objekt.

Schritt 2: Hinzufügen einer Liste vertrauenswürdiger IP-Adressen oder einer Bedrohungsliste
Wichtig

Es kann immer nur eine Liste vertrauenswürdiger IPs hochgeladen werden. In ähnlicher Weise können Sie bis zu sechs Bedrohungslisten haben.

  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  2. Wählen Sie im Navigationsbereich Listen.

  3. Klicken Sie auf der Seite List management auf Add a trusted IP list oder Add a threat list.

  4. Je nach Ihrer Auswahl wird ein Dialogfeld angezeigt. Gehen Sie wie folgt vor:

    1. In Name der Liste geben Sie einen Namen für Ihre Liste ein.

      Einschränkungen bei der Benennung von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (_) enthalten.

    2. Geben Sie unter Standort den Ort an, an dem Sie Ihre Liste hochgeladen haben. Falls Sie den Standort noch nicht haben, finden Sie weitere Informationen unter Step 1: Fetching location URL of your list.

      Format des Standorts URL
      • https://s3.amazonaws.com/bucket.name/file.txt

      • https://s3-aws-region.amazonaws.com/bucket.name/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • http://bucket.s3-aws-region.amazonaws.com/file.txt

      • s3://bucket.name/file.txt

    3. Aktivieren Sie das Kontrollkästchen I agree.

    4. Wählen Sie Liste hinzufügen. Standardmäßig ist der Status der hinzugefügten Liste Inaktiv. Damit die Liste gültig ist, müssen Sie sie aktivieren.

Schritt 3: Hinzufügen einer Liste vertrauenswürdiger IP-Adressen oder einer Bedrohungsliste
  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  2. Wählen Sie im Navigationsbereich Listen.

  3. Wählen Sie auf der Seite Listenverwaltung die Liste aus, die Sie aktivieren möchten.

  4. Wählen Sie Aktionen und dann Aktivieren. Die Aktivierung der Liste dauert bis zu 15 Minuten.

API/CLI
Für Listen vertrauenswürdiger IPs
  • Führen Sie C ausreateIPSet. Stellen Sie sicher, dass Sie die detectorId des Mitgliedskontos angeben, für das Sie diese Liste vertrauenswürdiger IP-Adressen erstellen möchten.

    Einschränkungen bei der Benennung von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (_) enthalten.

    • Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface -Befehl ausführen und sicherstellen, dass Sie die detector-id durch die Detektor-ID des Mitgliedskontos ersetzen, für das Sie die Liste der vertrauenswürdigen IP-Adressen aktualisieren möchten.

      aws guardduty create-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --format Plaintext --location https://s3.amazonaws.com/amzn-s3-demo-bucket2/DOC-EXAMPLE-SOURCE-FILE.format --activate
Für Bedrohungslisten
  • Lauf. CreateThreatIntelSet Stellen Sie sicher, dass Sie die detectorId des Mitgliedskontos angeben, für das Sie diese Bedrohungsliste erstellen möchten.

    • Alternativ können Sie dies tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen. Stellen Sie sicher, dass Sie die detectorId des Mitgliedskontos angeben, für das Sie eine Bedrohungsliste erstellen möchten.

      aws guardduty create-threat-intel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --format Plaintext --location https://s3.amazonaws.com/amzn-s3-demo-bucket2/DOC-EXAMPLE-SOURCE-FILE.format --activate
Anmerkung

Nachdem Sie eine IP-Liste aktiviert oder aktualisiert haben, GuardDuty kann es bis zu 15 Minuten dauern, bis die Liste synchronisiert ist.

Aktualisieren von Listen zuverlässiger IPs und Bedrohungslisten

Sie können den Namen einer Liste oder die IP-Adressen aktualisieren, die einer Liste hinzugefügt wurden, die bereits hinzugefügt und aktiviert wurde. Wenn Sie eine Liste aktualisieren, müssen Sie sie erneut aktivieren, GuardDuty um die neueste Version der Liste verwenden zu können.

Wählen Sie eine der Zugriffsmethoden, um eine vertrauenswürdige IP oder Bedrohungsliste zu aktualisieren.

Console
  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  2. Wählen Sie im Navigationsbereich Listen.

  3. Wählen Sie auf der Seite Listenverwaltung den Satz vertrauenswürdiger IP-Adressen oder eine Bedrohungsliste aus, die Sie aktualisieren möchten.

  4. Wählen Sie Aktionen und anschließend Bearbeiten.

  5. Aktualisieren Sie die Informationen im Dialogfeld Liste aktualisieren nach Bedarf.

    Einschränkungen bei der Benennung von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (_) enthalten.

  6. Aktivieren Sie das Kontrollkästchen Ich stimme zu und wählen Sie dann Liste aktualisieren. Der Wert in der Spalte Status ändert sich auf Inaktiv.

  7. Reaktivierung der aktualisierten Liste
    1. Wählen Sie auf der Seite Listenverwaltung die Liste aus, die Sie aktivieren möchten.

    2. Wählen Sie Aktionen und dann Aktivieren.

API/CLI
  1. Führen Sie Folgendes aus:UpdateIPSetum eine Liste vertrauenswürdiger IP-Adressen zu aktualisieren.

    • Alternativ können Sie den folgenden AWS CLI Befehl ausführen, um eine Liste vertrauenswürdiger IP-Adressen zu aktualisieren und dabei sicherzustellen, dass Sie die detector-id durch die Detektor-ID des Mitgliedskontos ersetzen, für das Sie die Liste der vertrauenswürdigen IP-Adressen aktualisieren möchten.

      aws guardduty update-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --ip-set-id d4b94fc952d6912b8f3060768example --activate
  2. Führen Sie Folgendes aus:UpdateThreatIntelSetum eine Bedrohungsliste zu aktualisieren

    • Alternativ können Sie den folgenden AWS CLI Befehl ausführen, um eine Bedrohungsliste zu aktualisieren und dabei sicherzustellen, dass Sie die durch die detector-id Detektor-ID des Mitgliedskontos ersetzen, für das Sie die Bedrohungsliste aktualisieren möchten.

      aws guardduty update-threatintel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --threat-intel-set-id d4b94fc952d6912b8f3060768example --activate

Deaktivieren oder Löschen einer vertrauenswürdigen IP- oder Bedrohungsliste

Wählen Sie eine der Zugriffsmethoden, um eine Liste vertrauenswürdiger IP-Adressen oder Bedrohungen zu löschen (mithilfe der KonsoleCLI) oder zu deaktivieren (mithilfe vonAPI/).

Console
  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  2. Wählen Sie im Navigationsbereich Listen.

  3. Wählen Sie auf der Seite Listenverwaltung die Liste aus, die Sie löschen möchten.

  4. Wählen Sie Aktionen und anschließend Löschen.

  5. Bestätigen Sie die Aktion und wählen Sie Löschen. Die spezifische Liste ist in der Tabelle nicht mehr verfügbar.

API/CLI
  1. Für eine Liste vertrauenswürdiger IPs

    Führen Sie Folgendes aus:UpdateIPSetum eine Liste vertrauenswürdiger IP-Adressen zu aktualisieren.

    • Alternativ können Sie den folgenden AWS CLI Befehl ausführen, um eine Liste vertrauenswürdiger IP-Adressen zu aktualisieren und dabei sicherzustellen, dass Sie die detector-id durch die Detektor-ID des Mitgliedskontos ersetzen, für das Sie die Liste der vertrauenswürdigen IP-Adressen aktualisieren möchten.

      Um die detectorId für Ihr Konto und Ihre aktuelle Region zu finden, gehen Sie in der https://console.aws.amazon.com/guardduty/Konsole auf die Seite Einstellungen oder führen Sie den ListDetectors API.

      aws guardduty update-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --ip-set-id d4b94fc952d6912b8f3060768example --no-activate
  2. Für eine Bedrohungsliste

    Führen Sie Folgendes aus:UpdateThreatIntelSetum eine Bedrohungsliste zu aktualisieren

    • Alternativ können Sie den folgenden AWS CLI Befehl ausführen, um eine Liste vertrauenswürdiger IP-Adressen zu aktualisieren und dabei sicherzustellen, dass Sie die durch die detector-id Detektor-ID des Mitgliedskontos ersetzen, für das Sie die Bedrohungsliste aktualisieren möchten.

      aws guardduty update-threatintel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --threat-intel-set-id d4b94fc952d6912b8f3060768example --no-activate