Arbeiten mit vertrauenswürdigen IP- und Bedrohungslisten - Amazon GuardDuty
ListenformateErforderliche Berechtigungen für das Hochladen von Listen mit vertrauenswürdigen IPs und BedrohungslistenVerwenden der serverseitigen Verschlüsselung für Listen vertrauenswürdiger IPs und BedrohungslistenHinzufügen und Aktivieren einer vertrauenswürdigen IP-Liste oder einer Bedrohungs-IP-ListeAktualisieren von Listen zuverlässiger IPs und BedrohungslistenDeaktivieren oder Löschen einer vertrauenswürdigen IP- oder Bedrohungsliste

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Arbeiten mit vertrauenswürdigen IP- und Bedrohungslisten

Amazon GuardDuty überwacht die Sicherheit Ihrer AWS Umgebung, indem es VPC-Flow-Logs, AWS CloudTrail Event-Logs und DNS-Logs analysiert und verarbeitet. Sie können diesen Überwachungsumfang anpassen, indem Sie ihn so konfigurieren GuardDuty , dass Benachrichtigungen für vertrauenswürdige IP-Adressen aus Ihren eigenen Listen für vertrauenswürdige IP-Adressen und Warnungen vor bekannten bösartigen IP-Adressen aus Ihren eigenen Bedrohungslisten gestoppt werden.

Vertrauenswürdige IP-Adressen-Listen und Bedrohungslisten gelten nur für Datenverkehr, der an öffentlich routingfähige IP-Adressen geleitet wird. Die Auswirkungen einer Liste gelten für alle VPC-Flow-Protokolle und CloudTrail -Ergebnisse, gelten jedoch nicht für DNS-Ergebnisse.

GuardDuty kann für die Verwendung der folgenden Listentypen konfiguriert werden.

Liste vertrauenswürdiger IPs

Listen vertrauenswürdiger IP-Adressen bestehen aus IP-Adressen, denen Sie für die sichere Kommunikation mit Ihrer AWS Infrastruktur und Ihren Anwendungen vertraut haben. GuardDuty generiert kein VPC-Flow-Protokoll oder CloudTrail Ergebnisse für IP-Adressen auf vertrauenswürdigen IP-Listen. Sie können maximal 2000 IP-Adressen und CIDR-Bereiche in einer einzigen Liste zuverlässiger IPs aufnehmen. Es kann immer nur eine Liste vertrauenswürdiger IPs pro AWS -Konto pro Region hochgeladen werden.

Liste der bedrohlichen IP-Adressen

Bedrohungslisten enthalten bekannte schädliche IP-Adressen. Diese Liste kann von Bedrohungsdaten von Drittanbietern stammen oder speziell für Ihr Unternehmen erstellt werden. Generiert nicht nur Ergebnisse aufgrund einer potenziell verdächtigen Aktivität, GuardDuty sondern generiert auch Ergebnisse auf der Grundlage dieser Bedrohungslisten. Sie können maximal 250.000 IP-Adressen und CIDR-Bereiche in eine einzige Bedrohungsliste aufnehmen. GuardDuty generiert nur Ergebnisse auf der Grundlage einer Aktivität, die IP-Adressen und CIDR-Bereiche in Ihren Bedrohungslisten umfasst. Die Ergebnisse werden nicht auf der Grundlage der Domainnamen generiert. Zu jedem Zeitpunkt können Sie AWS-Konto pro Region bis zu sechs hochgeladene Bedrohungslisten haben.

Anmerkung

Wenn Sie dieselbe IP-Adresse sowohl in eine Liste vertrauenswürdiger IP-Adressen als auch in eine Bedrohungsliste aufnehmen, wird sie zuerst von der Liste vertrauenswürdiger IP-Adressen verarbeitet und es wird keine Erkenntnis generiert.

In Umgebungen mit mehreren Konten können nur Benutzer mit GuardDuty Administratorkonten vertrauenswürdige IP-Adressen und Bedrohungslisten hinzufügen und verwalten. Listen vertrauenswürdiger IP-Adressen und Bedrohungslisten, die vom Administratorkonto hochgeladen werden, wirken sich negativ auf die GuardDuty Funktionalität der Mitgliedskonten aus. Mit anderen Worten: Bei Mitgliedskonten werden Ergebnisse auf der Grundlage von Aktivitäten GuardDuty generiert, bei denen es sich um bekannte bösartige IP-Adressen aus den Bedrohungslisten des Administratorkontos handelt, und es werden keine Ergebnisse generiert, die auf Aktivitäten basieren, die IP-Adressen aus den vertrauenswürdigen IP-Listen des Administratorkontos betreffen. Weitere Informationen finden Sie unter Verwaltung mehrerer Konten bei Amazon GuardDuty.

Listenformate

GuardDuty akzeptiert Listen in den folgenden Formaten.

Die maximale Größe der Datei, die die Liste zuverlässiger IPs oder die Bedrohungsliste hostet, ist 35 MB. In den Listen der vertrauenswürdigen IPs und der bedrohlichen IPs müssen die IP-Adressen und CIDR-Bereiche einzeln pro Zeile erscheinen. Es werden ausschließlich IPv4-Adressen akzeptiert.

  • Klartext (TXT)

    Dieses Format unterstützt sowohl CIDR-Block- als auch individuelle IP-Adressen. Die folgende Beispielliste verwendet das Klartext-Format (TXT).

    192.0.2.0/24
198.51.100.1
203.0.113.1

  • Structured Threat Information Expression (STIX)

    Dieses Format unterstützt sowohl CIDR-Block- als auch individuelle IP-Adressen. Die folgende Beispielliste verwendet das STIX-Format.

    <?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:ttp="http://stix.mitre.org/TTP-1"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:example="http://example.com/"
    xsi:schemaLocation="
    http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd
    http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd
    http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd
    http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd
    http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd
    http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd"
    id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16"
    version="1.2">
    <stix:Observables cybox_major_version="1" cybox_minor_version="1">
        <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236">
            <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab">
            <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784">
            <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
    </stix:Observables>
</stix:STIX_Package>

  • Open Threat Exchange (OTX)TM CSV

    Dieses Format unterstützt sowohl CIDR-Block- als auch individuelle IP-Adressen. Die folgende Beispielliste verwendet das OTXTM-CSV-Format.

    Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example

  • FireEyeTM iSight Threat Intelligence CSV

    Dieses Format unterstützt sowohl CIDR-Block- als auch individuelle IP-Adressen. Die folgende Beispielliste verwendet ein FireEyeTM-CSV-Format.

    reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

  • ProofpointTM ET Intelligence Feed CSV

    Dieses Format unterstützt ausschließlich individuelle IP-Adressen. Die folgende Beispielliste verwendet das Proofpoint-CSV-Format. Der Parameter ports ist optional. Wenn Sie den Port überspringen, achten Sie darauf, am Ende ein Komma (,) zu hinterlassen.

    ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80

  • AlienVaultTM Reputationsfeed

    Dieses Format unterstützt ausschließlich individuelle IP-Adressen. Die folgende Beispielliste verwendet das AlienVault-Format.

    198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3

Erforderliche Berechtigungen für das Hochladen von Listen mit vertrauenswürdigen IPs und Bedrohungslisten

Verschiedene IAM-Identitäten erfordern spezielle Berechtigungen, um mit vertrauenswürdigen IP-Listen und Bedrohungslisten in arbeiten zu können. GuardDuty Eine Identität, der die verwaltete Richtlinie AmazonGuardDutyFullAccess angefügt ist, kann nur hochgeladene Listen mit vertrauenswürdigen IPs und Bedrohungslisten umbenennen und deaktivieren.

Um verschiedenen Identitäten vollen Zugriff auf die Arbeit mit vertrauenswürdigen IP-Listen und Bedrohungslisten zu erteilen (dies umfasst neben dem Umbenennen und Deaktivieren auch das Hinzufügen, Aktivieren, Löschen und Aktualisieren des Speicherorts oder der Namen der Listen), stellen Sie sicher, dass die folgenden Aktionen in der einem Benutzer, einer Gruppe oder einer Rolle zugewiesenen Berechtigungsrichtlinie vorhanden sind: 

{
    "Effect": "Allow",
    "Action": [
        "iam:PutRolePolicy",
        "iam:DeleteRolePolicy"
    ],
    "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
Wichtig

Diese Aktionen sind nicht in der verwalteten Richtlinie AmazonGuardDutyFullAccess enthalten.

Verwenden der serverseitigen Verschlüsselung für Listen vertrauenswürdiger IPs und Bedrohungslisten

GuardDuty unterstützt die folgenden Verschlüsselungstypen für Listen: SSE-AES256 und SSE-KMS. SSE-C wird nicht unterstützt. Weitere Informationen zu Verschlüsselungstypen für S3 finden Sie unter Schützen von Daten mit serverseitiger Verschlüsselung.

Wenn Ihre Liste mit serverseitiger Verschlüsselung SSE-KMS verschlüsselt ist, müssen Sie der GuardDuty dienstbezogenen Rolle die AWSServiceRoleForAmazonGuardDutyBerechtigung zum Entschlüsseln der Datei erteilen, um die Liste zu aktivieren. Fügen Sie der KMS-Schlüsselrichtlinie die folgende Anweisung hinzu und ersetzen Sie die Konto-ID durch Ihre eigene: 

{
    "Sid": "AllowGuardDutyServiceRole",
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    },
    "Action": "kms:Decrypt*",
    "Resource": "*"
}

Hinzufügen und Aktivieren einer vertrauenswürdigen IP-Liste oder einer Bedrohungs-IP-Liste

Wählen Sie eine der folgenden Zugriffsmethoden, um eine vertrauenswürdige IP-Liste oder eine Bedrohungs-IP-Liste hinzuzufügen und zu aktivieren.

Console
(Optional) Schritt 1: Den Standort-URL Ihrer Liste abrufen

  1. Öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im Navigationsbereich die Option Buckets aus.

  3. Wählen Sie den Amazon-S3-Bucket-Namen, der die spezifische Liste enthält, die Sie hinzufügen möchten.

  4. Wählen Sie den Namen des Objekts (Liste), um dessen Details anzuzeigen.

  5. Kopieren Sie auf der Registerkarte Eigenschaften den S3-URI für dieses Objekt.

Schritt 2: Hinzufügen einer Liste vertrauenswürdiger IP-Adressen oder einer Bedrohungsliste
Wichtig

Es kann immer nur eine Liste vertrauenswürdiger IPs hochgeladen werden. In ähnlicher Weise können Sie bis zu sechs Bedrohungslisten haben.

  1. Öffnen Sie die Konsole unter https://console.aws.amazon.com/guardduty/. GuardDuty

  2. Wählen Sie im Navigationsbereich Listen.

  3. Klicken Sie auf der Seite List management auf Add a trusted IP list oder Add a threat list.

  4. Je nach Ihrer Auswahl wird ein Dialogfeld angezeigt. Gehen Sie wie folgt vor:

    1. In Name der Liste geben Sie einen Namen für Ihre Liste ein.

      Einschränkungen bei der Benennung von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (_) enthalten.

    2. Geben Sie unter Standort den Ort an, an dem Sie Ihre Liste hochgeladen haben. Falls Sie den Standort noch nicht haben, finden Sie weitere Informationen unter Step 1: Fetching location URL of your list.

      Format der Standort-URL

      • https://s3.amazonaws.com/bucket.name/file.txt

      • https://s3-aws-region.amazonaws.com/bucket.name/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • http://bucket.s3-aws-region.amazonaws.com/file.txt

      • s3://bucket.name/file.txt

    3. Aktivieren Sie das Kontrollkästchen I agree.

    4. Wählen Sie Liste hinzufügen. Standardmäßig ist der Status der hinzugefügten Liste Inaktiv. Damit die Liste gültig ist, müssen Sie sie aktivieren.

Schritt 3: Hinzufügen einer Liste vertrauenswürdiger IP-Adressen oder einer Bedrohungsliste

  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  2. Wählen Sie im Navigationsbereich Listen.

  3. Wählen Sie auf der Seite Listenverwaltung die Liste aus, die Sie aktivieren möchten.

  4. Wählen Sie Aktionen und dann Aktivieren. Die Aktivierung der Liste dauert bis zu 15 Minuten.

API/CLI
Für Listen vertrauenswürdiger IPs

  • Führen Sie CreateIPSet aus. Stellen Sie sicher, dass Sie die detectorId des Mitgliedskontos angeben, für das Sie diese Liste vertrauenswürdiger IP-Adressen erstellen möchten.

    Einschränkungen bei der Benennung von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (_) enthalten.

    • Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface -Befehl ausführen und sicherstellen, dass Sie die detector-id durch die Detektor-ID des Mitgliedskontos ersetzen, für das Sie die Liste der vertrauenswürdigen IP-Adressen aktualisieren möchten.

      aws guardduty create-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --format Plaintext --location https://s3.amazonaws.com/DOC-EXAMPLE-BUCKET2/DOC-EXAMPLE-SOURCE-FILE.format --activate
Für Bedrohungslisten

  • Führen Sie CreateThreatIntelSet. Stellen Sie sicher, dass Sie die detectorId des Mitgliedskontos angeben, für das Sie diese Bedrohungsliste erstellen möchten.

    • Sie können dies auch tun, indem Sie den folgenden Befehl ausführen. AWS Command Line Interface Stellen Sie sicher, dass Sie die detectorId des Mitgliedskontos angeben, für das Sie eine Bedrohungsliste erstellen möchten.

      aws guardduty create-threat-intel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --format Plaintext --location https://s3.amazonaws.com/DOC-EXAMPLE-BUCKET2/DOC-EXAMPLE-SOURCE-FILE.format --activate
Anmerkung

Nachdem Sie eine IP-Liste aktiviert oder aktualisiert haben, GuardDuty kann es bis zu 15 Minuten dauern, bis die Liste synchronisiert ist.

Aktualisieren von Listen zuverlässiger IPs und Bedrohungslisten

Sie können den Namen einer Liste oder die IP-Adressen aktualisieren, die einer Liste hinzugefügt wurden, die bereits hinzugefügt und aktiviert wurde. Wenn Sie eine Liste aktualisieren, müssen Sie sie erneut aktivieren, GuardDuty um die neueste Version der Liste verwenden zu können.

Wählen Sie eine der Zugriffsmethoden, um eine vertrauenswürdige IP oder Bedrohungsliste zu aktualisieren.

Console

  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  2. Wählen Sie im Navigationsbereich Listen.

  3. Wählen Sie auf der Seite Listenverwaltung den Satz vertrauenswürdiger IP-Adressen oder eine Bedrohungsliste aus, die Sie aktualisieren möchten.

  4. Wählen Sie Aktionen und anschließend Bearbeiten.

  5. Aktualisieren Sie die Informationen im Dialogfeld Liste aktualisieren nach Bedarf.

    Einschränkungen bei der Benennung von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (_) enthalten.

  6. Aktivieren Sie das Kontrollkästchen Ich stimme zu und wählen Sie dann Liste aktualisieren. Der Wert in der Spalte Status ändert sich auf Inaktiv.

  7. Reaktivierung der aktualisierten Liste

    1. Wählen Sie auf der Seite Listenverwaltung die Liste aus, die Sie aktivieren möchten.

    2. Wählen Sie Aktionen und dann Aktivieren.

API/CLI

  1. Führen Sie UpdateIPSet aus, um eine Liste vertrauenswürdiger IP-Adressen zu aktualisieren.

    • Sie können dies auch tun, indem Sie den folgenden AWS CLI -Befehl ausführen und sicherstellen, dass Sie die detector-id durch die Detektor-ID des Mitgliedskontos ersetzen, für das Sie die Liste der vertrauenswürdigen IP-Adressen aktualisieren möchten.

      aws guardduty update-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --ip-set-id d4b94fc952d6912b8f3060768example --activate

  2. Führen Sie UpdateThreatIntelSet aus, um eine Bedrohungsliste zu aktualisieren

    • Sie können dies auch tun, indem Sie den folgenden AWS CLI -Befehl ausführen und sicherstellen, dass Sie die detector-id durch die Detektor-ID des Mitgliedskontos ersetzen, für das Sie die Bedrohungsliste aktualisieren möchten.

      aws guardduty update-threatintel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --threat-intel-set-id d4b94fc952d6912b8f3060768example --activate

Deaktivieren oder Löschen einer vertrauenswürdigen IP- oder Bedrohungsliste

Wählen Sie eine der Zugriffsmethoden, um eine Liste vertrauenswürdiger IPs oder eine Bedrohungsliste zu löschen (mithilfe der Konsole) oder zu deaktivieren (mithilfe der API/CLI).

Console

  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  2. Wählen Sie im Navigationsbereich Listen.

  3. Wählen Sie auf der Seite Listenverwaltung die Liste aus, die Sie löschen möchten.

  4. Wählen Sie Aktionen und anschließend Löschen.

  5. Bestätigen Sie die Aktion und wählen Sie Löschen. Die spezifische Liste ist in der Tabelle nicht mehr verfügbar.

API/CLI
  1. Für eine Liste vertrauenswürdiger IPs

    Führen Sie UpdateIPSet aus, um eine Liste vertrauenswürdiger IP-Adressen zu aktualisieren.

    • Sie können dies auch tun, indem Sie den folgenden AWS CLI -Befehl ausführen und sicherstellen, dass Sie die detector-id durch die Detektor-ID des Mitgliedskontos ersetzen, für das Sie die Liste der vertrauenswürdigen IP-Adressen aktualisieren möchten.

      Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite Einstellungen in der https://console.aws.amazon.com/guardduty/ -Konsole.

      aws guardduty update-ip-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --ip-set-id d4b94fc952d6912b8f3060768example --no-activate
  2. Für eine Bedrohungsliste

    Führen Sie UpdateThreatIntelSet aus, um eine Bedrohungsliste zu aktualisieren

    • Alternativ können Sie den folgenden AWS CLI -Befehl ausführen, um eine Liste vertrauenswürdiger IPs zu aktualisieren. Achten Sie dabei darauf, die detector-id durch die Detektor-ID des Mitgliedskontos zu ersetzen, für das Sie die Bedrohungsliste aktualisieren möchten.

      aws guardduty update-threatintel-set --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name AnyOrganization List --threat-intel-set-id d4b94fc952d6912b8f3060768example --no-activate