Añadir y activar una lista de entidades o una lista de IP - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Añadir y activar una lista de entidades o una lista de IP

Las listas de entidades y las listas de direcciones IP le ayudan a personalizar las capacidades de detección de amenazas de GuardDuty. Para obtener más información sobre estas listas, consulteDescripción de las listas de entidades y las listas de direcciones IP. Para gestionar los datos fiables y de inteligencia sobre amenazas de su AWS entorno, GuardDuty recomienda utilizar listas de entidades. Antes de comenzar, consulte Configuración de requisitos previos para listas de entidades y listas de direcciones IP.

Elija uno de los siguientes métodos de acceso para agregar y activar una lista de entidades de confianza, una lista de entidades de amenazas, una lista de IP de confianza o una lista de IP de amenazas.

Console
(Opcional) Paso 1: obtención de la URL de ubicación de la lista

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

  2. En el panel de navegación, elija Buckets.

  3. Elija el nombre del bucket de Amazon S3 que contiene la lista específica que desea agregar.

  4. Elija el nombre del objeto (lista) para consultar sus detalles.

  5. En la pestaña Propiedades, copie el URI de S3 de este objeto.

Paso 2: Añadir datos fiables o de inteligencia sobre amenazas

  1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación, elija Listas.

  3. En la página Listas, seleccione la pestaña Listas de entidades o Listas de direcciones IP.

  4. En función de la pestaña seleccionada, elija añadir una lista de confianza o una lista de amenazas.

  5. En el cuadro de diálogo para añadir una lista de amenazas o de confianza, lleve a cabo los siguientes pasos:

    1. En Nombre de la lista, ingrese un nombre para la lista.

      Restricciones de nombre de la lista: el nombre de la lista puede incluir letras minúsculas, mayúsculas, números, guión (-) y guión bajo (_).

      En el caso de una lista de direcciones IP, el nombre de la lista debe ser único dentro de una región Cuenta de AWS y.

    2. En Ubicación, indique la ubicación en la que ha cargado la lista. Si aún no la tiene, consulte Step 1: Fetching location URL of your list.

      Formato de la URL de ubicación

      • https://s3.amazonaws.com/bucket.name/file.txt

      • https://s3-aws-region.amazonaws.com/bucket.name/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • http://bucket.s3-aws-region.amazonaws.com/file.txt

      • s3://bucket.name/file.txt

    3. (Opcional) Para el propietario esperado del bucket, puede introducir el Cuenta de AWS ID propietario del bucket de Amazon S3 especificado en el campo Ubicación.

      Si no especificas un Cuenta de AWS ID de propietario, se GuardDuty comporta de forma diferente para las listas de entidades y las listas de direcciones IP. En el caso de las listas de entidades, GuardDuty validará que la cuenta del miembro actual sea propietaria del bucket de S3 especificado en el campo Ubicación. En el caso de las listas de direcciones IP, si no especificas un propietario de Cuenta de AWS ID, GuardDuty no realizará ninguna validación.

      Si GuardDuty descubre que este bucket de S3 no pertenece al ID de cuenta especificado, aparecerá un mensaje de error al activar la lista.

    4. Active la casilla I agree.

    5. Elija Add list. De forma predeterminada, el estado de la lista agregada es Inactivo. Para que la lista sea efectiva, debe activarla.

Paso 3: Activar una lista de entidades o una lista de direcciones IP

  1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación, elija Listas.

  3. En la página Listas, seleccione la pestaña en la que desee activar la lista: listas de entidades o listas de direcciones IP.

  4. Seleccione una lista que desee activar. Esto habilitará el menú Acción y Edición.

  5. Selecciona Acción y, a continuación, selecciona Activar.

API/CLI
Para añadir y activar una lista de entidades de confianza

  1. Ejecute CreateTrustedEntitySet. Asegúrese de proporcionar la cuenta detectorId de miembro para la que desea crear esta lista de entidades de confianza. Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la ListDetectorsAPI.

    Restricciones de nombre de la lista: el nombre de la lista puede incluir letras minúsculas, mayúsculas, números, guión (-) y guión bajo (_).

  2. Como alternativa, puedes hacerlo ejecutando el siguiente AWS Command Line Interface comando: 

    aws guardduty create-trusted-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-idSustitúyalo por el identificador del detector de la cuenta de miembro para la que va a crear la lista de entidades de confianza y por otros valores de marcador de posición que lo seanshown in red.

    Si no desea activar esta lista recién creada, sustituya el parámetro --activate por. --no-activate

    El parámetro expected-bucket-owner es opcional. Especifica o no el valor de este parámetro, GuardDuty valida que el Cuenta de AWS ID asociado a este --detector-id valor sea propietario del bucket de S3 especificado en el --location parámetro. Si GuardDuty descubre que este bucket de S3 no pertenece al ID de cuenta especificado, aparecerá un mensaje de error al activar esta lista.

Para añadir y activar listas de entidades amenazantes

  1. Ejecute CreateThreatEntitySet. Asegúrese de proporcionar la cuenta detectorId de miembro para la que desea crear esta lista de entidades de amenaza. Para encontrar la detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

    Restricciones de nombre de la lista: el nombre de la lista puede incluir letras minúsculas, mayúsculas, números, guión (-) y guión bajo (_).

  2. Como alternativa, puedes hacerlo ejecutando el siguiente AWS Command Line Interface comando: 

    aws guardduty create-threat-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-idSustitúyalo por el identificador del detector de la cuenta de miembro para la que va a crear la lista de entidades de confianza y por otros valores de marcador de posición que lo seanshown in red.

    Si no desea activar esta lista recién creada, sustituya el parámetro --activate por. --no-activate

    El parámetro expected-bucket-owner es opcional. Especifica o no el valor de este parámetro, GuardDuty valida que el Cuenta de AWS ID asociado a este --detector-id valor sea propietario del bucket de S3 especificado en el --location parámetro. Si GuardDuty descubre que este bucket de S3 no pertenece al ID de cuenta especificado, aparecerá un mensaje de error al activar esta lista.

Para añadir y activar una lista de direcciones IP de confianza

  1. Ejecute Create IPSet. Asegúrese de proporcionar la cuenta detectorId de miembro para la que desea crear esta lista de direcciones IP de confianza. Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la ListDetectorsAPI.

    En el caso de una lista de direcciones IP, el nombre de la lista debe ser único dentro de una Cuenta de AWS región.

    Restricciones de nombre de la lista: el nombre de la lista puede incluir letras minúsculas, mayúsculas, números, guión (-) y guión bajo (_).

  2. También puede hacerlo ejecutando el siguiente AWS Command Line Interface comando y asegúrese de sustituirlo por el identificador del detector-id detector de la cuenta del miembro para la que actualizará la lista de direcciones IP de confianza.

    aws guardduty create-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-idSustitúyalo por el ID detector de la cuenta de miembro para la que va a crear la lista de IP de confianza y otros valores de marcador de posición que lo seanshown in red.

    Si no desea activar esta lista recién creada, sustituya el parámetro --activate por. --no-activate

    El parámetro expected-bucket-owner es opcional. Si no especifica el ID de cuenta propietario del bucket de S3, GuardDuty no realiza ninguna validación. Al especificar el ID de cuenta para el expected-bucket-owner parámetro, GuardDuty valida que este Cuenta de AWS ID sea propietario del bucket de S3 especificado en el --location parámetro. Si GuardDuty descubre que este bucket de S3 no pertenece al ID de cuenta especificado, aparecerá un mensaje de error al activar esta lista.

Para añadir y activar listas de direcciones IP de amenazas

  1. Ejecute CreateThreatIntelSet. Asegúrese de proporcionar la cuenta detectorId de miembro para la que desea crear esta lista de direcciones IP de amenazas. Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la ListDetectorsAPI.

    Restricciones de nombre de la lista: el nombre de la lista puede incluir letras minúsculas, mayúsculas, números, guión (-) y guión bajo (_).

    En el caso de una lista de direcciones IP, el nombre de la lista debe ser único dentro de una Cuenta de AWS región.

  2. También puede hacerlo ejecutando el siguiente AWS Command Line Interface comando y asegúrese de sustituirlo por el detector-id identificador del detector de la cuenta del miembro para la que actualizará la lista de direcciones IP amenazadas.

    aws guardduty create-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-idSustitúyalo por el ID de detector de la cuenta de miembro para la que va a crear la lista de IP amenazantes y otros valores de marcador de posición que lo seanshown in red.

    Si no desea activar esta lista recién creada, sustituya el parámetro --activate por. --no-activate

    El parámetro expected-bucket-owner es opcional. Si no especifica el ID de cuenta propietario del bucket de S3, GuardDuty no realiza ninguna validación. Al especificar el ID de cuenta para el expected-bucket-owner parámetro, GuardDuty valida que este Cuenta de AWS ID sea propietario del bucket de S3 especificado en el --location parámetro. Si GuardDuty descubre que este bucket de S3 no pertenece al ID de cuenta especificado, aparecerá un mensaje de error al activar esta lista.

Tras activar una lista de entidades o una lista de direcciones IP, esta lista puede tardar unos minutos en hacerse efectiva. Para obtener más información, consulte Consideraciones importantes para las listas GuardDuty .