Adicionar e ativar uma lista de entidades ou lista de IPs - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Adicionar e ativar uma lista de entidades ou lista de IPs

Listas de entidades e listas de endereços IP ajudam você a personalizar os recursos de detecção de ameaças no GuardDuty. Para obter mais informações sobre essas listas, consulteEntendendo listas de entidades e listas de endereços IP. Para gerenciar os dados confiáveis e de inteligência de ameaças do seu AWS ambiente, GuardDuty recomenda o uso de listas de entidades. Antes de começar, consulte Configurando pré-requisitos para listas de entidades e listas de endereços IP.

Escolha um dos métodos de acesso a seguir para adicionar e ativar uma lista de entidades confiáveis, uma lista de entidades de ameaças, uma lista de IPs confiáveis ou uma lista de IPs de ameaças.

Console
(Opcional) Etapa 1: buscar o URL do local da sua lista

  1. Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação, escolha Buckets.

  3. Escolha o nome do bucket do Amazon S3 com a lista específica que deseja adicionar.

  4. Escolha o nome do objeto (lista) para visualizar os respectivos detalhes.

  5. Na guia Propriedades, copie o URI do S3 para esse objeto.

Etapa 2: Adicionar dados confiáveis ou de inteligência contra ameaças

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  2. No painel de navegação, escolha Listas de domínios.

  3. Na página Listas, escolha a guia Listas de entidades ou Listas de endereços IP.

  4. Com base na guia selecionada, escolha adicionar uma lista confiável ou uma lista de ameaças.

  5. Na caixa de diálogo para adicionar uma lista confiável ou de ameaças, execute as seguintes etapas:

    1. Em Nome da lista, insira um nome para sua lista.

      Restrições de nomenclatura da lista — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (_).

      Para uma lista de endereços IP, o nome da sua lista deve ser exclusivo em uma região Conta da AWS e.

    2. Em Localização, informe o local em que o upload da sua lista foi realizado. Se você ainda não tiver configurado, consulte Step 1: Fetching location URL of your list.

      Formato do URL de localização

      • https://s3.amazonaws.com/bucket.name/file.txt

      • https://s3-aws-region.amazonaws.com/bucket.name/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • s3://bucket.name/file.txt

    3. (Opcional) Para Proprietário esperado do bucket, você pode inserir o Conta da AWS ID que possui o bucket do Amazon S3 especificado no campo Localização.

      Quando você não especifica um proprietário de Conta da AWS ID, ele se GuardDuty comporta de forma diferente para listas de entidades e listas de endereços IP. Para listas de entidades, GuardDuty validará se a conta do membro atual é proprietária do bucket S3 especificado no campo Localização. Para listas de endereços IP, se você não especificar um proprietário de Conta da AWS ID, GuardDuty não realiza nenhuma validação.

      Se GuardDuty descobrir que esse bucket do S3 não pertence ao ID da conta especificado, você receberá um erro no momento da ativação da lista.

    4. Marque a caixa de seleção Concordo.

    5. Escolha Adicionar lista. Por padrão, o Status da lista adicionada é Inativo. Para que a lista seja efetiva, você deve habilitá-la.

Etapa 3: Ativar uma lista de entidades ou lista de endereços IP

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  2. No painel de navegação, escolha Listas de domínios.

  3. Na página Listas, selecione a guia na qual você deseja ativar a lista - Listas de entidades ou listas de endereços IP.

  4. Selecione uma lista que você deseja ativar. Isso ativará o menu Ação e Edição.

  5. Escolha Ação e, em seguida, escolha Ativar.

API/CLI
Para adicionar e ativar uma lista de entidades confiáveis

  1. Executar CreateTrustedEntitySet. Certifique-se de fornecer a conta detectorId do membro para a qual você deseja criar essa lista de entidades confiáveis. Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute a ListDetectorsAPI.

    Restrições de nomenclatura da lista — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (_).

  2. Como alternativa, você pode fazer isso executando o seguinte AWS Command Line Interface comando: 

    aws guardduty create-trusted-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-idSubstitua pelo ID do detector da conta do membro para a qual você criará a lista de entidades confiáveis e outros valores de espaço reservado que sejamshown in red.

    Se você não quiser ativar essa lista recém-criada, substitua o parâmetro --activate por--no-activate.

    O parâmetro expected-bucket-owner é opcional. Se você especificar ou não o valor desse parâmetro, GuardDuty valida se a Conta da AWS ID associada a esse --detector-id valor possui o bucket do S3 especificado no --location parâmetro. Se GuardDuty descobrir que esse bucket do S3 não pertence à ID da conta especificada, você receberá um erro no momento da ativação dessa lista.

Para adicionar e ativar listas de entidades de ameaças

  1. Executar CreateThreatEntitySet. Certifique-se de fornecer a conta detectorId do membro para a qual você deseja criar essa lista de entidades de ameaça. Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute a ListDetectorsAPI.

    Restrições de nomenclatura da lista — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (_).

  2. Como alternativa, você pode fazer isso executando o seguinte AWS Command Line Interface comando: 

    aws guardduty create-threat-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-idSubstitua pelo ID do detector da conta do membro para a qual você criará a lista de entidades confiáveis e outros valores de espaço reservado que sejamshown in red.

    Se você não quiser ativar essa lista recém-criada, substitua o parâmetro --activate por--no-activate.

    O parâmetro expected-bucket-owner é opcional. Se você especificar ou não o valor desse parâmetro, GuardDuty valida se a Conta da AWS ID associada a esse --detector-id valor possui o bucket do S3 especificado no --location parâmetro. Se GuardDuty descobrir que esse bucket do S3 não pertence à ID da conta especificada, você receberá um erro no momento da ativação dessa lista.

Para adicionar e ativar uma lista de endereços IP confiáveis

  1. Execute Create IPSet. Certifique-se de fornecer a conta detectorId do membro para a qual você deseja criar essa lista de endereços IP confiáveis. Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute a ListDetectorsAPI.

    Para uma lista de endereços IP, o nome da sua lista deve ser exclusivo em uma região Conta da AWS e.

    Restrições de nomenclatura da lista — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (_).

  2. Como alternativa, você pode fazer isso executando o AWS Command Line Interface comando a seguir e certifique-se de substituí-lo pelo ID do detector da conta do membro para a qual você atualizará a lista de endereços IP confiáveis. detector-id

    aws guardduty create-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-idSubstitua pelo ID do detector da conta do membro para a qual você criará a lista de IPs confiáveis e outros valores de espaço reservado que sejamshown in red.

    Se você não quiser ativar essa lista recém-criada, substitua o parâmetro --activate por--no-activate.

    O parâmetro expected-bucket-owner é opcional. Quando você não especifica o ID da conta que possui o bucket do S3, GuardDuty não realiza nenhuma validação. Quando você especifica a ID da conta para o expected-bucket-owner parâmetro, GuardDuty valida se essa Conta da AWS ID é proprietária do bucket do S3 especificado no --location parâmetro. Se GuardDuty descobrir que esse bucket do S3 não pertence à ID da conta especificada, você receberá um erro no momento da ativação dessa lista.

Para adicionar e ativar listas de IP de ameaças

  1. Executar CreateThreatIntelSet. Certifique-se de fornecer a conta detectorId do membro para a qual você deseja criar essa lista de endereços IP de ameaças. Para encontrar a opção detectorId para sua conta e região atual, consulte a página de configurações no https://console.aws.amazon.com/guardduty/console ou execute a ListDetectorsAPI.

    Restrições de nomenclatura da lista — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (_).

    Para uma lista de endereços IP, o nome da sua lista deve ser exclusivo em uma região Conta da AWS e.

  2. Como alternativa, você pode fazer isso executando o AWS Command Line Interface comando a seguir e certificar-se de substituí-lo pelo ID do detector da conta do membro para a qual você atualizará a lista de IPs de ameaças. detector-id

    aws guardduty create-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-idSubstitua pelo ID do detector da conta do membro para a qual você criará a lista de IPs de ameaças e outros valores de espaço reservado que estejamshown in red.

    Se você não quiser ativar essa lista recém-criada, substitua o parâmetro --activate por--no-activate.

    O parâmetro expected-bucket-owner é opcional. Quando você não especifica o ID da conta que possui o bucket do S3, GuardDuty não realiza nenhuma validação. Quando você especifica a ID da conta para o expected-bucket-owner parâmetro, GuardDuty valida se essa Conta da AWS ID é proprietária do bucket do S3 especificado no --location parâmetro. Se GuardDuty descobrir que esse bucket do S3 não pertence à ID da conta especificada, você receberá um erro no momento da ativação dessa lista.

Depois de ativar uma lista de entidades ou uma lista de endereços IP, pode levar alguns minutos para que essa lista seja efetiva. Para obter mais informações, consulte Considerações importantes sobre listas GuardDuty .