添加和激活实体列表或 IP 列表 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

添加和激活实体列表或 IP 列表

实体列表和 IP 地址列表可帮助您自定义中的威胁检测功能 GuardDuty。有关这些列表的更多信息,请参阅了解实体列表和 IP 地址列表。要管理您 AWS 环境的可信数据和威胁情报数据, GuardDuty建议使用实体列表。在开始之前,请参阅为实体列表和 IP 地址列表设置先决条件

选择以下访问方法之一来添加和激活可信实体列表、威胁实体列表、可信 IP 列表或威胁 IP 列表。

Console
(可选)步骤 1:获取列表的位置 URL

  1. 打开 Amazon S3 控制台,网址为 https://console.aws.amazon.com/s3/

  2. 在导航窗格中,选择存储桶

  3. 选择包含要添加的特定列表的 Amazon S3 存储桶名称。

  4. 选择对象(列表)名称以查看其详细信息。

  5. 属性选项卡下,复制该对象的 S3 URI

步骤 2:添加可信或威胁情报数据

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  2. 在导航窗格中,选择列表

  3. 在 “列表” 页面上,选择 “实体列表” 或 “IP 地址列表” 选项卡。

  4. 根据您选择的选项卡,选择添加可信列表或威胁列表。

  5. 在添加可信列表或威胁列表的对话框中,执行以下步骤:

    1. 对于列表名称,输入列表的名称。

      列表命名约束:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (_)。

      对于 IP 地址列表,您的列表名称在 AWS 账户 和区域内必须是唯一的。

    2. 对于位置,请提供您上传列表的位置。如果您还没有,请参阅 Step 1: Fetching location URL of your list

      位置 URL 的格式

      • https://s3.amazonaws.com/bucket.name/file.txt

      • https://s3-aws-region.amazonaws.com/bucket.name/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • http://bucket.s3-aws-region.amazonaws.com/file.txt

      • s3://bucket.name/file.txt

    3. (可选)对于预期存储桶拥有者,您可以输入拥有位置字段中指定的 Amazon S3 存储桶的 AWS 账户 ID。

      如果不指定 AWS 账户 ID 所有者,则实体列表和 IP 地址列表的 GuardDuty 行为会有所不同。对于实体列表, GuardDuty 将验证当前成员账户是否拥有位置字段中指定的 S3 存储桶。对于 IP 地址列表,如果您未指定 AWS 账户 ID 所有者,则 GuardDuty 不执行任何验证。

      如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活列表时会出现错误。

    4. 选中 I agree 复选框。

    5. 选择 Add list。默认情况下,已添加列表的状态非活动。要使列表生效,必须激活列表。

步骤 3:激活实体列表或 IP 地址列表

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  2. 在导航窗格中,选择列表

  3. 列表页面上,选择要激活列表的选项卡-实体列表IP 地址列表

  4. 选择一个要激活的列表。这将启用 “操作编辑” 菜单。

  5. 选择 “操作”,然后选择 “激活”。

API/CLI
添加和激活可信实体列表

  1. 运行 CreateTrustedEntitySet。请务必提供您要为其创建此可信实体列表的成员账户。detectorId要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 ListDetectorsAPI。detectorId

    列表命名约束:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (_)。

  2. 或者,您可以通过运行以下 AWS Command Line Interface 命令来执行此操作:

    aws guardduty create-trusted-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-id替换为要为其创建可信实体列表的成员账户的探测器 ID 以及其他占位符值。shown in red

    如果您不想激活这个新创建的列表,请将参数--activate替换为--no-activate

    expected-bucket-owner 参数是可选的。无论您是否为此参数指定值,都将 GuardDuty 验证与此--detector-id值关联的 AWS 账户 ID 是否拥有--location参数中指定的 S3 存储桶。如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活此列表时会出现错误。

添加和激活威胁实体列表

  1. 运行 CreateThreatEntitySet。请务必提供您要为其创建此威胁实体列表的成员账户。detectorId要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 ListDetectorsAPI。detectorId

    列表命名约束:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (_)。

  2. 或者,您可以通过运行以下 AWS Command Line Interface 命令来执行此操作:

    aws guardduty create-threat-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-id替换为要为其创建可信实体列表的成员账户的探测器 ID 以及其他占位符值。shown in red

    如果您不想激活这个新创建的列表,请将参数--activate替换为--no-activate

    expected-bucket-owner 参数是可选的。无论您是否为此参数指定值,都将 GuardDuty 验证与此--detector-id值关联的 AWS 账户 ID 是否拥有--location参数中指定的 S3 存储桶。如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活此列表时会出现错误。

添加和激活可信 IP 地址列表

  1. 运行 “创建” IPSet。请务必提供您要为其创建此可信 IP 地址列表的成员账户。detectorId要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 ListDetectorsAPI。detectorId

    对于 IP 地址列表,您的列表名称在 AWS 账户 和区域内必须是唯一的。

    列表命名约束:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (_)。

  2. 或者,您可以通过运行以下 AWS Command Line Interface 命令来执行此操作,并确保将替换为要更新可信 IP 地址列表的成员帐户的检测器 ID。detector-id

    aws guardduty create-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-id替换为要为其创建可信 IP 列表的成员账户的探测器 ID 以及其他占位符值。shown in red

    如果您不想激活这个新创建的列表,请将参数--activate替换为--no-activate

    expected-bucket-owner 参数是可选的。如果您未指定拥有 S3 存储桶的账户 ID, GuardDuty 则不会执行任何验证。当您为参数指定账户 ID 时,将 GuardDuty 验证此 AWS 账户 ID 是否拥有expected-bucket-owner参数中指定的 S3 存储桶。--location如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活此列表时会出现错误。

添加和激活威胁 IP 列表

  1. 运行 CreateThreatIntelSet。请务必提供您要为其创建此威胁 IP 地址列表的成员帐户。detectorId要查找您的账户和当前区域的,请查看https://console.aws.amazon.com/guardduty/控制台中的 “设置” 页面,或者运行 ListDetectorsAPI。detectorId

    列表命名约束:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (_)。

    对于 IP 地址列表,您的列表名称在 AWS 账户 和区域内必须是唯一的。

  2. 或者,您可以通过运行以下 AWS Command Line Interface 命令来执行此操作,并确保将替换为要更新威胁 IP 列表的成员帐户的探测器 ID。detector-id

    aws guardduty create-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-id替换为要为其创建威胁 IP 列表的成员账户的探测器 ID 以及其他占位符值。shown in red

    如果您不想激活这个新创建的列表,请将参数--activate替换为--no-activate

    expected-bucket-owner 参数是可选的。如果您未指定拥有 S3 存储桶的账户 ID, GuardDuty 则不会执行任何验证。当您为参数指定账户 ID 时,将 GuardDuty 验证此 AWS 账户 ID 是否拥有expected-bucket-owner参数中指定的 S3 存储桶。--location如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活此列表时会出现错误。

激活实体列表或 IP 地址列表后,此列表可能需要几分钟才能生效。有关更多信息,请参阅 GuardDuty 清单的重要注意事项