更新实体列表或 IP 地址列表 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

更新实体列表或 IP 地址列表

实体列表和 IP 地址列表可帮助您自定义中的威胁检测功能 GuardDuty。有关这些列表的更多信息,请参阅了解实体列表和 IP 地址列表

您可以更新列表名称、S3 存储桶位置、预期的存储桶所有者账户 ID 以及现有列表中的条目。如果您更新列表中的条目,则必须按照步骤重新激活列表, GuardDuty 才能使用最新版本的列表。更新或激活实体列表或 IP 地址列表后,此列表可能需要几分钟才能生效。有关更多信息,请参阅 GuardDuty 清单的重要注意事项

注意

如果列表的状态为 “激活”、“” 或 “删除待定”,则必须等待几分钟才能执行任何操作。有关这些状态的信息,请参阅了解列表状态

选择一种访问方法来更新实体列表或 IP 地址列表。

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  2. 在导航窗格中,选择列表

  3. 列表页面上,选择相应的选项卡-实体列表IP 地址列表

  4. 选择一个要更新的列表(可信列表或威胁列表)。这将启用 “操作编辑” 菜单。

  5. 选择编辑

  6. 在更新列表的对话框中,指定要更新的详细信息。

    列表命名约束:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (_)。

    对于 IP 地址列表,您的列表名称在 AWS 账户 和区域内必须是唯一的。

  7. (可选)对于预期存储桶拥有者,您可以输入拥有位置字段中指定的 Amazon S3 存储桶的 AWS 账户 ID。

    如果不指定 AWS 账户 ID 所有者,则实体列表和 IP 地址列表的 GuardDuty 行为会有所不同。对于实体列表, GuardDuty 将验证当前成员账户是否拥有位置字段中指定的 S3 存储桶。对于 IP 地址列表,如果您未指定 AWS 账户 ID 所有者,则 GuardDuty 不执行任何验证。

    如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活列表时会出现错误。

  8. 选中我同意复选框,然后选择更新列表状态列中的值将变为非活动

  9. 激活更新后的名单

    1. 在所选选项卡(实体列表IP 地址列表)中,选择要激活的列表。

    2. 选择操作,然后选择激活

API/CLI

要开始以下过程,您需要与要更新的列表资源关联的 ID,例如threatIpSet、、或。trustedEntitySetId threatEntitySetId trustedIpSet

更新和激活可信实体列表

  1. 运行 UpdateTrustedEntitySet。请务必提供您要更新此可信实体列表的成员账户。detectorId要查找您的账户和当前区域的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或运行 ListDetectorsAPI。detectorId

    列表命名约束:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (_)。

  2. 或者,您可以通过运行以下 AWS Command Line Interface 命令来完成此操作,该name命令更新列表并激活此列表:

    aws guardduty update-trusted-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--activate

    detector-id替换为要为其创建可信实体列表的成员账户的检测器 ID 以及其他占位符值。shown in red

    如果您不想激活这个新创建的列表,请将参数--activate替换为--no-activate

    expected-bucket-owner 参数是可选的。无论您是否为此参数指定值,都将 GuardDuty 验证与此--detector-id值关联的 AWS 账户 ID 是否拥有--location参数中指定的 S3 存储桶。如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活此列表时会出现错误。

更新和激活威胁实体列表

  1. 运行 UpdateThreatEntitySet。请务必提供您要为其创建此威胁实体列表的成员账户。detectorId要查找您的账户和当前区域的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或运行 ListDetectorsAPI。detectorId

    列表命名约束:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (_)。

  2. 或者,您可以通过运行以下 AWS Command Line Interface 命令来完成此操作,该name命令更新列表并激活此列表:

    aws guardduty update-threat-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--activate

    detector-id替换为要为其创建威胁实体列表的成员帐户的探测器 ID 以及其他占位符值。shown in red

    如果您不想激活这个新创建的列表,请将参数--activate替换为--no-activate

    expected-bucket-owner 参数是可选的。无论您是否为此参数指定值,都将 GuardDuty 验证与此--detector-id值关联的 AWS 账户 ID 是否拥有--location参数中指定的 S3 存储桶。如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活此列表时会出现错误。

更新和激活可信 IP 地址列表

  1. 运行 “创建” IPSet。请务必提供您要更新此可信 IP 地址列表的成员账户。detectorId要查找您的账户和当前区域的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或运行 ListDetectorsAPI。detectorId

    列表命名约束:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (_)。

    对于 IP 地址列表,您的列表名称在 AWS 账户 和区域内必须是唯一的。

  2. 或者,您可以通过运行以下 AWS Command Line Interface 命令来执行此操作,该命令还可以激活列表:

    aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--ip-set-id d4b94fc952d6912b8f3060768example \
--activate

    detector-id替换为要更新可信 IP 列表的成员账户的检测器 ID 以及其他占位符值。shown in red

    如果您不想激活这个新创建的列表,请将参数--activate替换为--no-activate

    expected-bucket-owner 参数是可选的。如果您未指定拥有 S3 存储桶的账户 ID, GuardDuty 则不会执行任何验证。当您为参数指定账户 ID 时,将 GuardDuty 验证此 AWS 账户 ID 是否拥有expected-bucket-owner参数中指定的 S3 存储桶。--location如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活此列表时会出现错误。

添加和激活威胁 IP 列表

  1. 运行 CreateThreatIntelSet。请务必提供您要为其创建此威胁 IP 地址列表的成员帐户。detectorId要查找您的账户和当前区域的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或运行 ListDetectorsAPI。detectorId

    列表命名约束:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (_)。

    对于 IP 地址列表,您的列表名称在 AWS 账户 和区域内必须是唯一的。

  2. 或者,您可以通过运行以下 AWS Command Line Interface 命令来执行此操作,该命令还可以激活列表:

    aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--activate

    detector-id替换为要更新威胁 IP 列表的成员账户的探测器 ID 以及其他占位符值。shown in red

    如果您不想激活这个新创建的列表,请将参数--activate替换为--no-activate

    expected-bucket-owner 参数是可选的。如果您未指定拥有 S3 存储桶的账户 ID, GuardDuty 则不会执行任何验证。当您为参数指定账户 ID 时,将 GuardDuty 验证此 AWS 账户 ID 是否拥有expected-bucket-owner参数中指定的 S3 存储桶。--location如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则在激活此列表时会出现错误。