新增和啟用實體清單或 IP 清單 - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

新增和啟用實體清單或 IP 清單

實體清單和 IP 地址清單可協助您自訂 GuardDuty 中的威脅偵測功能。如需這些清單的詳細資訊,請參閱 了解實體清單和 IP 地址清單。若要管理您 AWS 環境的信任和威脅情報資料,GuardDuty 建議使用實體清單。開始之前,請參閱設定實體清單和 IP 地址清單的先決條件

選擇下列其中一種存取方法,以新增和啟用信任實體清單、威脅實體清單、信任 IP 清單或威脅 IP 清單。

Console
(選用) 步驟 1:擷取清單的位置 URL

  1. 開啟位於 https://console.aws.amazon.com/s3/ 的 Amazon S3 主控台。

  2. 在導覽窗格中,選擇 儲存貯體

  3. 選擇 Amazon S3 儲存貯體名稱,其中包含您要新增的特定清單。

  4. 選擇物件 (清單) 名稱以檢視其詳細資訊。

  5. 屬性索引標籤下,複製此物件的 S3 URI

步驟 2:新增信任或威脅情報資料

  1. 開啟 GuardDuty 主控台,網址為 https://console.aws.amazon.com/guardduty/

  2. 在導覽窗格中,選擇清單

  3. 清單頁面上,選擇實體清單IP 地址清單索引標籤。

  4. 根據您選取的標籤,選擇新增信任清單或威脅清單。

  5. 在對話方塊中新增信任或威脅清單,請執行下列步驟:

    1. 針對清單名稱,輸入清單的名稱。

      清單命名限制 – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (_)。

      對於 IP 地址清單,您的清單名稱在 AWS 帳戶 和 區域中必須是唯一的。

    2. 針對位置,提供您上傳清單的位置。如果您尚未擁有位置,請參閱Step 1: Fetching location URL of your list

      位置 URL 的格式

      • https://s3.amazonaws.com/bucket.name/file.txt

      • https://s3-aws-region.amazonaws.com/bucket.name/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • http://bucket.s3-aws-region.amazonaws.com/file.txt

      • s3://bucket.name/file.txt

    3. (選用) 對於預期儲存貯體擁有者,您可以輸入擁有位置欄位中指定之 Amazon S3 儲存貯體的 AWS 帳戶 ID。

      當您未指定 AWS 帳戶 ID 擁有者時,GuardDuty 對實體清單和 IP 地址清單的行為會有所不同。對於實體清單,GuardDuty 將驗證目前成員帳戶是否擁有位置欄位中指定的 S3 儲存貯體。對於 IP 地址清單,如果您未指定 AWS 帳戶 ID 擁有者,GuardDuty 不會執行任何驗證。

      如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用清單時收到錯誤。

    4. 選取我同意核取方塊。

    5. 選擇新增清單。依預設,新增清單的狀態非作用中。若要使清單生效,您必須啟用清單。

步驟 3:啟用實體清單或 IP 地址清單

  1. 開啟 GuardDuty 主控台,網址為 https://console.aws.amazon.com/guardduty/

  2. 在導覽窗格中,選擇清單

  3. 清單頁面上,選取要在其中啟用清單 - 實體清單IP 地址清單的索引標籤。

  4. 選取您要啟用的清單。這將啟用動作編輯功能表。

  5. 選擇動作,然後選擇啟用

API/CLI
新增和啟用信任的實體清單

  1. 執行 CreateTrustedEntitySet。請務必提供您要為其建立此信任實體清單detectorId之成員帳戶的 。若要尋找detectorId您帳戶和目前區域的 ,請參閱 https://https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面,或執行 ListDetectors API。

    清單命名限制 – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (_)。

  2. 或者,您也可以執行下列 AWS Command Line Interface 命令來執行此操作:

    aws guardduty create-trusted-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-id 將 取代為您建立信任實體清單的成員帳戶的偵測器 ID,以及其他以紅色顯示的預留位置值。

    如果您不想啟用此新建立的清單,請將 參數取代--activate--no-activate

    expected-bucket-owner 為選用參數。無論您是否指定此參數的值,GuardDuty 都會驗證與此--detector-id值相關聯的 AWS 帳戶 ID 是否擁有 --location 參數中指定的 S3 儲存貯體。如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用此清單時收到錯誤。

新增和啟用威脅實體清單

  1. 執行 CreateThreatEntitySet。請務必提供您要為其建立此威脅實體清單detectorId之成員帳戶的 。若要尋找detectorId您帳戶和目前區域的 ,請參閱 https://https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面,或執行 ListDetectors API。

    清單命名限制 – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (_)。

  2. 或者,您也可以執行下列 AWS Command Line Interface 命令來執行此操作:

    aws guardduty create-threat-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-id 將 取代為您建立信任實體清單的成員帳戶的偵測器 ID,以及其他以紅色顯示的預留位置值。

    如果您不想啟用此新建立的清單,請將 參數取代--activate--no-activate

    expected-bucket-owner 為選用參數。無論您是否指定此參數的值,GuardDuty 都會驗證與此--detector-id值相關聯的 AWS 帳戶 ID 是否擁有 --location 參數中指定的 S3 儲存貯體。如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用此清單時收到錯誤。

新增和啟用信任的 IP 地址清單

  1. 執行 CreateIPSet。請務必提供您要為其建立此信任 IP 地址清單detectorId之成員帳戶的 。若要尋找detectorId您帳戶和目前區域的 ,請參閱 https://https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面,或執行 ListDetectors API。

    對於 IP 地址清單,您的清單名稱在 AWS 帳戶 和 區域中必須是唯一的。

    清單命名限制 – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (_)。

  2. 或者,您也可以執行下列 AWS Command Line Interface 命令,並使用您要更新信任 IP 地址清單之成員帳戶的detector-id偵測器 ID 取代 。

    aws guardduty create-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-id 將 取代為您建立信任 IP 清單的成員帳戶的偵測器 ID,以及其他以紅色顯示的預留位置值。

    如果您不想啟用此新建立的清單,請將 參數取代--activate--no-activate

    expected-bucket-owner 為選用參數。當您未指定擁有 S3 儲存貯體的帳戶 ID 時,GuardDuty 不會執行任何驗證。當您指定 expected-bucket-owner 參數的帳戶 ID 時,GuardDuty 會驗證此 AWS 帳戶 ID 是否擁有 --location 參數中指定的 S3 儲存貯體。如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用此清單時收到錯誤。

新增和啟用威脅 IP 清單

  1. 執行 CreateThreatIntelSet。請務必提供您要為其建立此威脅 IP 地址清單detectorId之成員帳戶的 。若要尋找detectorId您帳戶和目前區域的 ,請參閱 https://console.aws.amazon.com/guardduty/ 主控台中的設定頁面,或執行 ListDetectors API。

    清單命名限制 – 清單的名稱可包含小寫字母、大寫字母、數字、破折號 (-) 和底線 (_)。

    對於 IP 地址清單,您的清單名稱在 AWS 帳戶 和 區域中必須是唯一的。

  2. 或者,您可以執行以下 AWS Command Line Interface 命令,並確保將 取代detector-id為您要更新威脅 IP 清單之成員帳戶的偵測器 ID。

    aws guardduty create-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-id 將 取代為您要為其建立威脅 IP 清單的成員帳戶的偵測器 ID,以及以紅色顯示的其他預留位置值。

    如果您不想啟用此新建立的清單,請將 參數取代--activate--no-activate

    expected-bucket-owner 為選用參數。當您未指定擁有 S3 儲存貯體的帳戶 ID 時,GuardDuty 不會執行任何驗證。當您指定 expected-bucket-owner 參數的帳戶 ID 時,GuardDuty 會驗證此 AWS 帳戶 ID 是否擁有 --location 參數中指定的 S3 儲存貯體。如果 GuardDuty 發現此 S3 儲存貯體不屬於指定的帳戶 ID,您會在啟用此清單時收到錯誤。

啟用實體清單或 IP 地址清單後,此清單可能需要幾分鐘才會生效。如需詳細資訊,請參閱GuardDuty 清單的重要考量事項