Aktualisierung einer Entitäts- oder IP-Adressliste - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktualisierung einer Entitäts- oder IP-Adressliste

Mit Entitätslisten und IP-Adresslisten können Sie die Funktionen zur Bedrohungserkennung in anpassen GuardDuty. Weitere Informationen zu diesen Listen finden Sie unterGrundlegendes zu Entitätslisten und IP-Adresslisten.

Sie können den Namen einer Liste, den S3-Bucket-Speicherort, die erwartete Account-ID des Bucket-Besitzers und die Einträge in einer vorhandenen Liste aktualisieren. Wenn Sie die Einträge in einer Liste aktualisieren, müssen Sie die Schritte zum erneuten Aktivieren der Liste ausführen GuardDuty , um die neueste Version der Liste verwenden zu können. Nachdem Sie eine Entitätsliste oder IP-Adressliste aktualisiert oder aktiviert haben, kann es einige Minuten dauern, bis diese Liste wirksam wird. Weitere Informationen finden Sie unter Wichtige Überlegungen zu GuardDuty Listen.

Anmerkung

Wenn der Status einer Liste Aktiviert, Deaktiviert oder Ausstehend löschen lautet, müssen Sie einige Minuten warten, bevor Sie eine Aktion ausführen. Informationen zu diesen Status finden Sie unter. Grundlegendes zum Listenstatus

Wählen Sie eine der Zugriffsmethoden, um eine Entitäts- oder IP-Adressliste zu aktualisieren.

Console

  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  2. Wählen Sie im Navigationsbereich Listen.

  3. Wählen Sie auf der Listenseite die entsprechende Registerkarte — Entitätslisten oder IP-Adresslisten.

  4. Wählen Sie eine Liste (vertrauenswürdig oder bedrohlich) aus, die Sie aktualisieren möchten. Dadurch werden die Menüs Aktion und Bearbeiten aktiviert.

  5. Wählen Sie Bearbeiten aus.

  6. Geben Sie im Dialogfeld zum Aktualisieren der Liste die Details an, die Sie aktualisieren möchten.

    Einschränkungen bei der Benennung von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (_) enthalten.

    Bei einer IP-Adressliste muss der Name Ihrer Liste innerhalb einer AWS-Konto UND-Region eindeutig sein.

    Gilt nur für benutzerdefinierte Bedrohungsgruppen und benutzerdefinierte Gruppen vertrauenswürdiger Entitäten — Wenn Sie eine Standort-URL angeben, die nicht den folgenden unterstützten Formaten entspricht, erhalten Sie beim Hinzufügen und Aktivieren der Liste eine Fehlermeldung.

  7. (Optional) Für Erwarteter Bucket-Besitzer können Sie die AWS-Konto ID eingeben, der der Amazon S3 S3-Bucket gehört, der im Feld Standort angegeben ist.

    Wenn Sie keinen AWS-Konto ID-Besitzer angeben, GuardDuty verhält sich das Verhalten bei Entitätslisten und IP-Adresslisten unterschiedlich. GuardDuty Überprüft bei Entitätslisten, ob das aktuelle Mitgliedskonto Eigentümer des im Feld Standort angegebenen S3-Buckets ist. Wenn Sie bei IP-Adresslisten keinen AWS-Konto ID-Besitzer angeben, GuardDuty wird keine Überprüfung durchgeführt.

    Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung der Liste eine Fehlermeldung.

  8. Aktivieren Sie das Kontrollkästchen Ich stimme zu und wählen Sie dann Liste aktualisieren aus.

API/CLI

Um mit den folgenden Verfahren zu beginnen, benötigen Sie die ID, z. B.trustedEntitySetId, threatEntitySetIdtrustedIpSet, oderthreatIpSet, die der Listenressource zugeordnet ist, die Sie aktualisieren möchten.

Um eine Liste vertrauenswürdiger Entitäten zu aktualisieren und zu aktivieren

  1. Führen Sie UpdateTrustedEntitySet. Stellen Sie sicher, dass Sie das detectorId Mitgliedskonto angeben, für das Sie diese Liste der vertrauenswürdigen Entitäten aktualisieren möchten. Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite Einstellungen in der https://console.aws.amazon.com/guardduty/Konsole oder führen Sie die ListDetectorsAPI aus.

    Einschränkungen bei der Benennung von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (_) enthalten.

  2. Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen, name der die Liste aktualisiert und auch diese Liste aktiviert: 

    aws guardduty update-trusted-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--activate

    detector-idErsetzen Sie es durch die Melder-ID des Mitgliedskontos, für das Sie die Liste der vertrauenswürdigen Entitäten erstellen möchten, und durch andere Platzhalterwerteshown in red, die

    Wenn Sie diese neu erstellte Liste nicht aktivieren möchten, ersetzen Sie den Parameter --activate durch--no-activate.

    Der Parameter expected-bucket-owner ist optional. Unabhängig davon, ob Sie den Wert für diesen Parameter angeben oder nicht, wird GuardDuty überprüft, ob die mit diesem --detector-id Wert verknüpfte AWS-Konto ID den im --location Parameter angegebenen S3-Bucket besitzt. Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung dieser Liste eine Fehlermeldung.

    Gilt nur für benutzerdefinierte Bedrohungsgruppen und benutzerdefinierte Gruppen vertrauenswürdiger Entitäten — Wenn Sie eine Standort-URL angeben, die nicht den folgenden unterstützten Formaten entspricht, erhalten Sie beim Hinzufügen und Aktivieren der Liste eine Fehlermeldung.

Um eine Liste bedrohlicher Entitäten zu aktualisieren und zu aktivieren

  1. Führen Sie UpdateThreatEntitySet. Stellen Sie sicher, dass Sie das detectorId Mitgliedskonto angeben, für das Sie diese Liste der Bedrohungsentitäten erstellen möchten. Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite Einstellungen in der https://console.aws.amazon.com/guardduty/Konsole oder führen Sie die ListDetectorsAPI aus.

    Einschränkungen bei der Benennung von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (_) enthalten.

  2. Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen, name der die Liste aktualisiert und auch diese Liste aktiviert: 

    aws guardduty update-threat-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--activate

    detector-idErsetzen Sie es durch die Melder-ID des Mitgliedskontos, für das Sie die Liste der Bedrohungsentitäten erstellen möchten, und durch andere Platzhalterwerte, die lautenshown in red.

    Wenn Sie diese neu erstellte Liste nicht aktivieren möchten, ersetzen Sie den Parameter --activate durch--no-activate.

    Der Parameter expected-bucket-owner ist optional. Unabhängig davon, ob Sie den Wert für diesen Parameter angeben oder nicht, wird GuardDuty überprüft, ob die mit diesem --detector-id Wert verknüpfte AWS-Konto ID den im --location Parameter angegebenen S3-Bucket besitzt. Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung dieser Liste eine Fehlermeldung.

    Gilt nur für benutzerdefinierte Bedrohungsgruppen und benutzerdefinierte Gruppen vertrauenswürdiger Entitäten — Wenn Sie eine Standort-URL angeben, die nicht den folgenden unterstützten Formaten entspricht, erhalten Sie beim Hinzufügen und Aktivieren der Liste eine Fehlermeldung.

Um eine Liste vertrauenswürdiger IP-Adressen zu aktualisieren und zu aktivieren

  1. Führen Sie Create ausIPSet. Stellen Sie sicher, dass Sie das Mitgliedskonto angeben, für das Sie diese Liste der vertrauenswürdigen IP-Adressen aktualisieren möchten. detectorId Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/Konsole oder führen Sie die ListDetectorsAPI aus.

    Einschränkungen bei der Benennung von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (_) enthalten.

    Bei einer IP-Adressliste muss der Name Ihrer Liste innerhalb einer AWS-Konto UND-Region eindeutig sein.

  2. Alternativ können Sie dies tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen, der auch die Liste aktiviert:

    aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--ip-set-id d4b94fc952d6912b8f3060768example \
--activate

    detector-idErsetzen Sie es durch die Melder-ID des Mitgliedskontos, für das Sie die Liste der vertrauenswürdigen IP-Adressen aktualisieren möchten, und durch andere Platzhalterwerte, die es sindshown in red.

    Wenn Sie diese neu erstellte Liste nicht aktivieren möchten, ersetzen Sie den Parameter --activate durch--no-activate.

    Der Parameter expected-bucket-owner ist optional. Wenn Sie die Konto-ID nicht angeben, der der S3-Bucket gehört, führt GuardDuty keine Überprüfung durch. Wenn Sie die Konto-ID für den expected-bucket-owner Parameter angeben, wird GuardDuty überprüft, ob diese AWS-Konto ID den im --location Parameter angegebenen S3-Bucket besitzt. Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung dieser Liste eine Fehlermeldung.

Um Bedrohungs-IP-Listen hinzuzufügen und zu aktivieren

  1. Führen Sie CreateThreatIntelSet. Stellen Sie sicher, dass Sie das detectorId Mitgliedskonto angeben, für das Sie diese Bedrohungs-IP-Adressliste erstellen möchten. Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite Einstellungen in der https://console.aws.amazon.com/guardduty/Konsole oder führen Sie die ListDetectorsAPI aus.

    Einschränkungen bei der Benennung von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (_) enthalten.

    Bei einer IP-Adressliste muss der Name Ihrer Liste innerhalb einer AWS-Konto UND-Region eindeutig sein.

  2. Alternativ können Sie dies tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen, der auch die Liste aktiviert:

    aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--activate

    detector-idErsetzen Sie es durch die Melder-ID des Mitgliedskontos, für das Sie die Bedrohungs-IP-Liste aktualisieren möchten, und durch andere Platzhalterwerte, die es sindshown in red.

    Wenn Sie diese neu erstellte Liste nicht aktivieren möchten, ersetzen Sie den Parameter --activate durch--no-activate.

    Der Parameter expected-bucket-owner ist optional. Wenn Sie die Konto-ID nicht angeben, der der S3-Bucket gehört, führt GuardDuty keine Überprüfung durch. Wenn Sie die Konto-ID für den expected-bucket-owner Parameter angeben, wird GuardDuty überprüft, ob diese AWS-Konto ID den im --location Parameter angegebenen S3-Bucket besitzt. Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung dieser Liste eine Fehlermeldung.