Actualización de una lista de entidades o una lista de direcciones IP - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Actualización de una lista de entidades o una lista de direcciones IP

Las listas de entidades y las listas de direcciones IP le ayudan a personalizar las capacidades de detección de amenazas de GuardDuty. Para obtener más información sobre estas listas, consulteDescripción de las listas de entidades y las listas de direcciones IP.

Puede actualizar el nombre de una lista, la ubicación del bucket en S3, el ID de cuenta esperado del propietario del bucket y las entradas de una lista existente. Si actualiza las entradas de una lista, debe seguir los pasos para GuardDuty volver a activar la lista y utilizar la última versión de la lista. Tras actualizar o activar una lista de entidades o una lista de direcciones IP, esta lista puede tardar unos minutos en entrar en vigor. Para obtener más información, consulte Consideraciones importantes para las listas GuardDuty .

nota

Si el estado de una lista es Activación, Desactivación o Eliminación de datos pendientes, debe esperar unos minutos antes de realizar cualquier acción. Para obtener información sobre estos estados, consulte. Descripción de los estados de las listas

Elija uno de los métodos de acceso para actualizar una lista de entidades o una lista de direcciones IP.

Console

  1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación, elija Listas.

  3. En la página Listas, seleccione la pestaña correspondiente: Listas de entidades o Listas de direcciones IP.

  4. Seleccione una lista (de confianza o de amenazas) que desee actualizar. Esto habilitará el menú Acción y Edición.

  5. Seleccione Editar.

  6. En el cuadro de diálogo para actualizar la lista, especifique los detalles que desee actualizar.

    Restricciones de nombre de la lista: el nombre de la lista puede incluir letras minúsculas, mayúsculas, números, guión (-) y guión bajo (_).

    En el caso de una lista de direcciones IP, el nombre de la lista debe ser único dentro de una región Cuenta de AWS y.

  7. (Opcional) Para el propietario esperado del bucket, puede introducir el Cuenta de AWS ID propietario del bucket de Amazon S3 especificado en el campo Ubicación.

    Si no especificas un propietario de Cuenta de AWS ID, se GuardDuty comporta de forma diferente para las listas de entidades y las listas de direcciones IP. En el caso de las listas de entidades, GuardDuty validará que la cuenta del miembro actual sea propietaria del bucket de S3 especificado en el campo Ubicación. En el caso de las listas de direcciones IP, si no especificas un propietario de Cuenta de AWS ID, GuardDuty no realizará ninguna validación.

    Si GuardDuty descubre que este bucket de S3 no pertenece al ID de cuenta especificado, aparecerá un mensaje de error al activar la lista.

  8. Marque la casilla Estoy de acuerdo y, a continuación, elija Actualizar lista. El valor de la columna Estado cambiará a Inactivo.

  9. ¿Activar la lista actualizada

    1. En la pestaña seleccionada (listas de entidades o listas de direcciones IP), seleccione la lista que desee activar.

    2. Elija Acciones y, a continuación, elija Activar.

API/CLI

Para empezar con los siguientes procedimientos, necesitará el identificador, comotrustedEntitySetId, threatEntitySetIdtrustedIpSet, othreatIpSet, que esté asociado al recurso de lista que desee actualizar.

Para actualizar y activar una lista de entidades de confianza

  1. Ejecute UpdateTrustedEntitySet. Asegúrese de proporcionar la cuenta detectorId de miembro para la que desea actualizar esta lista de entidades de confianza. Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la ListDetectorsAPI.

    Restricciones de nombre de la lista: el nombre de la lista puede incluir letras minúsculas, mayúsculas, números, guión (-) y guión bajo (_).

  2. También puedes hacerlo ejecutando el siguiente AWS Command Line Interface comando que actualiza name la lista y también la activa: 

    aws guardduty update-trusted-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--activate

    detector-idSustitúyalo por el identificador del detector de la cuenta de miembro para la que va a crear la lista de entidades de confianza y por otros valores de marcador de posición que lo seanshown in red.

    Si no desea activar esta lista recién creada, sustituya el parámetro --activate por. --no-activate

    El parámetro expected-bucket-owner es opcional. Especifica o no el valor de este parámetro, GuardDuty valida que el Cuenta de AWS ID asociado a este --detector-id valor sea propietario del bucket de S3 especificado en el --location parámetro. Si GuardDuty descubre que este bucket de S3 no pertenece al ID de cuenta especificado, aparecerá un mensaje de error al activar esta lista.

Para actualizar y activar una lista de entidades de amenazas

  1. Ejecute UpdateThreatEntitySet. Asegúrese de proporcionar la cuenta detectorId de miembro para la que desea crear esta lista de entidades de amenaza. Para encontrar la detectorId correspondiente a su cuenta y región actual, consulte la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecute la ListDetectorsAPI.

    Restricciones de nombre de la lista: el nombre de la lista puede incluir letras minúsculas, mayúsculas, números, guión (-) y guión bajo (_).

  2. También puedes hacerlo ejecutando el siguiente AWS Command Line Interface comando que actualiza name la lista y también la activa: 

    aws guardduty update-threat-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--activate

    detector-idSustitúyalo por el ID de detector de la cuenta de miembro para la que va a crear la lista de entidades amenazantes y por otros valores de marcador de posición que lo seanshown in red.

    Si no desea activar esta lista recién creada, sustituya el parámetro --activate por. --no-activate

    El parámetro expected-bucket-owner es opcional. Especifica o no el valor de este parámetro, GuardDuty valida que el Cuenta de AWS ID asociado a este --detector-id valor sea propietario del bucket de S3 especificado en el --location parámetro. Si GuardDuty descubre que este bucket de S3 no pertenece al ID de cuenta especificado, aparecerá un mensaje de error al activar esta lista.

Para actualizar y activar una lista de direcciones IP de confianza

  1. Ejecute Create IPSet. Asegúrese de proporcionar la cuenta detectorId de miembro para la que desea actualizar esta lista de direcciones IP de confianza. Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la ListDetectorsAPI.

    Restricciones de nombre de la lista: el nombre de la lista puede incluir letras minúsculas, mayúsculas, números, guión (-) y guión bajo (_).

    En el caso de una lista de direcciones IP, el nombre de la lista debe ser único dentro de una Cuenta de AWS región.

  2. Como alternativa, puede hacerlo ejecutando el siguiente AWS Command Line Interface comando que también activa la lista:

    aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--ip-set-id d4b94fc952d6912b8f3060768example \
--activate

    detector-idSustitúyalo por el identificador del detector de la cuenta de miembro para la que vaya a actualizar la lista de IP de confianza y por otros valores de marcador de posición que lo seanshown in red.

    Si no desea activar esta lista recién creada, sustituya el parámetro --activate por. --no-activate

    El parámetro expected-bucket-owner es opcional. Si no especifica el ID de cuenta propietario del bucket de S3, GuardDuty no realiza ninguna validación. Al especificar el ID de cuenta para el expected-bucket-owner parámetro, GuardDuty valida que este Cuenta de AWS ID sea propietario del bucket de S3 especificado en el --location parámetro. Si GuardDuty descubre que este bucket de S3 no pertenece al ID de cuenta especificado, aparecerá un mensaje de error al activar esta lista.

Para añadir y activar listas de direcciones IP de amenazas

  1. Ejecute CreateThreatIntelSet. Asegúrese de proporcionar la cuenta detectorId de miembro para la que desea crear esta lista de direcciones IP de amenazas. Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la ListDetectorsAPI.

    Restricciones de nombre de la lista: el nombre de la lista puede incluir letras minúsculas, mayúsculas, números, guión (-) y guión bajo (_).

    En el caso de una lista de direcciones IP, el nombre de la lista debe ser único dentro de una Cuenta de AWS región.

  2. Como alternativa, puede hacerlo ejecutando el siguiente AWS Command Line Interface comando que también activa la lista:

    aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--activate

    detector-idSustitúyalo por el identificador del detector de la cuenta de miembro para la que vaya a actualizar la lista de direcciones IP amenazantes y por otros valores indicativos que lo seanshown in red.

    Si no desea activar esta lista recién creada, sustituya el parámetro --activate por. --no-activate

    El parámetro expected-bucket-owner es opcional. Si no especifica el ID de cuenta propietario del bucket de S3, GuardDuty no realiza ninguna validación. Al especificar el ID de cuenta para el expected-bucket-owner parámetro, GuardDuty valida que este Cuenta de AWS ID sea propietario del bucket de S3 especificado en el --location parámetro. Si GuardDuty descubre que este bucket de S3 no pertenece al ID de cuenta especificado, aparecerá un mensaje de error al activar esta lista.