Actualización de una lista de entidades o una lista de direcciones IP - Amazon GuardDuty

Actualización de una lista de entidades o una lista de direcciones IP

Las listas de entidades y las listas de direcciones IP le ayudan a personalizar las capacidades de detección de amenazas de GuardDuty. Para obtener más información sobre estas listas, consulte Comprender las listas de entidades y listas de direcciones IP.

Puede actualizar el nombre de una lista, la ubicación del bucket en S3, el identificador de cuenta del propietario previsto del bucket y las entradas de una lista existente. Si actualiza las entradas en una lista, debe seguir los pasos para activar la lista de nuevo para que GuardDuty utilice la versión más reciente de la lista. Es posible que, después de actualizar o activar una lista de entidades o de direcciones IP, se necesiten unos minutos para que se encuentre efectiva. Para obtener más información, consulte Consideraciones importantes sobre las listas de GuardDuty.

nota

Si el estado de una lista es Activación, Desactivación o Eliminación de datos pendientes, debe esperar unos minutos antes de realizar cualquier acción. Para obtener información sobre estos estados, consulte Explicación de los estados de las listas.

Elija uno de los métodos de acceso de la para actualizar una lista de entidades o de direcciones IP.

Console

  1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación, elija Listas.

  3. En la página Listas, seleccione la pestaña correspondiente: Listas de entidades o Listas de direcciones IP.

  4. Seleccione una lista (de confianza o de amenazas) que desee actualizar. Esto habilitará el menú Acción y Edición.

  5. Seleccione Editar.

  6. En el cuadro de diálogo para actualizar la lista, especifique los detalles que desee actualizar.

    Restricciones de nombre de la lista: el nombre de la lista puede incluir letras minúsculas, mayúsculas, números, guión (-) y guión bajo (_).

    En el caso de una lista de direcciones IP, el nombre de la lista debe ser único dentro de una Cuenta de AWS y región.

    Solo se aplica a conjuntos personalizados de amenazas y entidades de confianza personalizadas. Si proporciona una URL de ubicación que no coincide con los siguientes formatos admitidos, recibirá un mensaje de error durante la adición y activación de la lista.

  7. (Opcional) Para el propietario esperado del bucket, puede introducir el ID de Cuenta de AWS propietario del bucket de Amazon S3 especificado en el campo Ubicación.

    Si no especificas un propietario de ID de Cuenta de AWS, GuardDuty se comporta de forma diferente para las listas de entidades y las listas de direcciones IP. En el caso de las listas de entidades, GuardDuty validará que la cuenta de miembro actual sea propietaria del bucket de S3 especificado en el campo Ubicación. En el caso de las listas de direcciones IP, si no se especifica un propietario de ID de la Cuenta de AWS, GuardDuty no realiza ninguna validación.

    Si GuardDuty descubre que este bucket de S3 no pertenece al ID de cuenta especificado, aparecerá un error al activar la lista.

  8. Seleccione la casilla Estoy de acuerdo y, a continuación, elija Actualizar lista.

API/CLI

Para empezar con los siguientes procedimientos, necesitará el identificador, como trustedEntitySetId, threatEntitySetId, trustedIpSet o threatIpSet, que esté asociado al recurso de lista que desee actualizar.

Para actualizar y activar una lista de entidades de confianza

  1. Ejecute UpdateTrustedEntitySet. Asegúrese de proporcionar el detectorId de la cuenta de miembro para la que desea crear esta lista de entidad de confianza. Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

    Restricciones de nombre de la lista: el nombre de la lista puede incluir letras minúsculas, mayúsculas, números, guión (-) y guión bajo (_).

  2. Como alternativa, puede ejecutar el siguiente comando AWS Command Line Interface que actualizará el name de la lista de la y también la activará: 

    aws guardduty update-trusted-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--activate

    Sustituya detector-id por el ID de detector de la cuenta de miembro para la que creará la lista de entidad de confianza, y por otros valores de marcador de posición que se muestren de color rojo.

    Si no desea activar esta lista recién creada, sustituya el parámetro --activate por. --no-activate

    El parámetro expected-bucket-owner es opcional. Independientemente de que especifique o no el valor de este parámetro, GuardDuty valida que el ID de la Cuenta de AWS asociado a este valor de --detector-id sea propietario del bucket S3 especificado en el parámetro --location. Si GuardDuty descubre que este bucket de S3 no pertenece al ID de cuenta especificado, aparecerá un mensaje de error al activar esta lista.

    Solo se aplica a conjuntos personalizados de amenazas y entidades de confianza personalizadas. Si proporciona una URL de ubicación que no coincide con los siguientes formatos admitidos, recibirá un mensaje de error durante la adición y activación de la lista.

Para actualizar y activar una lista de entidades de amenazas

  1. Ejecute UpdateThreatEntitySet. Asegúrese de proporcionar el detectorId de la cuenta de miembro para la que desea crear esta lista de entidades de amenazas. Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

    Restricciones de nombre de la lista: el nombre de la lista puede incluir letras minúsculas, mayúsculas, números, guión (-) y guión bajo (_).

  2. Como alternativa, puede ejecutar el siguiente comando AWS Command Line Interface que actualizará el name de la lista de la y también la activará: 

    aws guardduty update-threat-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--activate

    Sustituya detector-id por el ID de detector de la cuenta de miembro para la que creará la lista de entidad de amenazas, y por otros valores de marcador de posición que se muestren de color rojo.

    Si no desea activar esta lista recién creada, sustituya el parámetro --activate por. --no-activate

    El parámetro expected-bucket-owner es opcional. Independientemente de que especifique o no el valor de este parámetro, GuardDuty valida que el ID de la Cuenta de AWS asociado a este valor de --detector-id sea propietario del bucket S3 especificado en el parámetro --location. Si GuardDuty descubre que este bucket de S3 no pertenece al ID de cuenta especificado, aparecerá un mensaje de error al activar esta lista.

    Solo se aplica a conjuntos personalizados de amenazas y entidades de confianza personalizadas. Si proporciona una URL de ubicación que no coincide con los siguientes formatos admitidos, recibirá un mensaje de error durante la adición y activación de la lista.

Para actualizar y activar una lista de direcciones IP de confianza

  1. Ejecute CreateIPSet. Asegúrese de proporcionar el valor de detectorId de la cuenta de miembro para la que desea crear esta lista de direcciones IP de confianza. Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

    Restricciones de nombre de la lista: el nombre de la lista puede incluir letras minúsculas, mayúsculas, números, guión (-) y guión bajo (_).

    En el caso de una lista de direcciones IP, el nombre de la lista debe ser único dentro de una Cuenta de AWS y región.

  2. También puede ejecutar el siguiente comando AWS Command Line Interface que también activa la lista.

    aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--ip-set-id d4b94fc952d6912b8f3060768example \
--activate

    Sustituya detector-id por el ID de detector de la cuenta de miembro para la que actualizará la lista de IP de confianza, y por otros valores de marcador de posición que se muestren de color rojo.

    Si no desea activar esta lista recién creada, sustituya el parámetro --activate por. --no-activate

    El parámetro expected-bucket-owner es opcional. Si no se especifica el ID de la cuenta que posee el bucket de S3, GuardDuty no realiza ninguna validación. Al especificar el ID de cuenta para el parámetro expected-bucket-owner, GuardDuty valida que este ID de Cuenta de AWS sea propietario del bucket S3 especificado en el parámetro --location. Si GuardDuty descubre que este bucket de S3 no pertenece al ID de cuenta especificado, aparecerá un mensaje de error al activar esta lista.

Para añadir y activar listas de IP de amenazas

  1. Ejecute CreateThreatIntelSet. Asegúrese de proporcionar el valor de detectorId de la cuenta de miembro para la que desea crear esta lista de direcciones IP de amenazas. Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

    Restricciones de nombre de la lista: el nombre de la lista puede incluir letras minúsculas, mayúsculas, números, guión (-) y guión bajo (_).

    En el caso de una lista de direcciones IP, el nombre de la lista debe ser único dentro de una Cuenta de AWS y región.

  2. También puede ejecutar el siguiente comando AWS Command Line Interface que también activa la lista.

    aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--activate

    Sustituya detector-id por el ID de detector de la cuenta de miembro para la que actualizará la lista de IP de amenazas, y por otros valores de marcador de posición que se muestren de color rojo.

    Si no desea activar esta lista recién creada, sustituya el parámetro --activate por. --no-activate

    El parámetro expected-bucket-owner es opcional. Si no se especifica el ID de la cuenta que posee el bucket de S3, GuardDuty no realiza ninguna validación. Al especificar el ID de cuenta para el parámetro expected-bucket-owner, GuardDuty valida que este ID de Cuenta de AWS sea propietario del bucket S3 especificado en el parámetro --location. Si GuardDuty descubre que este bucket de S3 no pertenece al ID de cuenta especificado, aparecerá un mensaje de error al activar esta lista.