Mettre à jour une liste d'entités ou une liste d'adresses IP - Amazon GuardDuty

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mettre à jour une liste d'entités ou une liste d'adresses IP

Les listes d'entités et les listes d'adresses IP vous aident à personnaliser les fonctionnalités de détection des menaces dans GuardDuty. Pour plus d'informations sur ces listes, consultezComprendre les listes d'entités et les listes d'adresses IP.

Vous pouvez mettre à jour le nom d'une liste, l'emplacement du compartiment S3, l'ID de compte du propriétaire attendu du compartiment et les entrées d'une liste existante. Si vous mettez à jour les entrées d'une liste, vous devez suivre les étapes pour réactiver la liste GuardDuty afin d'utiliser la dernière version de la liste. Après avoir mis à jour ou activé une liste d'entités ou une liste d'adresses IP, l'entrée en vigueur de cette liste peut prendre quelques minutes. Pour de plus amples informations, veuillez consulter Considérations importantes relatives aux GuardDuty listes.

Note

Si le statut d'une liste est Activation, Désactivation ou Supprimer en attente, vous devez attendre quelques minutes avant d'effectuer une action. Pour plus d'informations sur ces statuts, consultezComprendre les statuts des listes.

Choisissez l'une des méthodes d'accès pour mettre à jour une liste d'entités ou une liste d'adresses IP.

Console

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Dans le panneau de navigation, choisissez Listes.

  3. Sur la page Listes, sélectionnez l'onglet approprié : Listes d'entités ou listes d'adresses IP.

  4. Sélectionnez une liste (fiable ou menaçante) que vous souhaitez mettre à jour. Cela activera le menu Action et Édition.

  5. Choisissez Modifier.

  6. Dans la boîte de dialogue pour mettre à jour la liste, spécifiez les détails que vous souhaitez mettre à jour.

    Contraintes de dénomination des listes : le nom de votre liste peut inclure des lettres minuscules, des lettres majuscules, des chiffres, des tirets (-) et des traits de soulignement (_).

    Pour une liste d'adresses IP, le nom de votre liste doit être unique au sein d'une région Compte AWS et.

    S'applique uniquement aux menaces personnalisées et aux ensembles d'entités fiables personnalisés. Si vous fournissez une URL de localisation qui ne correspond pas aux formats pris en charge suivants, vous recevrez un message d'erreur lors de l'ajout et de l'activation de la liste.

  7. (Facultatif) Pour le propriétaire attendu du compartiment, vous pouvez saisir l' Compte AWS ID propriétaire du compartiment Amazon S3 spécifié dans le champ Emplacement.

    Lorsque vous ne spécifiez pas de propriétaire d' Compte AWS identifiant, le GuardDuty comportement est différent pour les listes d'entités et les listes d'adresses IP. Pour les listes d'entités, GuardDuty validera que le compte membre actuel possède le compartiment S3 spécifié dans le champ Emplacement. Pour les listes d'adresses IP, si vous ne spécifiez pas de propriétaire d' Compte AWS identifiant, aucune validation GuardDuty n'est effectuée.

    S' GuardDuty il s'avère que ce compartiment S3 n'appartient pas à l'ID de compte spécifié, un message d'erreur s'affichera au moment de l'activation de la liste.

  8. Cochez la case J'accepte, puis choisissez Mettre à jour la liste.

API/CLI

Pour commencer les procédures suivantes, vous avez besoin de l'ID, tel quetrustedEntitySetId,threatEntitySetId, ou trustedIpSetthreatIpSet, qui est associé à la ressource de liste que vous souhaitez mettre à jour.

Pour mettre à jour et activer une liste d'entités de confiance

  1. Exécutez UpdateTrustedEntitySet. Assurez-vous detectorId de fournir le compte membre pour lequel vous souhaitez mettre à jour cette liste d'entités de confiance. detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez l'ListDetectorsAPI.

    Contraintes de dénomination des listes : le nom de votre liste peut inclure des lettres minuscules, des lettres majuscules, des chiffres, des tirets (-) et des traits de soulignement (_).

  2. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante qui met à jour name la liste et active également cette liste : 

    aws guardduty update-trusted-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--activate

    detector-idRemplacez-le par l'ID du détecteur du compte membre pour lequel vous allez créer la liste des entités de confiance, ainsi que par d'autres valeurs d'espace réservé qui le sontshown in red.

    Si vous ne souhaitez pas activer cette liste nouvellement créée, remplacez le paramètre --activate par--no-activate.

    Le paramètre expected-bucket-owner est facultatif. Que vous spécifiiez ou non la valeur de ce paramètre, cela GuardDuty confirme que l' Compte AWS ID associé à cette --detector-id valeur possède le compartiment S3 spécifié dans le --location paramètre. S' GuardDuty il s'avère que ce compartiment S3 n'appartient pas à l'ID de compte spécifié, un message d'erreur s'affichera au moment de l'activation de cette liste.

    S'applique uniquement aux menaces personnalisées et aux ensembles d'entités fiables personnalisés. Si vous fournissez une URL de localisation qui ne correspond pas aux formats pris en charge suivants, vous recevrez un message d'erreur lors de l'ajout et de l'activation de la liste.

Pour mettre à jour et activer une liste d'entités menaçantes

  1. Exécutez UpdateThreatEntitySet. Assurez-vous detectorId de fournir le compte membre pour lequel vous souhaitez créer cette liste d'entités menaçantes. detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez l'ListDetectorsAPI.

    Contraintes de dénomination des listes : le nom de votre liste peut inclure des lettres minuscules, des lettres majuscules, des chiffres, des tirets (-) et des traits de soulignement (_).

  2. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante qui met à jour name la liste et active également cette liste : 

    aws guardduty update-threat-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--activate

    detector-idRemplacez-le par l'ID du détecteur du compte membre pour lequel vous allez créer la liste des entités menaçantes, ainsi que par d'autres valeurs d'espace réservé qui le sontshown in red.

    Si vous ne souhaitez pas activer cette liste nouvellement créée, remplacez le paramètre --activate par--no-activate.

    Le paramètre expected-bucket-owner est facultatif. Que vous spécifiiez ou non la valeur de ce paramètre, cela GuardDuty confirme que l' Compte AWS ID associé à cette --detector-id valeur possède le compartiment S3 spécifié dans le --location paramètre. S' GuardDuty il s'avère que ce compartiment S3 n'appartient pas à l'ID de compte spécifié, un message d'erreur s'affichera au moment de l'activation de cette liste.

    S'applique uniquement aux menaces personnalisées et aux ensembles d'entités fiables personnalisés. Si vous fournissez une URL de localisation qui ne correspond pas aux formats pris en charge suivants, vous recevrez un message d'erreur lors de l'ajout et de l'activation de la liste.

Pour mettre à jour et activer une liste d'adresses IP fiables

  1. Exécutez Create IPSet. Assurez-vous detectorId de fournir le compte membre pour lequel vous souhaitez mettre à jour cette liste d'adresses IP fiables. detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez l'ListDetectorsAPI.

    Contraintes de dénomination des listes : le nom de votre liste peut inclure des lettres minuscules, des lettres majuscules, des chiffres, des tirets (-) et des traits de soulignement (_).

    Pour une liste d'adresses IP, le nom de votre liste doit être unique au sein d'une région Compte AWS et.

  2. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante qui active également la liste :

    aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--ip-set-id d4b94fc952d6912b8f3060768example \
--activate

    detector-idRemplacez-le par l'ID du détecteur du compte membre pour lequel vous allez mettre à jour la liste d'adresses IP fiables, ainsi que par d'autres valeurs d'espace réservé qui le sontshown in red.

    Si vous ne souhaitez pas activer cette liste nouvellement créée, remplacez le paramètre --activate par--no-activate.

    Le paramètre expected-bucket-owner est facultatif. Lorsque vous ne spécifiez pas l'ID de compte propriétaire du compartiment S3, aucune validation GuardDuty n'est effectuée. Lorsque vous spécifiez l'ID de compte pour le expected-bucket-owner paramètre, cela GuardDuty confirme que cet Compte AWS ID possède le compartiment S3 spécifié dans le --location paramètre. S' GuardDuty il s'avère que ce compartiment S3 n'appartient pas à l'ID de compte spécifié, un message d'erreur s'affichera au moment de l'activation de cette liste.

Pour ajouter et activer des listes d'adresses IP de menaces

  1. Exécutez CreateThreatIntelSet. Assurez-vous detectorId de fournir le compte membre pour lequel vous souhaitez créer cette liste d'adresses IP de menaces. detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez l'ListDetectorsAPI.

    Contraintes de dénomination des listes : le nom de votre liste peut inclure des lettres minuscules, des lettres majuscules, des chiffres, des tirets (-) et des traits de soulignement (_).

    Pour une liste d'adresses IP, le nom de votre liste doit être unique au sein d'une région Compte AWS et.

  2. Vous pouvez également le faire en exécutant la AWS Command Line Interface commande suivante qui active également la liste :

    aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--activate

    detector-idRemplacez-le par l'ID du détecteur du compte membre pour lequel vous allez mettre à jour la liste des adresses IP des menaces, ainsi que par d'autres valeurs d'espace réservé qui le sontshown in red.

    Si vous ne souhaitez pas activer cette liste nouvellement créée, remplacez le paramètre --activate par--no-activate.

    Le paramètre expected-bucket-owner est facultatif. Lorsque vous ne spécifiez pas l'ID de compte propriétaire du compartiment S3, aucune validation GuardDuty n'est effectuée. Lorsque vous spécifiez l'ID de compte pour le expected-bucket-owner paramètre, cela GuardDuty confirme que cet Compte AWS ID possède le compartiment S3 spécifié dans le --location paramètre. S' GuardDuty il s'avère que ce compartiment S3 n'appartient pas à l'ID de compte spécifié, un message d'erreur s'affichera au moment de l'activation de cette liste.