Aggiungere e attivare un elenco di entità o un elenco di IP - Amazon GuardDuty

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiungere e attivare un elenco di entità o un elenco di IP

Gli elenchi di entità e gli elenchi di indirizzi IP consentono di personalizzare le funzionalità di rilevamento delle minacce in GuardDuty. Per ulteriori informazioni su questi elenchi, vedereComprensione degli elenchi di entità e degli elenchi di indirizzi IP. Per gestire i dati affidabili e di intelligence sulle minacce per il proprio AWS ambiente, GuardDuty consiglia di utilizzare gli elenchi di entità. Prima di iniziare, consulta Impostazione dei prerequisiti per gli elenchi di entità e gli elenchi di indirizzi IP.

Scegli uno dei seguenti metodi di accesso per aggiungere e attivare un elenco di entità attendibili, un elenco di entità minacciate, un elenco di IP affidabili o un elenco di IP di minacce.

Console
(Facoltativo) fase 1: recupero dell'URL della posizione dell'elenco

  1. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel pannello di navigazione, scegli Bucket.

  3. Scegli il nome del bucket Amazon S3 che contiene l'elenco specifico che vuoi aggiungere.

  4. Scegli il nome dell'oggetto (elenco) per visualizzarne i dettagli.

  5. Nella scheda Proprietà, copia l'URI S3 per questo oggetto.

Fase 2: aggiunta di dati affidabili o di intelligence sulle minacce

  1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

  2. Nel riquadro di navigazione, scegli Elenchi.

  3. Nella pagina Elenchi, scegli la scheda Elenchi di entità o Elenchi di indirizzi IP.

  4. In base alla scheda selezionata, scegli di aggiungere un elenco attendibile o un elenco di minacce.

  5. Nella finestra di dialogo per aggiungere un elenco di siti attendibili o di minacce, procedi nel seguente modo:

    1. Per Nome elenco, inserisci un nome per l'elenco.

      Vincoli di denominazione degli elenchi: il nome dell'elenco può includere lettere minuscole, lettere maiuscole, numeri, trattino (-) e trattino basso (_).

      Per un elenco di indirizzi IP, il nome dell'elenco deve essere univoco all'interno di una regione and. Account AWS

    2. Per Posizione, fornisci la posizione in cui hai caricato l'elenco. Se non hai ancora una posizione, consulta Step 1: Fetching location URL of your list.

      Formato dell'URL della posizione

      • https://s3.amazonaws.com/bucket.name/file.txt

      • https://s3-aws-region.amazonaws.com/bucket.name/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • http://bucket.s3-aws-region.amazonaws.com/file.txt

      • s3://bucket.name/file.txt

    3. (Facoltativo) Per Expected bucket owner, puoi inserire l' Account AWS ID che possiede il bucket Amazon S3 specificato nel campo Posizione.

      Quando non specifichi un proprietario dell' Account AWS ID, GuardDuty si comporta in modo diverso per gli elenchi di entità e gli elenchi di indirizzi IP. Per gli elenchi di entità, GuardDuty verificherà che l'account membro corrente possieda il bucket S3 specificato nel campo Posizione. Per gli elenchi di indirizzi IP, se non specifichi un proprietario dell' Account AWS ID, GuardDuty non esegue alcuna convalida.

      Se GuardDuty rileva che questo bucket S3 non appartiene all'ID account specificato, riceverai un errore al momento dell'attivazione dell'elenco.

    4. Selezionare la casella di controllo I agree (Accetto).

    5. Scegliere Add list (Aggiungi elenco). Per impostazione predefinita, lo Stato dell'elenco aggiunto è Inattivo. Affinché l'elenco sia efficace, è necessario attivarlo.

Passaggio 3: attivazione di un elenco di entità o un elenco di indirizzi IP

  1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

  2. Nel riquadro di navigazione, scegli Elenchi.

  3. Nella pagina Elenchi, seleziona la scheda in cui desideri attivare l'elenco: Elenchi di entità o elenchi di indirizzi IP.

  4. Seleziona un elenco che desideri attivare. Ciò abiliterà il menu Azione e modifica.

  5. Scegli Azione, quindi scegli Attiva.

API/CLI
Per aggiungere e attivare un elenco di entità attendibili

  1. Esegui CreateTrustedEntitySet. Assicurati detectorId di fornire l'account membro per il quale desideri creare questo elenco di entità attendibili. Per trovare l'detectorIdindirizzo per il tuo account e la regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    Vincoli di denominazione degli elenchi: il nome dell'elenco può includere lettere minuscole, lettere maiuscole, numeri, trattino (-) e trattino basso (_).

  2. In alternativa, è possibile eseguire questa operazione eseguendo il comando seguente: AWS Command Line Interface 

    aws guardduty create-trusted-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    Sostituiscilo detector-id con l'ID del rilevatore dell'account membro per il quale creerai l'elenco delle entità attendibili e altri valori segnaposto simili. shown in red

    Se non desideri attivare questo elenco appena creato, sostituisci il parametro con. --activate --no-activate

    Il parametro expected-bucket-owner è facoltativo. Indipendentemente dal fatto che tu specifichi o meno il valore per questo parametro GuardDuty , verifica che l' Account AWS ID associato a questo --detector-id valore possieda il bucket S3 specificato nel parametro. --location Se GuardDuty rileva che questo bucket S3 non appartiene all'ID account specificato, riceverai un errore al momento dell'attivazione di questo elenco.

Per aggiungere e attivare elenchi di entità minacciose

  1. Esegui CreateThreatEntitySet. Assicurati detectorId di fornire l'account membro per il quale desideri creare questo elenco di entità minacciose. Per trovare l'detectorIdindirizzo per il tuo account e la regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    Vincoli di denominazione degli elenchi: il nome dell'elenco può includere lettere minuscole, lettere maiuscole, numeri, trattino (-) e trattino basso (_).

  2. In alternativa, è possibile eseguire questa operazione eseguendo il comando seguente: AWS Command Line Interface 

    aws guardduty create-threat-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    Sostituiscilo detector-id con l'ID del rilevatore dell'account membro per il quale creerai l'elenco delle entità attendibili e altri valori segnaposto simili. shown in red

    Se non desideri attivare questo elenco appena creato, sostituisci il parametro con. --activate --no-activate

    Il parametro expected-bucket-owner è facoltativo. Indipendentemente dal fatto che tu specifichi o meno il valore per questo parametro GuardDuty , verifica che l' Account AWS ID associato a questo --detector-id valore possieda il bucket S3 specificato nel parametro. --location Se GuardDuty rileva che questo bucket S3 non appartiene all'ID account specificato, riceverai un errore al momento dell'attivazione di questo elenco.

Per aggiungere e attivare un elenco di indirizzi IP affidabili

  1. Esegui Create IPSet. Assicurati detectorId di fornire l'account membro per il quale desideri creare questo elenco di indirizzi IP affidabili. Per trovare l'detectorIdindirizzo per il tuo account e la regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    Per un elenco di indirizzi IP, il nome dell'elenco deve essere univoco all'interno di una regione Account AWS and.

    Vincoli di denominazione degli elenchi: il nome dell'elenco può includere lettere minuscole, lettere maiuscole, numeri, trattino (-) e trattino basso (_).

  2. In alternativa, puoi farlo eseguendo il AWS Command Line Interface comando seguente e assicurati di sostituirlo detector-id con l'ID del rilevatore dell'account membro per il quale aggiornerai l'elenco degli indirizzi IP affidabili.

    aws guardduty create-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    Sostituiscilo detector-id con l'ID del rilevatore dell'account membro per il quale creerai l'elenco di IP affidabili e altri valori segnaposto simili. shown in red

    Se non desideri attivare questo elenco appena creato, sostituisci il parametro con. --activate --no-activate

    Il parametro expected-bucket-owner è facoltativo. Quando non specifichi l'ID dell'account proprietario del bucket S3, GuardDuty non esegue alcuna convalida. Quando specifichi l'ID dell'account per il expected-bucket-owner parametro, GuardDuty verifica che tale Account AWS ID sia proprietario del bucket S3 specificato nel parametro. --location Se GuardDuty rileva che questo bucket S3 non appartiene all'ID account specificato, riceverai un errore al momento dell'attivazione di questo elenco.

Per aggiungere e attivare elenchi di indirizzi IP delle minacce

  1. Esegui CreateThreatIntelSet. Assicurati detectorId di fornire l'account membro per il quale desideri creare questo elenco di indirizzi IP delle minacce. Per trovare l'detectorIdindirizzo per il tuo account e la regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    Vincoli di denominazione degli elenchi: il nome dell'elenco può includere lettere minuscole, lettere maiuscole, numeri, trattino (-) e trattino basso (_).

    Per un elenco di indirizzi IP, il nome dell'elenco deve essere univoco all'interno di una regione and. Account AWS

  2. In alternativa, puoi farlo eseguendo il AWS Command Line Interface comando seguente e assicurati di sostituirlo detector-id con l'ID del rilevatore dell'account membro per il quale aggiornerai l'elenco degli IP delle minacce.

    aws guardduty create-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    Sostituiscilo detector-id con l'ID del rilevatore dell'account membro per il quale creerai l'elenco degli IP delle minacce e altri valori segnaposto simili. shown in red

    Se non desideri attivare questo elenco appena creato, sostituisci il parametro con. --activate --no-activate

    Il parametro expected-bucket-owner è facoltativo. Quando non specifichi l'ID dell'account proprietario del bucket S3, GuardDuty non esegue alcuna convalida. Quando specifichi l'ID dell'account per il expected-bucket-owner parametro, GuardDuty verifica che tale Account AWS ID sia proprietario del bucket S3 specificato nel parametro. --location Se GuardDuty rileva che questo bucket S3 non appartiene all'ID account specificato, riceverai un errore al momento dell'attivazione di questo elenco.

Dopo aver attivato un elenco di entità o un elenco di indirizzi IP, potrebbero essere necessari alcuni minuti prima che questo elenco sia efficace. Per ulteriori informazioni, consulta Considerazioni importanti per gli elenchi GuardDuty .