エンティティリストまたは IP アドレスリストの更新
エンティティリストと IP アドレスリストは、GuardDuty の脅威検出機能をカスタマイズするのに役立ちます。これらのリストの詳細については、「エンティティリストと IP アドレスリストについて理解する」を参照してください。
リスト名、S3 バケットの場所、想定されるバケット所有者アカウント ID、および既存リスト内のエントリを更新できます。リストのエントリを更新する場合、GuardDuty がリストの最新バージョンを使用するには、そのリストを再度アクティブ化するステップに従う必要があります。エンティティリストまたは IP アドレスリストを更新または有効化した後、このリストが有効になるまでに数分かかる場合があります。詳細については、「GuardDuty リストに関する重要な考慮事項」を参照してください。
注記
リストのステータスが[アクティブ化]、[非アクティブ化]、または[削除保留中] の場合は、アクションを実行する前に数分待つ必要があります。これらのステータスについては、「リストのステータスについて理解する」を参照してください。
アクセス方法のいずれかを選択して、エンティティリストまたは IP アドレスリストを更新します。
- Console
-
https://console.aws.amazon.com/guardduty/
で GuardDuty コンソールを開きます。 -
ナビゲーションペインで、[リスト] を選択します。
-
[リスト] ページで、適切なタブ - [エンティティリスト] または [IP アドレスリスト] を選択します。
-
更新するリスト (信頼できるリストまたは脅威リスト) を 1 つ選択します。これにより、[アクション] メニューと[編集] メニューが有効になります。
-
[編集] を選択します。
-
リストを更新するダイアログボックスで、更新する詳細を指定します。
リストの命名に関する制約 - リストの名前には、小文字、大文字、数字、ダッシュ (-)、アンダースコア (_) を含めることができます。
IP アドレスリストの場合、リストの名前は AWS アカウント および リージョン内で一意である必要があります。
カスタム脅威とカスタムの信頼できるエンティティセットにのみ適用されます – 次のサポートされている形式と一致しない場所の URL を指定すると、リストの追加とアクティベーション中にエラーメッセージが表示されます。
-
(オプション) 予想されるバケット所有者には、[場所] フィールドで指定された Amazon S3 バケットを所有する AWS アカウント ID を入力できます。
AWS アカウント ID 所有者を指定しない場合、GuardDuty はエンティティリストと IP アドレスリストに対して異なる動作をします。エンティティリストの場合、GuardDuty は現在のメンバーアカウントが [場所] フィールドで指定された S3 バケットを所有していることを検証します。IP アドレスリストでは、AWS アカウント ID 所有者を指定しない場合、GuardDuty は検証を実行しません。
GuardDuty がこの S3 バケットが指定されたアカウント ID に属していないと判断した場合、リストのアクティブ化時にエラーが発生します。
-
[同意します] チェックボックスをオンにし、[リストを更新] を選択します。
- API/CLI
-
次の手順を開始するには、更新するリストリソースに関連付けられている
trustedEntitySetId、threatEntitySetId、trustedIpSet、threatIpSetなどの ID が必要です。信頼できるエンティティリストを更新してアクティブ化するには
-
UpdateTrustedEntitySet を実行します。この信頼されている IP リストを更新するメンバーアカウントの
detectorIdを必ず指定してください。アカウントと現在のリージョンのdetectorIdを検索するには、https://console.aws.amazon.com/guardduty/コンソールの [設定] ページを参照するか、ListDetectors API を実行します。 リストの命名に関する制約 - リストの名前には、小文字、大文字、数字、ダッシュ (-)、アンダースコア (_) を含めることができます。
-
または、次の AWS Command Line Interface コマンドを実行してリストの
nameを更新し、このリストをアクティブ化することもできます。aws guardduty update-trusted-entity-set \ --detector-id12abc34d567e8fa901bc2d34e56789f0\ --name "AnyOrganization ListEXAMPLE" \ --trusted-entity-set-idd4b94fc952d6912b8f3060768example\ --activatedetector-idを、信頼できるエンティティリストを作成するメンバーアカウントのディテクター ID、および赤で示されるその他のプレースホルダー値に置き換えます。この新しく作成されたリストをアクティブ化しない場合は、 パラメータ
--activateを--no-activateに置き換えます。expected-bucket-ownerパラメータはオプションです。このパラメータの値を指定するかどうかにかかわらず、GuardDuty は、この--detector-id値に関連付けられた AWS アカウント ID が--locationパラメータで指定された S3 バケットを所有していることを検証します。GuardDuty がこの S3 バケットが指定されたアカウント ID に属していないと判断した場合、このリストをアクティブ化するときにエラーが発生します。カスタム脅威とカスタムの信頼できるエンティティセットにのみ適用されます – 次のサポートされている形式と一致しない場所の URL を指定すると、リストの追加とアクティベーション中にエラーメッセージが表示されます。
脅威エンティティリストを更新してアクティブ化するには
-
UpdateThreatEntitySet を実行します。この脅威エンティティリストを作成するメンバーアカウントの
detectorIdを必ず指定してください。アカウントと現在のリージョンのdetectorIdを検索するには、https://console.aws.amazon.com/guardduty/コンソールの [設定] ページを参照するか、ListDetectors API を実行します。 リストの命名に関する制約 - リストの名前には、小文字、大文字、数字、ダッシュ (-)、アンダースコア (_) を含めることができます。
-
または、次の AWS Command Line Interface コマンドを実行してリストの
nameを更新し、このリストをアクティブ化することもできます。aws guardduty update-threat-entity-set \ --detector-id12abc34d567e8fa901bc2d34e56789f0\ --name "AnyOrganization ListEXAMPLE" \ --threat-entity-set-idd4b94fc952d6912b8f3060768example\ --activatedetector-idを、脅威エンティティリストを作成するメンバーアカウントのディテクター ID、および赤で示されるその他のプレースホルダー値に置き換えます。この新しく作成されたリストをアクティブ化しない場合は、 パラメータ
--activateを--no-activateに置き換えます。expected-bucket-ownerパラメータはオプションです。このパラメータの値を指定するかどうかにかかわらず、GuardDuty は、この--detector-id値に関連付けられた AWS アカウント ID が--locationパラメータで指定された S3 バケットを所有していることを検証します。GuardDuty がこの S3 バケットが指定されたアカウント ID に属していないと判断した場合、このリストをアクティブ化するときにエラーが発生します。カスタム脅威とカスタムの信頼できるエンティティセットにのみ適用されます – 次のサポートされている形式と一致しない場所の URL を指定すると、リストの追加とアクティベーション中にエラーメッセージが表示されます。
信頼できる IP アドレスリストを更新してアクティブ化するには
-
CreateIPSet を実行します。この信頼されている IP アドレスリストを更新するメンバーアカウントの
detectorIdを必ず指定してください。アカウントと現在のリージョンのdetectorIdを検索するには、https://console.aws.amazon.com/guardduty/コンソールの [設定] ページを参照するか、ListDetectors API を実行します。 リストの命名に関する制約 - リストの名前には、小文字、大文字、数字、ダッシュ (-)、アンダースコア (_) を含めることができます。
IP アドレスリストの場合、リストの名前は AWS アカウント および リージョン内で一意である必要があります。
-
あるいは、リストをアクティブ化する次の AWS Command Line Interface コマンドを実行することによってこれも実行できます。
aws guardduty update-ip-set \ --detector-id12abc34d567e8fa901bc2d34e56789f0\ --name "AnyOrganization ListEXAMPLE" \ --ip-set-idd4b94fc952d6912b8f3060768example\ --activatedetector-idを、信頼できる IP リストを更新するメンバーアカウントのディテクター ID、および赤で示されるその他のプレースホルダー値に置き換えます。この新しく作成されたリストをアクティブ化しない場合は、 パラメータ
--activateを--no-activateに置き換えます。expected-bucket-ownerパラメータはオプションです。S3 バケットを所有するアカウント ID を指定しない場合、GuardDuty は検証を実行しません。expected-bucket-ownerパラメータのアカウント ID を指定すると、GuardDuty はこの AWS アカウント ID が--locationパラメータで指定された S3 バケットを所有していることを検証します。GuardDuty がこの S3 バケットが指定されたアカウント ID に属していないと判断した場合、このリストをアクティブ化するときにエラーが発生します。
脅威 IP リストを追加およびアクティブ化するには
-
CreateThreatIntelSet を実行します。この脅威 IP アドレスリストを作成するメンバーアカウントの
detectorIdを必ず指定してください。アカウントと現在のリージョンのdetectorIdを検索するには、https://console.aws.amazon.com/guardduty/コンソールの [設定] ページを参照するか、ListDetectors API を実行します。 リストの命名に関する制約 - リストの名前には、小文字、大文字、数字、ダッシュ (-)、アンダースコア (_) を含めることができます。
IP アドレスリストの場合、リストの名前は AWS アカウント および リージョン内で一意である必要があります。
-
あるいは、リストをアクティブ化する次の AWS Command Line Interface コマンドを実行することによってこれも実行できます。
aws guardduty update-threat-intel-set \ --detector-id12abc34d567e8fa901bc2d34e56789f0\ --name "AnyOrganization ListEXAMPLE" \ --threat-intel-set-idd4b94fc952d6912b8f3060768example\ --activatedetector-idを脅威 IP リストを更新するメンバーアカウントのディテクター ID と、赤で表示されるその他のプレースホルダー値に置き換えます。この新しく作成されたリストをアクティブ化しない場合は、 パラメータ
--activateを--no-activateに置き換えます。expected-bucket-ownerパラメータはオプションです。S3 バケットを所有するアカウント ID を指定しない場合、GuardDuty は検証を実行しません。expected-bucket-ownerパラメータのアカウント ID を指定すると、GuardDuty はこの AWS アカウント ID が--locationパラメータで指定された S3 バケットを所有していることを検証します。GuardDuty がこの S3 バケットが指定されたアカウント ID に属していないと判断した場合、このリストをアクティブ化するときにエラーが発生します。
-
