Como adicionar e ativar uma lista de entidades ou lista de IPs - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como adicionar e ativar uma lista de entidades ou lista de IPs

As listas de entidades e listas de endereços IP ajudam você a personalizar os recursos de detecção de ameaças no GuardDuty. Para obter mais informações sobre essas listas, consulte Noções básicas sobre listas de entidades e listas de endereços IP. Para gerenciar os dados confiáveis e de inteligência contra ameaças do seu ambiente da AWS, o GuardDuty recomenda o uso de listas de entidades. Antes de começar, consulte Configuração de pré-requisitos para listas de entidades e listas de endereços IP.

Escolha um dos métodos de acesso a seguir para adicionar e habilitar uma lista de entidades confiável, uma lista de entidades de ameaças, uma lista de IPs confiáveis ou uma lista de IPs de ameaças.

Console
(Opcional) Etapa 1: buscar o URL do local da sua lista

  1. Abra o console do Amazon S3, em https://console.aws.amazon.com/s3/.

  2. No painel de navegação, escolha Buckets.

  3. Escolha o nome do bucket do Amazon S3 com a lista específica que deseja adicionar.

  4. Escolha o nome do objeto (lista) para visualizar os respectivos detalhes.

  5. Na guia Propriedades, copie o URI do S3 para esse objeto.

Etapa 2: adicionar dados confiáveis ou de inteligência contra ameaças

  1. Abra o console do GuardDuty em https://console.aws.amazon.com/guardduty.

  2. No painel de navegação, escolha Listas de domínios.

  3. Na página Listas, escolha a guia Listas de entidades ou Listas de endereços IP.

  4. Com base na guia selecionada, escolha para adicionar uma lista confiável ou uma lista de ameaças.

  5. Na caixa de diálogo para adicionar uma lista confiável ou de ameaças, faça o seguinte:

    1. Em Nome da lista, insira um nome para sua lista.

      Restrições de nomenclatura da lista — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (_).

      Para uma lista de endereços IP, o nome da sua lista deve ser exclusivo em uma região e Conta da AWS.

    2. Em Localização, informe o local em que o upload da sua lista foi realizado. Se você ainda não tiver configurado, consulte Step 1: Fetching location URL of your list.

      Aplica-se somente a ameaças personalizadas e conjuntos personalizados de entidades confiáveis – se você fornecer um URL de localização que não corresponda aos seguintes formatos suportados, receberá uma mensagem de erro durante a adição e ativação da lista.

      Formato do URL de localização:

      • https://s3.amazonaws.com/bucket.name/file.txt

      • https://s3-aws-region.amazonaws.com/bucket.name/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • s3://bucket.name/file.txt

    3. (Opcional) Para Proprietário esperado do bucket, você pode inserir o ID da Conta da AWS que possui o bucket do Amazon S3 especificado no campo Localização.

      Quando você não especifica um proprietário de ID da Conta da AWS, o GuardDuty se comporta de forma diferente para listas de entidades e listas de endereços IP. Para listas de entidades, o GuardDuty validará se a conta de membro atual possui o bucket do S3 especificado no campo Localização. Para listas de endereços IP, se você não especificar um proprietário de ID da Conta da AWS, o GuardDuty não executará nenhuma validação.

      Se o GuardDuty descobrir que esse bucket do S3 não pertence ao ID da conta especificada, você receberá um erro no momento da ativação da lista.

    4. Marque a caixa de seleção Concordo.

    5. Escolha Adicionar lista. Por padrão, o Status da lista adicionada é Inativo. Para que a lista seja efetiva, você deve habilitá-la.

Etapa 3: ativar uma lista de entidades ou lista de endereços IP

  1. Abra o console do GuardDuty em https://console.aws.amazon.com/guardduty.

  2. No painel de navegação, escolha Listas de domínios.

  3. Na página Listas, selecione a guia na qual você deseja ativar a lista – Listas de entidades ou Listas de endereços IP.

  4. Selecione uma lista que você deseja ativar. Isso habilitará o menu Ação e Editar.

  5. Escolha Ações e Ativar.

API/CLI
Para adicionar e ativar uma lista de entidades confiáveis

  1. Execute CreateTrustedEntitySet. Forneça o detectorId da conta de membro para a qual deseja criar essa lista de entidades confiáveis. Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    Restrições de nomenclatura da lista — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (_).

  2. Outra alternativa é executar o seguinte comando da AWS Command Line Interface: 

    aws guardduty create-trusted-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    Substitua detector-id pelo ID do detector da conta de membro para a qual você criará a lista de entidades confiáveis e outros valores de espaço reservado que são mostrados em vermelho.

    Se você não quiser ativar essa lista recém-criada, substitua o parâmetro --activate por --no-activate.

    O parâmetro expected-bucket-owner é opcional. Independentemente de você especificar ou não o valor desse parâmetro, o GuardDuty confirma se o ID da Conta da AWS associado a esse valor --detector-id possui o bucket do S3 especificado no parâmetro --location. Se o GuardDuty descobrir que esse bucket do S3 não pertence ao ID da conta especificada, você receberá um erro no momento da ativação da lista.

    Aplica-se somente a ameaças personalizadas e conjuntos personalizados de entidades confiáveis – se você fornecer um URL de localização que não corresponda aos seguintes formatos suportados, receberá uma mensagem de erro durante a adição e ativação da lista.

Para adicionar e ativar listas de entidades de ameaças

  1. Execute CreateThreatEntitySet. Forneça o detectorId da conta de membro para a qual você deseja criar essa lista de entidades de ameaças. Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    Restrições de nomenclatura da lista — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (_).

  2. Outra alternativa é executar o seguinte comando da AWS Command Line Interface: 

    aws guardduty create-threat-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    Substitua detector-id pelo ID do detector da conta de membro para a qual você criará a lista de entidades confiáveis e outros valores de espaço reservado que são mostrados em vermelho.

    Se você não quiser ativar essa lista recém-criada, substitua o parâmetro --activate por --no-activate.

    O parâmetro expected-bucket-owner é opcional. Independentemente de você especificar ou não o valor desse parâmetro, o GuardDuty confirma se o ID da Conta da AWS associado a esse valor --detector-id possui o bucket do S3 especificado no parâmetro --location. Se o GuardDuty descobrir que esse bucket do S3 não pertence ao ID da conta especificada, você receberá um erro no momento da ativação da lista.

    Aplica-se somente a ameaças personalizadas e conjuntos personalizados de entidades confiáveis – se você fornecer um URL de localização que não corresponda aos seguintes formatos suportados, receberá uma mensagem de erro durante a adição e ativação da lista.

Para adicionar e ativar uma lista de endereços IPs confiáveis

  1. Execute CreateIPSet. Forneça o detectorId da conta de membro para a qual deseja criar essa lista de endereços IPs confiáveis. Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    Para uma lista de endereços IP, o nome da sua lista deve ser exclusivo em uma região e Conta da AWS.

    Restrições de nomenclatura da lista — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (_).

  2. Como alternativa, pode-se fazer isso executando o seguinte comando AWS Command Line Interface e substituindo detector-id pelo ID do detector da conta de membro para a qual a lista de endereços IPs confiáveis será atualizada.

    aws guardduty create-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    Substitua detector-id pelo ID do detector da conta de membro para a qual você criará a lista de IPs confiáveis e outros valores de espaço reservado que são mostrados em vermelho.

    Se você não quiser ativar essa lista recém-criada, substitua o parâmetro --activate por --no-activate.

    O parâmetro expected-bucket-owner é opcional. Quando você não especifica o ID da conta que tem o bucket do S3, o GuardDuty não executa nenhuma validação. Quando você especifica o ID da conta para o parâmetro expected-bucket-owner, o GuardDuty confirma se esse ID da Conta da AWS possui o bucket do S3 especificado no parâmetro --location. Se o GuardDuty descobrir que esse bucket do S3 não pertence ao ID da conta especificada, você receberá um erro no momento da ativação da lista.

Para adicionar e ativar listas de IP de ameaças

  1. Execute CreateThreatIntelSet. Forneça o detectorId da conta de membro para a qual deseja criar essa lista de endereços IPs de ameaças. Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    Restrições de nomenclatura da lista — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (_).

    Para uma lista de endereços IP, o nome da sua lista deve ser exclusivo em uma região e Conta da AWS.

  2. Como alternativa, pode-se fazer isso executando o seguinte comando AWS Command Line Interface e substituindo detector-id pelo ID do detector da conta de membro para a qual a lista de IPs confiáveis será atualizada.

    aws guardduty create-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    Substitua detector-id pelo ID do detector da conta de membro para a qual você criará a lista de IPs de ameaças e outros valores de espaço reservado que são mostrados em vermelho.

    Se você não quiser ativar essa lista recém-criada, substitua o parâmetro --activate por --no-activate.

    O parâmetro expected-bucket-owner é opcional. Quando você não especifica o ID da conta que tem o bucket do S3, o GuardDuty não executa nenhuma validação. Quando você especifica o ID da conta para o parâmetro expected-bucket-owner, o GuardDuty confirma se esse ID da Conta da AWS possui o bucket do S3 especificado no parâmetro --location. Se o GuardDuty descobrir que esse bucket do S3 não pertence ao ID da conta especificada, você receberá um erro no momento da ativação da lista.

Depois que você ativar uma lista de entidades ou de endereços IP, poderá levar alguns minutos para que essa lista entre em vigor. Para obter mais informações, consulte Considerações importantes sobre listas GuardDuty .