Atualizando uma lista de entidades ou lista de endereços IP - Amazon GuardDuty

Atualizando uma lista de entidades ou lista de endereços IP

As listas de entidades e listas de endereços IP ajudam você a personalizar os recursos de detecção de ameaças no GuardDuty. Para obter mais informações sobre essas listas, consulte Noções básicas sobre listas de entidades e listas de endereços IP.

Você pode atualizar o nome de uma lista, a localização do bucket do S3, o ID esperado da conta do proprietário do bucket e as entradas em uma lista existente. Se você atualizar as entradas em uma lista, deverá seguir as etapas para ativar a lista novamente para que o GuardDuty use a versão mais recente da lista. Depois que você atualizar ou ativar uma lista de entidades ou de endereços IP, poderá levar alguns minutos para que essa lista entre em vigor. Para obter mais informações, consulte Considerações importantes sobre listas do GuardDuty.

nota

Se o status da lista for Ativando, Desativando ou Exclusão pendente, você deverá aguardar alguns minutos antes de realizar qualquer ação. Para informações sobre esses status, consulte Noções básicas sobre os status de listas.

Selecione um dos métodos de acesso para atualizar uma lista de entidades ou uma lista de endereços IP.

Console

  1. Abra o console do GuardDuty em https://console.aws.amazon.com/guardduty.

  2. No painel de navegação, escolha Listas de domínios.

  3. Na página Listas, escolha a guia apropriada Listas de entidades ou Listas de endereços IP.

  4. Selecione uma lista (confiável ou de ameaças) que você deseja atualizar. Isso habilitará o menu Ação e Editar.

  5. Escolha Editar.

  6. Na caixa de diálogo para atualizar a lista, especifique os detalhes que você deseja atualizar.

    Restrições de nomenclatura da lista — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (_).

    Para uma lista de endereços IP, o nome da sua lista deve ser exclusivo em uma região e Conta da AWS.

    Aplica-se somente a ameaças personalizadas e conjuntos personalizados de entidades confiáveis – se você fornecer um URL de localização que não corresponda aos seguintes formatos suportados, receberá uma mensagem de erro durante a adição e ativação da lista.

  7. (Opcional) Para Proprietário esperado do bucket, você pode inserir o ID da Conta da AWS que possui o bucket do Amazon S3 especificado no campo Localização.

    Quando você não especifica um proprietário de ID da Conta da AWS, o GuardDuty se comporta de forma diferente para listas de entidades e listas de endereços IP. Para listas de entidades, o GuardDuty validará se a conta de membro atual possui o bucket do S3 especificado no campo Localização. Para listas de endereços IP, se você não especificar um proprietário de ID da Conta da AWS, o GuardDuty não executará nenhuma validação.

    Se o GuardDuty descobrir que esse bucket do S3 não pertence ao ID da conta especificada, você receberá um erro no momento da ativação da lista.

  8. Marque a caixa de seleção Concordo e, em seguida, selecione Atualizar lista.

API/CLI

Para começar com os procedimentos a seguir, você precisa do ID, como trustedEntitySetId, threatEntitySetId, trustedIpSet ou threatIpSet, que está associado ao recurso da lista que você deseja atualizar.

Para atualizar e ativar uma lista de entidades confiáveis

  1. Execute UpdateTrustedEntitySet. Forneça o detectorId da conta de membro para a qual deseja atualizar essa lista de entidades confiáveis. Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    Restrições de nomenclatura da lista — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (_).

  2. Como alternativa, você pode fazer isso executando o seguinte comando AWS Command Line Interface que atualiza o name da lista e também ativa essa lista: 

    aws guardduty update-trusted-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--activate

    Substitua detector-id pelo ID do detector da conta de membro para a qual você criará a lista de entidades confiáveis e outros valores de espaço reservado que são mostrados em vermelho.

    Se você não quiser ativar essa lista recém-criada, substitua o parâmetro --activate por --no-activate.

    O parâmetro expected-bucket-owner é opcional. Independentemente de você especificar ou não o valor desse parâmetro, o GuardDuty confirma se o ID da Conta da AWS associado a esse valor --detector-id possui o bucket do S3 especificado no parâmetro --location. Se o GuardDuty descobrir que esse bucket do S3 não pertence ao ID da conta especificada, você receberá um erro no momento da ativação da lista.

    Aplica-se somente a ameaças personalizadas e conjuntos personalizados de entidades confiáveis – se você fornecer um URL de localização que não corresponda aos seguintes formatos suportados, receberá uma mensagem de erro durante a adição e ativação da lista.

Para atualizar e ativar uma lista de entidades de ameaças

  1. Execute UpdateThreatEntitySet. Forneça o detectorId da conta de membro para a qual você deseja criar essa lista de entidades de ameaças. Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    Restrições de nomenclatura da lista — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (_).

  2. Como alternativa, você pode fazer isso executando o seguinte comando AWS Command Line Interface que atualiza o name da lista e também ativa essa lista: 

    aws guardduty update-threat-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--activate

    Substitua detector-id pelo ID do detector da conta de membro para a qual você criará a lista de entidades de ameaças e outros valores de espaço reservado que são mostrados em vermelho.

    Se você não quiser ativar essa lista recém-criada, substitua o parâmetro --activate por --no-activate.

    O parâmetro expected-bucket-owner é opcional. Independentemente de você especificar ou não o valor desse parâmetro, o GuardDuty confirma se o ID da Conta da AWS associado a esse valor --detector-id possui o bucket do S3 especificado no parâmetro --location. Se o GuardDuty descobrir que esse bucket do S3 não pertence ao ID da conta especificada, você receberá um erro no momento da ativação da lista.

    Aplica-se somente a ameaças personalizadas e conjuntos personalizados de entidades confiáveis – se você fornecer um URL de localização que não corresponda aos seguintes formatos suportados, receberá uma mensagem de erro durante a adição e ativação da lista.

Para atualizar e ativar uma lista de endereços IPs confiáveis

  1. Execute CreateIPSet. Forneça o detectorId da conta de membro para a qual deseja atualizar essa lista de endereços IP confiáveis. Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    Restrições de nomenclatura da lista — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (_).

    Para uma lista de endereços IP, o nome da sua lista deve ser exclusivo em uma região e Conta da AWS.

  2. Como alternativa, você pode fazer isso executando o seguinte comando AWS Command Line Interface que também ativa a lista:

    aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--ip-set-id d4b94fc952d6912b8f3060768example \
--activate

    Substitua detector-id pelo ID do detector da conta de membro para a qual você atualizará a lista de IPs confiáveis e outros valores de espaço reservado que são mostrados em vermelho.

    Se você não quiser ativar essa lista recém-criada, substitua o parâmetro --activate por --no-activate.

    O parâmetro expected-bucket-owner é opcional. Quando você não especifica o ID da conta que tem o bucket do S3, o GuardDuty não executa nenhuma validação. Quando você especifica o ID da conta para o parâmetro expected-bucket-owner, o GuardDuty confirma se esse ID da Conta da AWS possui o bucket do S3 especificado no parâmetro --location. Se o GuardDuty descobrir que esse bucket do S3 não pertence ao ID da conta especificada, você receberá um erro no momento da ativação da lista.

Para adicionar e ativar listas de IP de ameaças

  1. Execute CreateThreatIntelSet. Forneça o detectorId da conta de membro para a qual deseja criar essa lista de endereços IPs de ameaças. Para encontrar o detectorId para a sua conta e a região atual, consulte a página Configurações no console https://console.aws.amazon.com/guardduty/ ou execute a API ListDetectors.

    Restrições de nomenclatura da lista — O nome da sua lista pode incluir letras minúsculas, letras maiúsculas, números, traço (-) e sublinhado (_).

    Para uma lista de endereços IP, o nome da sua lista deve ser exclusivo em uma região e Conta da AWS.

  2. Como alternativa, você pode fazer isso executando o seguinte comando AWS Command Line Interface que também ativa a lista:

    aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--activate

    Substitua detector-id pelo ID do detector da conta de membro para a qual você atualizará a lista de IPs de ameaças e outros valores de espaço reservado que são mostrados em vermelho.

    Se você não quiser ativar essa lista recém-criada, substitua o parâmetro --activate por --no-activate.

    O parâmetro expected-bucket-owner é opcional. Quando você não especifica o ID da conta que tem o bucket do S3, o GuardDuty não executa nenhuma validação. Quando você especifica o ID da conta para o parâmetro expected-bucket-owner, o GuardDuty confirma se esse ID da Conta da AWS possui o bucket do S3 especificado no parâmetro --location. Se o GuardDuty descobrir que esse bucket do S3 não pertence ao ID da conta especificada, você receberá um erro no momento da ativação da lista.