更新实体列表或 IP 地址列表 - Amazon GuardDuty

更新实体列表或 IP 地址列表

实体列表和 IP 地址列表可帮助您自定义 GuardDuty 中的各项威胁检测功能。有关这些列表的更多信息,请参阅理解实体列表和 IP 地址列表

可以更新列表名称、S3 存储桶位置、预期存储桶所有者账户 ID 以及现有列表中的条目。如果更新某个列表中的条目,则必须按照步骤再次启用该列表,GuardDuty 才能使用最新版本的列表。更新或启用实体列表或 IP 地址列表后,此列表可能需要几分钟才能生效。有关更多信息,请参阅 GuardDuty 列表的重要注意事项

注意

如果列表的状态为启用停用待删除,则必须等待几分钟才能执行任何操作。有关这些状态的信息,请参阅了解列表状态

选择一种访问方法来更新实体列表或 IP 地址列表。

Console

  1. 通过以下网址打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/

  2. 在导航窗格中,选择列表

  3. 列表页面上,选择相应的选项卡:实体列表IP 地址列表

  4. 选择一个要更新的列表(可信列表或威胁列表)。这将启用操作编辑菜单。

  5. 选择编辑

  6. 在列表更新对话框中,指定要更新的详细信息。

    列表命名约束:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (_)。

    如果是 IP 地址列表,列表名称在 AWS 账户和区域内必须是唯一的。

    仅适用于自定义威胁和自定义可信实体集,如果您提供的位置 URL 与以下支持的格式不一致,则您在添加和启用列表时会收到错误消息。

  7. (可选)对于预期存储桶所有者,可以输入拥有位置字段中指定 Amazon S3 存储桶的 AWS 账户 ID。

    如果您未指定 AWS 账户 ID 所有者,GuardDuty 对实体列表和 IP 地址列表的行为会有所不同。对于实体列表,GuardDuty 将验证当前成员账户是否拥有位置字段中指定的 S3 存储桶。对于 IP 地址列表,如果您未指定 AWS 账户 ID 所有者,GuardDuty 不会执行任何验证。

    如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则您在启用列表时会收到错误消息。

  8. 选中我同意复选框,然后选择更新列表

API/CLI

要开始以下过程,您需要与要更新的列表资源关联的 ID,例如 trustedEntitySetIdthreatEntitySetIdtrustedIpSetthreatIpSet

更新和启用可信实体列表

  1. 运行 UpdateTrustedEntitySet。确保提供要为其更新此可信实体列表的成员账户的 detectorId。要查找您账户和当前区域的 detectorId,请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面,或者运行 ListDetectors API。

    列表命名约束:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (_)。

  2. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作,该命令会更新列表的 name 并启用此列表:

    aws guardduty update-trusted-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--activate

    detector-id 替换为要为其创建可信实体列表的成员账户的检测器 ID,同时替换其他以红色显示的占位符值。

    如果您不想启用此新建列表,请将参数 --activate 替换为 --no-activate

    expected-bucket-owner 参数是可选的。无论您是否为此参数指定值,GuardDuty 都会验证与此 --detector-id 值关联的 AWS 账户 ID 是否拥有 --location 参数中指定的 S3 存储桶。如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则您在启用此列表时会收到错误消息。

    仅适用于自定义威胁和自定义可信实体集,如果您提供的位置 URL 与以下支持的格式不一致,则您在添加和启用列表时会收到错误消息。

更新和启用威胁实体列表

  1. 运行 UpdateThreatEntitySet。确保提供要为其创建此威胁实体列表的成员账户的 detectorId。要查找您账户和当前区域的 detectorId,请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面,或者运行 ListDetectors API。

    列表命名约束:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (_)。

  2. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作,该命令会更新列表的 name 并启用此列表:

    aws guardduty update-threat-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--activate

    detector-id 替换为要为其创建威胁实体列表的成员账户的检测器 ID,同时替换其他以红色显示的占位符值。

    如果您不想启用此新建列表,请将参数 --activate 替换为 --no-activate

    expected-bucket-owner 参数是可选的。无论您是否为此参数指定值,GuardDuty 都会验证与此 --detector-id 值关联的 AWS 账户 ID 是否拥有 --location 参数中指定的 S3 存储桶。如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则您在启用此列表时会收到错误消息。

    仅适用于自定义威胁和自定义可信实体集,如果您提供的位置 URL 与以下支持的格式不一致,则您在添加和启用列表时会收到错误消息。

更新并启用可信 IP 地址列表

  1. 运行 CreateIPSet。确保提供要为其更新此可信 IP 地址列表的成员账户的 detectorId。要查找您账户和当前区域的 detectorId,请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面,或者运行 ListDetectors API。

    列表命名约束:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (_)。

    如果是 IP 地址列表,列表名称在 AWS 账户和区域内必须是唯一的。

  2. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作,该命令也会启用列表:

    aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--ip-set-id d4b94fc952d6912b8f3060768example \
--activate

    detector-id 替换为要为其更新可信 IP 列表的成员账户的检测器 ID,同时替换其他以红色显示的占位符值。

    如果您不想启用此新建列表,请将参数 --activate 替换为 --no-activate

    expected-bucket-owner 参数是可选的。如果您不指定拥有 S3 存储桶的账户 ID,GuardDuty 不会执行任何验证。如果您为 expected-bucket-owner 参数指定账户 ID,GuardDuty 会验证此 AWS 账户 ID 是否拥有 --location 参数中指定的 S3 存储桶。如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则您在启用此列表时会收到错误消息。

添加和启用威胁 IP 列表

  1. 运行 CreateThreatIntelSet。确保提供要为其创建此威胁 IP 地址列表的成员账户的 detectorId。要查找您账户和当前区域的 detectorId,请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面,或者运行 ListDetectors API。

    列表命名约束:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (_)。

    如果是 IP 地址列表,列表名称在 AWS 账户和区域内必须是唯一的。

  2. 您也可以通过运行以下 AWS Command Line Interface 命令来执行此操作,该命令也会启用列表:

    aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--activate

    detector-id 替换为要为其更新威胁 IP 列表的成员账户的检测器 ID,同时替换其他以红色显示的占位符值。

    如果您不想启用此新建列表,请将参数 --activate 替换为 --no-activate

    expected-bucket-owner 参数是可选的。如果您不指定拥有 S3 存储桶的账户 ID,GuardDuty 不会执行任何验证。如果您为 expected-bucket-owner 参数指定账户 ID,GuardDuty 会验证此 AWS 账户 ID 是否拥有 --location 参数中指定的 S3 存储桶。如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则您在启用此列表时会收到错误消息。