添加和启用实体列表或 IP 列表 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

添加和启用实体列表或 IP 列表

实体列表和 IP 地址列表可帮助您自定义 GuardDuty 中的各项威胁检测功能。有关这些列表的更多信息,请参阅理解实体列表和 IP 地址列表。为管理您 Amazon 环境的可信数据和威胁情报数据,GuardDuty 建议使用实体列表。在开始之前,请参阅设置实体列表和 IP 地址列表的先决条件

选择以下访问方法之一添加和启用可信实体列表、威胁实体列表、可信 IP 列表或威胁 IP 列表。

Console
(可选)步骤 1:获取列表的位置 URL

  1. 通过以下网址打开 Amazon S3 控制台:https://console.aws.amazon.com/s3/

  2. 在导航窗格中,选择存储桶

  3. 选择包含要添加的特定列表的 Amazon S3 存储桶名称。

  4. 选择对象(列表)名称以查看其详细信息。

  5. 属性选项卡下,复制该对象的 S3 URI

步骤 2:添加可信或威胁情报数据

  1. 通过以下网址打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/

  2. 在导航窗格中,选择列表

  3. 列表页面上,选择实体列表IP 地址列表选项卡。

  4. 根据您选择的选项卡,选择添加可信列表或威胁列表。

  5. 在“添加可信列表或威胁列表”的对话框中,执行以下操作:

    1. 对于列表名称,输入列表的名称。

      列表命名约束:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (_)。

      如果是 IP 地址列表,列表名称在 Amazon Web Services 账户和区域内必须是唯一的。

    2. 对于位置,请提供您上传列表的位置。如果您还没有,请参阅 Step 1: Fetching location URL of your list

      仅适用于自定义威胁和自定义可信实体集,如果您提供的位置 URL 与以下支持的格式不一致,则您在添加和启用列表时会收到错误消息。

      位置 URL 的格式:

      • https://s3.amazonaws.com/bucket.name/file.txt

      • https://s3-aws-region.amazonaws.com/bucket.name/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • http://bucket.s3-aws-region.amazonaws.com/file.txt

      • s3://bucket.name/file.txt

    3. (可选)对于预期存储桶所有者,可以输入拥有位置字段中指定 Amazon S3 存储桶的 Amazon Web Services 账户 ID。

      如果您未指定 Amazon Web Services 账户 ID 所有者,GuardDuty 对实体列表和 IP 地址列表的行为会有所不同。对于实体列表,GuardDuty 将验证当前成员账户是否拥有位置字段中指定的 S3 存储桶。对于 IP 地址列表,如果您未指定 Amazon Web Services 账户 ID 所有者,GuardDuty 不会执行任何验证。

      如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则您在启用列表时会收到错误消息。

    4. 选中 I agree 复选框。

    5. 选择 Add list。默认情况下,已添加列表的状态非活动。要使列表生效,必须激活列表。

步骤 3:启用实体列表或 IP 地址列表

  1. 通过以下网址打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/

  2. 在导航窗格中,选择列表

  3. 列表页面上,选择要启用列表的选项卡:实体列表IP 地址列表

  4. 选择要启用的列表。这将启用操作编辑菜单。

  5. 选择操作,然后选择启用

API/CLI
添加和启用可信实体列表

  1. 运行 CreateTrustedEntitySet。确保提供要为其创建此可信实体列表的成员账户的 detectorId。要查找您账户和当前区域的 detectorId,请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面,或者运行 ListDetectors API。

    列表命名约束:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (_)。

  2. 您也可以通过运行以下 Amazon Command Line Interface 命令来执行此操作:

    aws guardduty create-trusted-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-id 替换为要为其创建可信实体列表的成员账户的检测器 ID,同时替换其他以红色显示的占位符值。

    如果您不想启用此新建列表,请将参数 --activate 替换为 --no-activate

    expected-bucket-owner 参数是可选的。无论您是否为此参数指定值,GuardDuty 都会验证与此 --detector-id 值关联的 Amazon Web Services 账户 ID 是否拥有 --location 参数中指定的 S3 存储桶。如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则您在启用此列表时会收到错误消息。

    仅适用于自定义威胁和自定义可信实体集,如果您提供的位置 URL 与以下支持的格式不一致,则您在添加和启用列表时会收到错误消息。

添加和启用威胁实体列表

  1. 运行 CreateThreatEntitySet。确保提供要为其创建此威胁实体列表的成员账户的 detectorId。要查找您账户和当前区域的 detectorId,请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面,或者运行 ListDetectors API。

    列表命名约束:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (_)。

  2. 您也可以通过运行以下 Amazon Command Line Interface 命令来执行此操作:

    aws guardduty create-threat-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-id 替换为要为其创建可信实体列表的成员账户的检测器 ID,同时替换其他以红色显示的占位符值。

    如果您不想启用此新建列表,请将参数 --activate 替换为 --no-activate

    expected-bucket-owner 参数是可选的。无论您是否为此参数指定值,GuardDuty 都会验证与此 --detector-id 值关联的 Amazon Web Services 账户 ID 是否拥有 --location 参数中指定的 S3 存储桶。如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则您在启用此列表时会收到错误消息。

    仅适用于自定义威胁和自定义可信实体集,如果您提供的位置 URL 与以下支持的格式不一致,则您在添加和启用列表时会收到错误消息。

添加和启用可信 IP 地址列表

  1. 运行 CreateIPSet。确保提供要为其创建此可信 IP 地址列表的成员账户的 detectorId。要查找您账户和当前区域的 detectorId,请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面,或者运行 ListDetectors API。

    如果是 IP 地址列表,列表名称在 Amazon Web Services 账户和区域内必须是唯一的。

    列表命名约束:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (_)。

  2. 您也可以通过运行以下 Amazon Command Line Interface 命令来执行此操作,并确保将 detector-id 替换为要为其更新可信 IP 地址列表的成员账户的检测器 ID。

    aws guardduty create-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-id 替换为要为其创建可信 IP 列表的成员账户的检测器 ID,同时替换其他以红色显示的占位符值。

    如果您不想启用此新建列表,请将参数 --activate 替换为 --no-activate

    expected-bucket-owner 参数是可选的。如果您不指定拥有 S3 存储桶的账户 ID,GuardDuty 不会执行任何验证。如果您为 expected-bucket-owner 参数指定账户 ID,GuardDuty 会验证此 Amazon Web Services 账户 ID 是否拥有 --location 参数中指定的 S3 存储桶。如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则您在启用此列表时会收到错误消息。

添加和启用威胁 IP 列表

  1. 运行 CreateThreatIntelSet。确保提供要为其创建此威胁 IP 地址列表的成员账户的 detectorId。要查找您账户和当前区域的 detectorId,请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面,或者运行 ListDetectors API。

    列表命名约束:列表名称可以包含小写字母、大写字母、数字、短划线 (-) 和下划线 (_)。

    如果是 IP 地址列表,列表名称在 Amazon Web Services 账户和区域内必须是唯一的。

  2. 您也可以通过运行以下 Amazon Command Line Interface 命令来执行此操作,并确保将 detector-id 替换为要为其更新威胁 IP 列表的成员账户的检测器 ID。

    aws guardduty create-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-id 替换为要为其创建威胁 IP 列表的成员账户的检测器 ID,同时替换其他以红色显示的占位符值。

    如果您不想启用此新建列表,请将参数 --activate 替换为 --no-activate

    expected-bucket-owner 参数是可选的。如果您不指定拥有 S3 存储桶的账户 ID,GuardDuty 不会执行任何验证。如果您为 expected-bucket-owner 参数指定账户 ID,GuardDuty 会验证此 Amazon Web Services 账户 ID 是否拥有 --location 参数中指定的 S3 存储桶。如果 GuardDuty 发现此 S3 存储桶不属于指定的账户 ID,则您在启用此列表时会收到错误消息。

启用实体列表或 IP 地址列表后,列表可能需要几分钟才能生效。有关更多信息,请参阅 GuardDuty 列表的重要注意事项