Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Anpassen der Bedrohungserkennung mit Entitätenlisten und IP-Adresslisten
Amazon GuardDuty überwacht die Sicherheit Ihrer AWS Umgebung, indem es VPC-Flow-Logs, AWS CloudTrail Event-Logs und DNS-Logs analysiert und verarbeitet. Indem Sie einen oder mehrere auf den [Anwendungsfall ausgerichtete GuardDuty Schutzpläne](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html#features-of-guardduty) aktivieren (mit der Ausnahme[Laufzeitüberwachung](runtime-monitoring.md), dass Sie die darin enthaltenen Überwachungsfunktionen erweitern können). GuardDuty
Mithilfe von Listen können Sie den Umfang der Bedrohungserkennung in Ihrer Umgebung individuell anpassen. GuardDuty Sie können so konfigurieren GuardDuty , dass keine Ergebnisse mehr aus Ihren vertrauenswürdigen Quellen generiert werden und dass Ergebnisse für bekannte bösartige Quellen aus Ihren Bedrohungslisten generiert werden. GuardDuty unterstützt weiterhin ältere IP-Adresslisten und erweitert die Unterstützung auf Entitätslisten (empfohlen), die IP-Adressen, Domänen oder beides enthalten können.
**Topics**
+ [
## Grundlegendes zu Entitätslisten und IP-Adresslisten
](#guardduty-threat-intel-list-entity-sets)
+ [
## Wichtige Überlegungen zu GuardDuty Listen
](#guardduty-lists-entity-sets-considerations)
+ [
## Listenformate
](#prepare_list)
+ [
## Grundlegendes zum Listenstatus
](#guardduty-entity-list-statuses)
+ [
# Voraussetzungen für Entitätslisten und IP-Adresslisten einrichten
](guardduty-lists-prerequisites.md)
+ [
# Hinzufügen und Aktivieren einer Entitätsliste oder IP-Liste
](guardduty-lists-create-activate.md)
+ [
# Aktualisierung einer Entitäts- oder IP-Adressliste
](guardduty-lists-update-procedure.md)
+ [
# Entitätsliste oder IP-Adressliste deaktivieren
](guardduty-lists-deactivate-procedure.md)
+ [
# Entitätsliste oder IP-Adressliste löschen
](guardduty-lists-delete-procedure.md)
## Grundlegendes zu Entitätslisten und IP-Adresslisten
GuardDuty bietet zwei Implementierungsansätze: Entitätslisten (empfohlen) und IP-Listen. Beide Methoden helfen Ihnen dabei, vertrauenswürdige Quellen zu spezifizieren, die die Generierung GuardDuty von Erkenntnissen verhindern, und bekannte Bedrohungen, die zur Generierung von Erkenntnissen GuardDuty verwendet werden.
**Entitätslisten** unterstützen sowohl IP-Adressen als auch Domainnamen. Sie verwenden direkten Zugriff auf Amazon Simple Storage Service (Amazon S3) mit einer einzigen IAM-Berechtigung, die sich nicht auf die Größenbeschränkungen der IAM-Richtlinien in mehreren Regionen auswirkt.
**IP-Listen** unterstützen nur IP-Adressen und deren Verwendung [GuardDuty Serviceverknüpfte Rolle (SLR)](slr-permissions.md) (SLR), sodass die IAM-Richtlinien pro Region aktualisiert werden müssen, was sich auf die Größenbeschränkungen der IAM-Richtlinien auswirken kann.
Vertrauenswürdige Listen (sowohl Entitätslisten als auch IP-Adresslisten) enthalten Einträge, denen Sie bei der sicheren Kommunikation mit Ihrer Infrastruktur vertrauen. AWS GuardDuty generiert keine Ergebnisse für Einträge, die in vertrauenswürdigen Quellen aufgeführt sind. Sie können jeweils nur eine Liste vertrauenswürdiger Entitäten und eine Liste vertrauenswürdiger IP-Adressen AWS-Konto pro Region hinzufügen.
Bedrohungslisten (sowohl Entitätslisten als auch IP-Adresslisten) enthalten Einträge, die Sie als bekannte bösartige Quellen identifiziert haben. Wenn eine Aktivität GuardDuty erkannt wird, an der diese Quellen beteiligt sind, generiert es Ergebnisse, die Sie vor potenziellen Sicherheitsproblemen warnen. Sie können Ihre eigenen Bedrohungslisten erstellen oder Feeds mit Bedrohungsinformationen von Drittanbietern integrieren. Diese Liste kann von Bedrohungsdaten von Drittanbietern stammen oder speziell für Ihr Unternehmen erstellt werden. Neben der Generierung von Ergebnissen aufgrund einer potenziell verdächtigen Aktivität werden GuardDuty auch Ergebnisse generiert, die auf einer Aktivität basieren, die Einträge aus Ihren Bedrohungslisten beinhaltet. Sie können jederzeit bis zu sechs Listen mit Bedrohungsentitäten und Bedrohungs-IP-Adressen AWS-Konto pro Region hochladen.
**Anmerkung**
Um von IP-Adresslisten zu Entitätslisten zu migrieren[Voraussetzungen für Entitätslisten](guardduty-lists-prerequisites.md#guardduty-entity-list-prerequisites), folgen Sie den Anweisungen, fügen Sie sie hinzu und aktivieren Sie sie. Danach können Sie wählen, ob Sie die entsprechende IP-Adressliste deaktivieren oder löschen möchten.
## Wichtige Überlegungen zu GuardDuty Listen
Bevor Sie mit der Arbeit mit Listen beginnen, sollten Sie die folgenden Überlegungen lesen:
+ IP-Adresslisten und Entitätslisten gelten nur für Datenverkehr, der für öffentlich routbare IP-Adressen und Domänen bestimmt ist.
+ In einer Entitätsliste gelten die Einträge für VPC Flow Logs in Amazon VPC und Route53 Resolver DNS-Abfrageprotokolle. CloudTrail
In einer IP-Adressliste beziehen sich die Einträge auf CloudTrail die Ergebnisse von VPC Flow Logs in Amazon VPC, nicht aber auf die Ergebnisse der Route53 Resolver DNS-Abfrageprotokolle.
+ Wenn Sie dieselbe IP-Adresse oder Domain sowohl in die Liste der vertrauenswürdigen Adressen als auch in die Liste der Bedrohungen aufnehmen, hat dieser Eintrag in der Liste der vertrauenswürdigen Adressen Vorrang. GuardDuty generiert kein Ergebnis, wenn mit diesem Eintrag eine Aktivität verknüpft ist.
+ In einer Umgebung mit mehreren Konten kann nur das GuardDuty Administratorkonto Listen verwalten. Diese Einstellung gilt automatisch für die Mitgliedskonten. GuardDuty generiert Ergebnisse auf der Grundlage einer Aktivität, an der bekannte bösartige IP-Adressen (und Domänen) aus den Bedrohungsquellen des Administratorkontos beteiligt sind, und generiert keine Ergebnisse, die auf Aktivitäten basieren, die IP-Adressen (und Domänen) aus den vertrauenswürdigen Quellen des Administratorkontos betreffen. Weitere Informationen finden Sie unter [Mehrere Konten bei Amazon GuardDuty](guardduty_accounts.md).
+ Es werden nur IPv4 Adressen akzeptiert. IPv6 Adressen werden nicht unterstützt.
+ Nachdem Sie eine Entitäts- oder IP-Adressliste aktiviert, deaktiviert oder gelöscht haben, wird der Vorgang voraussichtlich innerhalb von 15 Minuten abgeschlossen sein. In bestimmten Szenarien kann es bis zu 40 Minuten dauern, bis dieser Vorgang abgeschlossen ist.
+ GuardDuty verwendet eine Liste nur dann zur Erkennung von Bedrohungen, wenn der Status der Liste **Aktiv lautet**.
+ Jedes Mal, wenn Sie einen Eintrag zum S3-Bucket-Speicherort der Liste hinzufügen oder aktualisieren, müssen Sie die Liste erneut aktivieren. Weitere Informationen finden Sie unter [Aktualisierung einer Entitäts- oder IP-Adressliste](guardduty-lists-update-procedure.md).
+ Entitätslisten und IP-Adressen haben unterschiedliche Kontingente. Weitere Informationen finden Sie unter [GuardDuty Kontingente](guardduty_limits.md).
## Listenformate
GuardDuty akzeptiert mehrere Dateiformate für Ihre Listen und Entitätslisten mit einem Maximum von 35 MB pro Datei. Jedes Format hat spezifische Anforderungen und Funktionen.
### Klartext (TXT)
Dieses Format unterstützt IP-Adressen, CIDR-Bereiche und Domainnamen. Jeder Eintrag muss in einer separaten Zeile stehen.
**Example **Beispiel für eine Entitätsliste****
```
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
```
**Example **Beispiel für eine IP-Adressliste****
```
192.0.2.0/24
198.51.100.1
203.0.113.1
```
### Structured Threat Information Expression (STIX)
Dieses Format unterstützt IP-Adressen, CIDR-Block und Domainnamen. STIX ermöglicht es Ihnen, Ihren Bedrohungsinformationen zusätzlichen Kontext hinzuzufügen. GuardDuty verarbeitet IP-Adressen, CIDR-Bereiche und Domainnamen anhand der STIX-Indikatoren.
**Example **Beispiel für eine Entitätsliste****
```
Malicious domain observed Example
Domain Watchlist
bad.example.com
```
**Example **Beispiel für eine IP-Adressliste****
```
192.0.2.0##comma##192.0.2.255
198.51.100.1
203.0.113.1
```
### Open Threat Exchange (OTX)TM CSV
Dieses Format unterstützt CIDR-Block, einzelne IP-Adressen und Domänen. Dieses Dateiformat hat kommagetrennte Werte.
**Example **Beispiel für eine Entitätsliste****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
```
**Example **Beispiel für eine IP-Adressliste****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
```
### FireEyeTM iSight Threat Intelligence CSV
Dieses Format unterstützt CIDR-Block, einzelne IP-Adressen und Domänen. Die folgenden Beispiellisten verwenden ein `FireEyeTM` CSV-Format.
**Example **Beispiel für eine Entitätsliste****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
```
**Example **Beispiel für eine IP-Adressliste****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
```
### ProofpointTM ET Intelligence Feed CSV
Im ProofPoint CSV-Format können Sie entweder IP-Adressen oder Domainnamen zu einer einzigen Liste hinzufügen. Die folgende Beispielliste verwendet das `Proofpoint`-CSV-Format. Die Angabe eines Werts für den `ports` Parameter ist optional. Wenn Sie ihn nicht angeben, hinterlassen Sie am Ende ein Komma (,).
**Example **Beispiel für eine Entitätsliste****
```
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01,
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
**Example **Beispiel für eine IP-Adressliste****
```
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01,
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
### AlienVaultTM Reputation Feed
Die folgende Beispielliste verwendet das `AlienVault`-Format.
**Example **Beispiel für eine Entitätsliste****
```
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
```
**Example **Beispiel für eine IP-Adressliste****
```
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
```
## Grundlegendes zum Listenstatus
Wenn Sie eine Entitätsliste oder eine IP-Adressliste hinzufügen, GuardDuty wird der Status dieser Liste angezeigt. Die Spalte **Status** gibt an, ob die Liste wirksam ist und ob Maßnahmen erforderlich sind. In der folgenden Liste werden gültige Statuswerte beschrieben:
+ **Aktiv** — Zeigt an, dass die Liste derzeit für die Erkennung benutzerdefinierter Bedrohungen verwendet wird.
+ **Inaktiv** — Zeigt an, dass die Liste derzeit nicht verwendet wird. Informationen GuardDuty zur Verwendung dieser Liste zur Erkennung von Bedrohungen in Ihrer Umgebung finden Sie unter Schritt 3: Aktivieren einer Entitäts- oder IP-Adressliste in[Hinzufügen und Aktivieren einer Entitätsliste oder IP-Liste](guardduty-lists-create-activate.md).
+ **Fehler** — Zeigt an, dass ein Problem mit der Liste vorliegt. Bewegen Sie den Mauszeiger über den Status, um die Fehlerdetails anzuzeigen.
+ **Aktiviert** — Zeigt an, GuardDuty dass der Vorgang zur Aktivierung der Liste eingeleitet wurde. Sie können den Status dieser Liste weiter überwachen. Wenn kein Fehler auftritt, sollte der Status auf **Aktiv** aktualisiert werden. Solange der Status **Aktiviert** bleibt, können Sie in dieser Liste keine Aktion ausführen. Es kann einige Minuten dauern, bis sich der Status der Liste auf **Aktiv** ändert.
+ **Deaktiviert** — Zeigt an, GuardDuty dass der Prozess der Deaktivierung der Liste eingeleitet wurde. Sie können den Status dieser Liste weiter überwachen. Wenn kein Fehler vorliegt, sollte der Status auf **Inaktiv** aktualisiert werden. Solange der Status **Deaktiviert** bleibt, können Sie in dieser Liste keine Aktion ausführen.
+ **Ausstehend löschen** — Zeigt an, dass die Liste gerade gelöscht wird. Solange der Status „**Ausstehend löschen**“ bleibt, können Sie für diese Liste keine Aktion ausführen.
# Voraussetzungen für Entitätslisten und IP-Adresslisten einrichten
GuardDuty verwendet Entitätslisten und IP-Adresslisten, um die Bedrohungserkennung in Ihrer AWS Umgebung individuell anzupassen. Entitätslisten (empfohlen) unterstützen sowohl IP-Adressen als auch Domainnamen, während IP-Adresslisten nur IP-Adressen unterstützen. Bevor Sie mit der Erstellung dieser Listen beginnen, müssen Sie die erforderlichen Berechtigungen für den Listentyp hinzufügen, den Sie verwenden möchten.
## Voraussetzungen für Entitätslisten
GuardDuty Liest beim Hinzufügen von Entitätslisten Ihre vertrauenswürdigen Listen und Listen mit Bedrohungsinformationen aus S3-Buckets. Die Rolle, die Sie zum Erstellen von Entitätslisten verwenden, muss über die `s3:GetObject` Berechtigung für die S3-Buckets verfügen, die diese Listen enthalten.
**Anmerkung**
In einer Umgebung mit mehreren Konten kann nur das GuardDuty Administratorkonto Listen verwalten, die automatisch für Mitgliedskonten gelten.
Wenn Sie noch nicht über die `s3:GetObject` Berechtigung für den S3-Bucket-Standort verfügen, verwenden Sie die folgende Beispielrichtlinie und *amzn-s3-demo-bucket* ersetzen Sie sie durch Ihren S3-Bucket-Standort.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
}
]
}
```
------
## Voraussetzungen für IP-Adresslisten
Verschiedene IAM-Identitäten erfordern spezielle Berechtigungen, um mit vertrauenswürdigen IP-Listen und Bedrohungslisten in arbeiten zu können. GuardDuty Eine Identität, der die verwaltete Richtlinie [AmazonGuardDutyFullAccess\$1v2 (empfohlen)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) angefügt ist, kann nur hochgeladene Listen mit vertrauenswürdigen IPs und Bedrohungslisten umbenennen und deaktivieren.
Um verschiedenen Identitäten vollen Zugriff auf die Arbeit mit vertrauenswürdigen IP-Listen und Bedrohungslisten zu erteilen (dies umfasst neben dem Umbenennen und Deaktivieren auch das Hinzufügen, Aktivieren, Löschen und Aktualisieren des Speicherorts oder der Namen der Listen), stellen Sie sicher, dass die folgenden Aktionen in der einem Benutzer, einer Gruppe oder einer Rolle zugewiesenen Berechtigungsrichtlinie vorhanden sind:
```
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
```
**Wichtig**
Diese Aktionen sind nicht in der verwalteten Richtlinie `AmazonGuardDutyFullAccess` enthalten.
### Verwendung der SSE-KMS-Verschlüsselung mit Entitätslisten und IP-Listen
GuardDuty unterstützt SSE- AES256 und SSE-KMS-Verschlüsselung für Ihre Listen. SSE-C wird nicht unterstützt. Weitere Informationen zu Verschlüsselungstypen für S3 finden Sie unter [Schützen von Daten mithilfe serverseitiger](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html) Verschlüsselung.
Unabhängig davon, ob Sie Entitätslisten oder IP-Listen verwenden, fügen Sie Ihrer Richtlinie die folgende Anweisung hinzu, wenn Sie SSE-KMS verwenden. AWS KMS key Ersetzen Sie es *123456789012* durch Ihre eigene Konto-ID.
```
{
"Sid": "AllowGuardDutyServiceRole",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
},
"Action": "kms:Decrypt*",
"Resource": "*"
}
```
# Hinzufügen und Aktivieren einer Entitätsliste oder IP-Liste
Mit Entitätslisten und IP-Adresslisten können Sie die Funktionen zur Bedrohungserkennung in anpassen GuardDuty. Weitere Informationen zu diesen Listen finden Sie unter[Grundlegendes zu Entitätslisten und IP-Adresslisten](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets). Für die Verwaltung vertrauenswürdiger Daten und Daten mit Bedrohungsinformationen für Ihre AWS Umgebung GuardDuty empfiehlt es sich, Entitätslisten zu verwenden. Bevor Sie beginnen, sehen Sie sich [Voraussetzungen für Entitätslisten und IP-Adresslisten einrichten](guardduty-lists-prerequisites.md) an.
Wählen Sie eine der folgenden Zugriffsmethoden, um eine Liste vertrauenswürdiger Entitäten, Bedrohungsentitäten, vertrauenswürdiger IP-Adressen oder Bedrohungs-IP-Listen hinzuzufügen und zu aktivieren.
------
#### [ Console ]
**(Optional) Schritt 1: Den Standort-URL Ihrer Liste abrufen**
1. Öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im Navigationsbereich die Option **Buckets** aus.
1. Wählen Sie den Amazon-S3-Bucket-Namen, der die spezifische Liste enthält, die Sie hinzufügen möchten.
1. Wählen Sie den Namen des Objekts (Liste), um dessen Details anzuzeigen.
1. Kopieren Sie auf der Registerkarte **Eigenschaften** den **S3-URI** für dieses Objekt.
**Schritt 2: Vertrauenswürdige Daten oder Daten mit Bedrohungsinformationen hinzufügen**
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich **Listen**.
1. Wählen Sie auf der Seite **Listen** die Registerkarte **Entitätslisten** oder **IP-Adresslisten** aus.
1. Wählen Sie je nach ausgewähltem Tab, ob Sie eine vertrauenswürdige Liste oder eine Bedrohungsliste hinzufügen möchten.
1. Gehen Sie im Dialogfeld wie folgt vor, um entweder eine vertrauenswürdige Liste oder eine Liste mit Bedrohungen hinzuzufügen:
1. In **Name der Liste** geben Sie einen Namen für Ihre Liste ein.
**Einschränkungen bei der Benennung** von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (\$1) enthalten.
Bei einer IP-Adressliste muss der Name Ihrer Liste innerhalb einer AWS-Konto UND-Region eindeutig sein.
1. Geben Sie unter **Standort** den Ort an, an dem Sie Ihre Liste hochgeladen haben. Falls Sie den Standort noch nicht haben, finden Sie weitere Informationen unter [Step 1: Fetching location URL of your list](#fetch-location-URL-list-manage).
Gilt nur für benutzerdefinierte Bedrohungsgruppen und benutzerdefinierte Gruppen vertrauenswürdiger Entitäten — Wenn Sie eine Standort-URL angeben, die nicht den folgenden unterstützten Formaten entspricht, erhalten Sie beim Hinzufügen und Aktivieren der Liste eine Fehlermeldung.
**Format der Standort-URL:**
+ https://s3.amazonaws.com/bucket.name/file.txt
+ https://s3-aws-region.amazonaws.com/bucket.name/file.txt
+ http://bucket.s3.amazonaws.com/file.txt
+ http://bucket.s3-aws-region.amazonaws.com/file.txt
+ s3://bucket.name/file.txt
1. (Optional) Für **Erwarteter Bucket-Besitzer** können Sie die AWS-Konto ID eingeben, der der Amazon S3 S3-Bucket gehört, der im Feld **Standort** angegeben ist.
Wenn Sie keinen AWS-Konto ID-Besitzer angeben, GuardDuty verhält sich das Verhalten bei Entitätslisten und IP-Adresslisten unterschiedlich. GuardDuty Überprüft bei Entitätslisten, ob das aktuelle Mitgliedskonto Eigentümer des im Feld **Standort** angegebenen S3-Buckets ist. Wenn Sie bei IP-Adresslisten keinen AWS-Konto ID-Besitzer angeben, GuardDuty wird keine Überprüfung durchgeführt.
Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung der Liste eine Fehlermeldung.
1. Aktivieren Sie das Kontrollkästchen **I agree**.
1. Wählen Sie **Liste hinzufügen**. Standardmäßig ist der **Status** der hinzugefügten Liste **Inaktiv**. Damit die Liste gültig ist, müssen Sie sie aktivieren.
**Schritt 3: Aktivierung einer Entitätsliste oder IP-Adressliste**
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich **Listen**.
1. Wählen Sie auf der Seite **Listen** die Registerkarte aus, auf der Sie die Liste aktivieren möchten — **Entitätslisten** oder **IP-Adresslisten**.
1. Wählen Sie eine Liste aus, die Sie aktivieren möchten. Dadurch werden die Menüs **Aktion** und **Bearbeiten** aktiviert.
1. Wählen Sie „**Aktion**“ und dann „**Aktivieren**“.
------
#### [ API/CLI ]
**Um eine Liste vertrauenswürdiger Entitäten hinzuzufügen und zu aktivieren**
1. Führen Sie [CreateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateTrustedEntitySet.html). Stellen Sie sicher, dass Sie das `detectorId` Mitgliedskonto angeben, für das Sie diese Liste vertrauenswürdiger Entitäten erstellen möchten. Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
**Einschränkungen bei der Benennung** von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (\$1) enthalten.
1. Sie können dies auch tun, indem Sie den folgenden Befehl ausführen: AWS Command Line Interface
```
aws guardduty create-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`Ersetzen Sie es durch die Detektor-ID des Mitgliedskontos, für das Sie die Liste der vertrauenswürdigen Entitäten erstellen möchten, und durch andere Platzhalterwerte, die es sind*shown in red*.
Wenn Sie diese neu erstellte Liste nicht aktivieren möchten, ersetzen Sie den Parameter `--activate` durch`--no-activate`.
Der Parameter `expected-bucket-owner` ist optional. Unabhängig davon, ob Sie den Wert für diesen Parameter angeben oder nicht, wird GuardDuty überprüft, ob die mit diesem `--detector-id` Wert verknüpfte AWS-Konto ID den im `--location` Parameter angegebenen S3-Bucket besitzt. Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung dieser Liste eine Fehlermeldung.
Gilt nur für benutzerdefinierte Bedrohungsgruppen und benutzerdefinierte Gruppen vertrauenswürdiger Entitäten — Wenn Sie eine Standort-URL angeben, die nicht den folgenden unterstützten Formaten entspricht, erhalten Sie beim Hinzufügen und Aktivieren der Liste eine Fehlermeldung.
**Um Listen mit Bedrohungsentitäten hinzuzufügen und zu aktivieren**
1. Führen Sie [CreateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatEntitySet.html). Stellen Sie sicher, dass Sie das `detectorId` Mitgliedskonto angeben, für das Sie diese Liste der Bedrohungsentitäten erstellen möchten. Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
**Einschränkungen bei der Benennung** von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (\$1) enthalten.
1. Sie können dies auch tun, indem Sie den folgenden Befehl ausführen: AWS Command Line Interface
```
aws guardduty create-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`Ersetzen Sie es durch die Detektor-ID des Mitgliedskontos, für das Sie die Liste der vertrauenswürdigen Entitäten erstellen möchten, und durch andere Platzhalterwerte, die es sind*shown in red*.
Wenn Sie diese neu erstellte Liste nicht aktivieren möchten, ersetzen Sie den Parameter `--activate` durch`--no-activate`.
Der Parameter `expected-bucket-owner` ist optional. Unabhängig davon, ob Sie den Wert für diesen Parameter angeben oder nicht, wird GuardDuty überprüft, ob die mit diesem `--detector-id` Wert verknüpfte AWS-Konto ID den im `--location` Parameter angegebenen S3-Bucket besitzt. Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung dieser Liste eine Fehlermeldung.
Gilt nur für benutzerdefinierte Bedrohungsgruppen und benutzerdefinierte Gruppen vertrauenswürdiger Entitäten — Wenn Sie eine Standort-URL angeben, die nicht den folgenden unterstützten Formaten entspricht, erhalten Sie beim Hinzufügen und Aktivieren der Liste eine Fehlermeldung.
**Um eine Liste vertrauenswürdiger IP-Adressen hinzuzufügen und zu aktivieren**
1. Führen Sie [Create](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html) ausIPSet. Stellen Sie sicher, dass Sie das Mitgliedskonto angeben, für das Sie diese Liste vertrauenswürdiger IP-Adressen erstellen möchten. `detectorId` Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
Bei einer IP-Adressliste muss der Name Ihrer Liste innerhalb einer AWS-Konto UND-Region eindeutig sein.
**Einschränkungen bei der Benennung** von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (\$1) enthalten.
1. Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen und sicherstellen, dass Sie das durch die `detector-id` Detektor-ID des Mitgliedskontos ersetzen, für das Sie die Liste der vertrauenswürdigen IP-Adressen aktualisieren möchten.
```
aws guardduty create-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`Ersetzen Sie es durch die Detektor-ID des Mitgliedskontos, für das Sie die Liste der vertrauenswürdigen IP-Adressen erstellen möchten, und durch andere Platzhalterwerte, die es sind*shown in red*.
Wenn Sie diese neu erstellte Liste nicht aktivieren möchten, ersetzen Sie den Parameter `--activate` durch`--no-activate`.
Der Parameter `expected-bucket-owner` ist optional. Wenn Sie die Konto-ID nicht angeben, der der S3-Bucket gehört, führt GuardDuty keine Überprüfung durch. Wenn Sie die Konto-ID für den `expected-bucket-owner` Parameter angeben, wird GuardDuty überprüft, ob diese AWS-Konto ID Eigentümer des im `--location` Parameter angegebenen S3-Buckets ist. Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung dieser Liste eine Fehlermeldung.
**Um Bedrohungs-IP-Listen hinzuzufügen und zu aktivieren**
1. Führen Sie [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html). Stellen Sie sicher, dass Sie das `detectorId` Mitgliedskonto angeben, für das Sie diese Bedrohungs-IP-Adressliste erstellen möchten. Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
**Einschränkungen bei der Benennung** von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (\$1) enthalten.
Bei einer IP-Adressliste muss der Name Ihrer Liste innerhalb einer AWS-Konto UND-Region eindeutig sein.
1. Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen und sicherstellen, dass Sie das durch die `detector-id` Melder-ID des Mitgliedskontos ersetzen, für das Sie die Bedrohungs-IP-Liste aktualisieren möchten.
```
aws guardduty create-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`Ersetzen Sie es durch die Detektor-ID des Mitgliedskontos, für das Sie die Bedrohungs-IP-Liste erstellen möchten, und durch andere Platzhalterwerte*shown in red*, die
Wenn Sie diese neu erstellte Liste nicht aktivieren möchten, ersetzen Sie den Parameter `--activate` durch`--no-activate`.
Der Parameter `expected-bucket-owner` ist optional. Wenn Sie die Konto-ID nicht angeben, der der S3-Bucket gehört, führt GuardDuty keine Überprüfung durch. Wenn Sie die Konto-ID für den `expected-bucket-owner` Parameter angeben, wird GuardDuty überprüft, ob diese AWS-Konto ID Eigentümer des im `--location` Parameter angegebenen S3-Buckets ist. Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung dieser Liste eine Fehlermeldung.
------
Nachdem Sie eine Entitätsliste oder IP-Adressliste aktiviert haben, kann es einige Minuten dauern, bis diese Liste wirksam wird. Weitere Informationen finden Sie unter [Wichtige Überlegungen zu GuardDuty Listen](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations).
# Aktualisierung einer Entitäts- oder IP-Adressliste
Mit Entitätslisten und IP-Adresslisten können Sie die Funktionen zur Bedrohungserkennung in anpassen GuardDuty. Weitere Informationen zu diesen Listen finden Sie unter[Grundlegendes zu Entitätslisten und IP-Adresslisten](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets).
Sie können den Namen einer Liste, den S3-Bucket-Speicherort, die erwartete Account-ID des Bucket-Besitzers und die Einträge in einer vorhandenen Liste aktualisieren. Wenn Sie die Einträge in einer Liste aktualisieren, müssen Sie die Schritte zum erneuten Aktivieren der Liste ausführen GuardDuty , um die neueste Version der Liste verwenden zu können. Nachdem Sie eine Entitätsliste oder IP-Adressliste aktualisiert oder aktiviert haben, kann es einige Minuten dauern, bis diese Liste wirksam wird. Weitere Informationen finden Sie unter [Wichtige Überlegungen zu GuardDuty Listen](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations).
**Anmerkung**
Wenn der Status einer Liste **Aktiviert**, **Deaktiviert** oder **Ausstehend löschen** lautet, müssen Sie einige Minuten warten, bevor Sie eine Aktion ausführen. Informationen zu diesen Status finden Sie unter. [Grundlegendes zum Listenstatus](guardduty_upload-lists.md#guardduty-entity-list-statuses)
Wählen Sie eine der Zugriffsmethoden, um eine Entitäts- oder IP-Adressliste zu aktualisieren.
------
#### [ Console ]
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich **Listen**.
1. Wählen Sie auf der **Listenseite** die entsprechende Registerkarte — **Entitätslisten** oder **IP-Adresslisten**.
1. Wählen Sie eine Liste (vertrauenswürdig oder bedrohlich) aus, die Sie aktualisieren möchten. Dadurch werden die Menüs **Aktion** und **Bearbeiten** aktiviert.
1. Wählen Sie **Bearbeiten** aus.
1. Geben Sie im Dialogfeld zum Aktualisieren der Liste die Details an, die Sie aktualisieren möchten.
**Einschränkungen bei der Benennung** von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (\$1) enthalten.
Bei einer IP-Adressliste muss der Name Ihrer Liste innerhalb einer AWS-Konto UND-Region eindeutig sein.
Gilt nur für benutzerdefinierte Bedrohungsgruppen und benutzerdefinierte Gruppen vertrauenswürdiger Entitäten — Wenn Sie eine Standort-URL angeben, die nicht den folgenden unterstützten Formaten entspricht, erhalten Sie beim Hinzufügen und Aktivieren der Liste eine Fehlermeldung.
1. (Optional) Für **Erwarteter Bucket-Besitzer** können Sie die AWS-Konto ID eingeben, der der Amazon S3 S3-Bucket gehört, der im Feld **Standort** angegeben ist.
Wenn Sie keinen AWS-Konto ID-Besitzer angeben, GuardDuty verhält sich das Verhalten bei Entitätslisten und IP-Adresslisten unterschiedlich. GuardDuty Überprüft bei Entitätslisten, ob das aktuelle Mitgliedskonto Eigentümer des im Feld **Standort** angegebenen S3-Buckets ist. Wenn Sie bei IP-Adresslisten keinen AWS-Konto ID-Besitzer angeben, GuardDuty wird keine Überprüfung durchgeführt.
Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung der Liste eine Fehlermeldung.
1. Aktivieren Sie das Kontrollkästchen **Ich stimme zu** und wählen Sie dann **Liste aktualisieren** aus.
------
#### [ API/CLI ]
Um mit den folgenden Verfahren zu beginnen, benötigen Sie die ID, z. B.`trustedEntitySetId`, `threatEntitySetId``trustedIpSet`, oder`threatIpSet`, die der Listenressource zugeordnet ist, die Sie aktualisieren möchten.
**Um eine Liste vertrauenswürdiger Entitäten zu aktualisieren und zu aktivieren**
1. Führen Sie [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html). Stellen Sie sicher, dass Sie das `detectorId` Mitgliedskonto angeben, für das Sie diese Liste der vertrauenswürdigen Entitäten aktualisieren möchten. Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **Einstellungen** in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
**Einschränkungen bei der Benennung** von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (\$1) enthalten.
1. Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen, `name` der die Liste aktualisiert und auch diese Liste aktiviert:
```
aws guardduty update-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`Ersetzen Sie es durch die Melder-ID des Mitgliedskontos, für das Sie die Liste der vertrauenswürdigen Entitäten erstellen möchten, und durch andere Platzhalterwerte*shown in red*, die
Wenn Sie diese neu erstellte Liste nicht aktivieren möchten, ersetzen Sie den Parameter `--activate` durch`--no-activate`.
Der Parameter `expected-bucket-owner` ist optional. Unabhängig davon, ob Sie den Wert für diesen Parameter angeben oder nicht, wird GuardDuty überprüft, ob die mit diesem `--detector-id` Wert verknüpfte AWS-Konto ID den im `--location` Parameter angegebenen S3-Bucket besitzt. Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung dieser Liste eine Fehlermeldung.
Gilt nur für benutzerdefinierte Bedrohungsgruppen und benutzerdefinierte Gruppen vertrauenswürdiger Entitäten — Wenn Sie eine Standort-URL angeben, die nicht den folgenden unterstützten Formaten entspricht, erhalten Sie beim Hinzufügen und Aktivieren der Liste eine Fehlermeldung.
**Um eine Liste bedrohlicher Entitäten zu aktualisieren und zu aktivieren**
1. Führen Sie [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html). Stellen Sie sicher, dass Sie das `detectorId` Mitgliedskonto angeben, für das Sie diese Liste der Bedrohungsentitäten erstellen möchten. Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **Einstellungen** in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
**Einschränkungen bei der Benennung** von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (\$1) enthalten.
1. Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen, `name` der die Liste aktualisiert und auch diese Liste aktiviert:
```
aws guardduty update-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`Ersetzen Sie es durch die Melder-ID des Mitgliedskontos, für das Sie die Liste der Bedrohungsentitäten erstellen möchten, und durch andere Platzhalterwerte, die lauten*shown in red*.
Wenn Sie diese neu erstellte Liste nicht aktivieren möchten, ersetzen Sie den Parameter `--activate` durch`--no-activate`.
Der Parameter `expected-bucket-owner` ist optional. Unabhängig davon, ob Sie den Wert für diesen Parameter angeben oder nicht, wird GuardDuty überprüft, ob die mit diesem `--detector-id` Wert verknüpfte AWS-Konto ID den im `--location` Parameter angegebenen S3-Bucket besitzt. Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung dieser Liste eine Fehlermeldung.
Gilt nur für benutzerdefinierte Bedrohungsgruppen und benutzerdefinierte Gruppen vertrauenswürdiger Entitäten — Wenn Sie eine Standort-URL angeben, die nicht den folgenden unterstützten Formaten entspricht, erhalten Sie beim Hinzufügen und Aktivieren der Liste eine Fehlermeldung.
**Um eine Liste vertrauenswürdiger IP-Adressen zu aktualisieren und zu aktivieren**
1. Führen Sie [Create](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html) ausIPSet. Stellen Sie sicher, dass Sie das Mitgliedskonto angeben, für das Sie diese Liste der vertrauenswürdigen IP-Adressen aktualisieren möchten. `detectorId` Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
**Einschränkungen bei der Benennung** von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (\$1) enthalten.
Bei einer IP-Adressliste muss der Name Ihrer Liste innerhalb einer AWS-Konto UND-Region eindeutig sein.
1. Alternativ können Sie dies tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen, der auch die Liste aktiviert:
```
aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--ip-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`Ersetzen Sie es durch die Melder-ID des Mitgliedskontos, für das Sie die Liste der vertrauenswürdigen IP-Adressen aktualisieren möchten, und durch andere Platzhalterwerte, die es sind*shown in red*.
Wenn Sie diese neu erstellte Liste nicht aktivieren möchten, ersetzen Sie den Parameter `--activate` durch`--no-activate`.
Der Parameter `expected-bucket-owner` ist optional. Wenn Sie die Konto-ID nicht angeben, der der S3-Bucket gehört, führt GuardDuty keine Überprüfung durch. Wenn Sie die Konto-ID für den `expected-bucket-owner` Parameter angeben, wird GuardDuty überprüft, ob diese AWS-Konto ID den im `--location` Parameter angegebenen S3-Bucket besitzt. Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung dieser Liste eine Fehlermeldung.
**Um Bedrohungs-IP-Listen hinzuzufügen und zu aktivieren**
1. Führen Sie [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html). Stellen Sie sicher, dass Sie das `detectorId` Mitgliedskonto angeben, für das Sie diese Bedrohungs-IP-Adressliste erstellen möchten. Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **Einstellungen** in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
**Einschränkungen bei der Benennung** von Listen — Der Name Ihrer Liste kann Kleinbuchstaben, Großbuchstaben, Zahlen, Bindestriche (-) und Unterstriche (\$1) enthalten.
Bei einer IP-Adressliste muss der Name Ihrer Liste innerhalb einer AWS-Konto UND-Region eindeutig sein.
1. Alternativ können Sie dies tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen, der auch die Liste aktiviert:
```
aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`Ersetzen Sie es durch die Melder-ID des Mitgliedskontos, für das Sie die Bedrohungs-IP-Liste aktualisieren möchten, und durch andere Platzhalterwerte, die es sind*shown in red*.
Wenn Sie diese neu erstellte Liste nicht aktivieren möchten, ersetzen Sie den Parameter `--activate` durch`--no-activate`.
Der Parameter `expected-bucket-owner` ist optional. Wenn Sie die Konto-ID nicht angeben, der der S3-Bucket gehört, führt GuardDuty keine Überprüfung durch. Wenn Sie die Konto-ID für den `expected-bucket-owner` Parameter angeben, wird GuardDuty überprüft, ob diese AWS-Konto ID den im `--location` Parameter angegebenen S3-Bucket besitzt. Wenn GuardDuty festgestellt wird, dass dieser S3-Bucket nicht zur angegebenen Konto-ID gehört, erhalten Sie bei der Aktivierung dieser Liste eine Fehlermeldung.
------
# Entitätsliste oder IP-Adressliste deaktivieren
Wenn Sie eine Liste nicht mehr verwenden GuardDuty möchten, können Sie sie deaktivieren. Es kann einige Minuten dauern, bis der Vorgang abgeschlossen ist. Weitere Informationen finden Sie unter [Wichtige Überlegungen zu GuardDuty Listen](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations). Nach der Deaktivierung der Liste wirken sich die Einträge in der Entitäts- oder IP-Adressliste nicht mehr auf die Bedrohungserkennung in GuardDuty aus.
Wählen Sie eine der Zugriffsmethoden, um die Liste zu deaktivieren.
------
#### [ Console ]
**Um die Entitätsliste oder die IP-Adressliste zu deaktivieren**
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich **Listen**.
1. Wählen Sie auf der **Listenseite** die Registerkarte aus, in der Sie die Liste deaktivieren möchten — **Entitätslisten** oder **IP-Adressliste**.
1. Wählen Sie auf der ausgewählten Registerkarte die Liste aus, die Sie deaktivieren möchten.
1. Wählen Sie **Aktionen** und dann **Deaktivieren** aus.
1. Bestätigen Sie die Aktion und wählen Sie **Deaktivieren**.
------
#### [ API/CLI ]
Um mit den folgenden Verfahren zu beginnen, benötigen Sie die ID, z. B.`trustedEntitySetId`, `threatEntitySetId``trustedIpSet`, oder`threatIpSet`, die der Listenressource zugeordnet ist, die Sie deaktivieren möchten.
**Um eine Liste vertrauenswürdiger Entitäten zu deaktivieren**
1. Führen Sie [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html). Stellen Sie sicher, dass Sie das `detectorId` Mitgliedskonto angeben, für das Sie diese Liste vertrauenswürdiger Entitäten deaktivieren möchten. Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
1. Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen:
```
aws guardduty update-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
`detector-id`Ersetzen Sie es durch die Melder-ID des Mitgliedskontos, für das Sie die Liste der vertrauenswürdigen Entitäten deaktivieren möchten, und durch andere Platzhalterwerte, die es sind*shown in red*.
**Um Listen mit Bedrohungsentitäten zu deaktivieren**
1. Führen Sie [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html). Stellen Sie sicher, dass Sie das `detectorId` Mitgliedskonto angeben, für das Sie diese Liste der Bedrohungsentitäten deaktivieren möchten. Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
1. Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen:
```
aws guardduty update-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
`detector-id`Ersetzen Sie es durch die Melder-ID des Mitgliedskontos, für das Sie die Liste der Bedrohungsentitäten erstellen, und durch andere Platzhalterwerte*shown in red*, die
**Um eine Liste vertrauenswürdiger IP-Adressen zu deaktivieren**
1. Führen Sie [Update](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateIPSet.html) ausIPSet. Stellen Sie sicher, dass Sie das Mitgliedskonto angeben, für das Sie diese Liste vertrauenswürdiger IP-Adressen deaktivieren möchten. `detectorId` Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
1. Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen und sicherstellen, dass Sie das durch die `detector-id` Melder-ID des Mitgliedskontos ersetzen, für das Sie die Liste der vertrauenswürdigen IP-Adressen deaktivieren möchten.
```
aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--ip-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
**Um die Bedrohungs-IP-Liste zu deaktivieren**
1. Führen Sie [UpdateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatIntelSet.html). Stellen Sie sicher, dass Sie das `detectorId` Mitgliedskonto angeben, für das Sie diese Bedrohungs-IP-Adressliste deaktivieren möchten. Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
1. Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen und sicherstellen, dass Sie das durch die `detector-id` Melder-ID des Mitgliedskontos ersetzen, für das Sie die Bedrohungs-IP-Liste deaktivieren möchten.
```
aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
------
# Entitätsliste oder IP-Adressliste löschen
Wenn Sie einen Listeneintrag in Ihrem Entitätsatz oder IP-Adresssatz nicht mehr behalten möchten, können Sie ihn löschen. Es kann einige Minuten dauern, bis der Vorgang abgeschlossen ist. Weitere Informationen finden Sie unter [Wichtige Überlegungen zu GuardDuty Listen](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations).
Wenn der Status der Liste Aktiviert oder ****Deaktiviert**** lautet, müssen Sie einige Minuten warten, bevor Sie eine Aktion ausführen. Weitere Informationen finden Sie unter [Grundlegendes zum Listenstatus](guardduty_upload-lists.md#guardduty-entity-list-statuses).
Wählen Sie eine der Zugriffsmethoden, um die Liste zu löschen.
------
#### [ Console ]
**Um die Entitätsliste oder die IP-Adressliste zu löschen**
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich **Listen**.
1. Wählen Sie auf der **Listenseite** die Registerkarte aus, in der Sie die Liste löschen möchten — **Entitätslisten** oder **IP-Adressliste**.
1. Wählen Sie auf der ausgewählten Registerkarte die Liste aus, die Sie löschen möchten.
1. Wählen Sie **Aktionen** und anschließend **Löschen** aus.
Der Listenstatus ändert sich in „**Ausstehend löschen“**. Es kann einige Minuten dauern, bis die Liste gelöscht wird.
------
#### [ API/CLI ]
Um mit den folgenden Verfahren zu beginnen, benötigen Sie die ID, z. B.`trustedEntitySetId`, `threatEntitySetId``trustedIpSet`, oder`threatIpSet`, die der Listenressource zugeordnet ist, die Sie löschen möchten.
**Um eine Liste vertrauenswürdiger Entitäten zu löschen**
1. Führen Sie [DeleteTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteTrustedEntitySet.html). Stellen Sie sicher, dass Sie das `detectorId` Mitgliedskonto angeben, für das Sie diese Liste der vertrauenswürdigen Entitäten löschen möchten. Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
1. Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen:
```
aws guardduty delete-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`Ersetzen Sie es durch die Melder-ID des Mitgliedskontos, für das Sie die Liste der vertrauenswürdigen Entitäten löschen möchten, und durch andere Platzhalterwerte, die vorhanden sind*shown in red*.
**Um Listen mit Bedrohungsentitäten zu deaktivieren**
1. Führen Sie [DeleteThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteThreatEntitySet.html). Stellen Sie sicher, dass Sie das `detectorId` Mitgliedskonto angeben, für das Sie diese Liste der Bedrohungsentitäten löschen möchten. Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **Einstellungen** in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
1. Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen:
```
aws guardduty delete-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-entity-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`Ersetzen Sie es durch die Melder-ID des Mitgliedskontos, für das Sie die Liste der Bedrohungsentitäten löschen möchten, und durch andere Platzhalterwerte, die vorhanden sind*shown in red*.
**Um eine Liste vertrauenswürdiger IP-Adressen zu löschen**
1. Führen Sie [Delete](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteIPSet.html) ausIPSet. Stellen Sie sicher, dass Sie das Mitgliedskonto angeben, für das Sie diese Liste vertrauenswürdiger IP-Adressen löschen möchten. `detectorId` Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
1. Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen und sicherstellen, dass Sie das durch die `detector-id` Melder-ID des Mitgliedskontos ersetzen, für das Sie die Liste der vertrauenswürdigen IP-Adressen löschen möchten.
```
aws guardduty delete-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--ip-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`Ersetzen Sie es durch die Melder-ID des Mitgliedskontos, für das Sie die Liste der Bedrohungsentitäten löschen möchten, und durch andere Platzhalterwerte, die es sind*shown in red*.
**Um die Liste der Bedrohungs-IP-Adressen zu löschen**
1. Führen Sie [DeleteThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteThreatIntelSet.html). Stellen Sie sicher, dass Sie das `detectorId` Mitgliedskonto angeben, für das Sie diese Bedrohungs-IP-Adressliste löschen möchten. Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
1. Sie können dies auch tun, indem Sie den folgenden AWS Command Line Interface Befehl ausführen und sicherstellen, dass Sie das durch die `detector-id` Melder-ID des Mitgliedskontos ersetzen, für das Sie die Bedrohungs-IP-Liste löschen möchten.
```
aws guardduty delete-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-intel-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`Ersetzen Sie es durch die Melder-ID des Mitgliedskontos, für das Sie die Liste der Bedrohungsentitäten löschen möchten, und durch andere Platzhalterwerte, die es sind*shown in red*.
------