Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Personalización de la detección de amenazas con listas de entidades y listas de direcciones IP
<a name="guardduty_upload-lists"></a>

Amazon GuardDuty supervisa la seguridad de su AWS entorno mediante el análisis y el procesamiento de los registros de flujo de VPC, los registros de AWS CloudTrail eventos y los registros de DNS. Al habilitar uno o más [planes Use-case de GuardDuty protección específicos](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html#features-of-guardduty) (excepto[Supervisión en tiempo de ejecución](runtime-monitoring.md)), puede ampliar las capacidades de monitoreo internas GuardDuty. 

Con las listas, le GuardDuty ayuda a personalizar el alcance de la detección de amenazas en su entorno. Puede configurarlo GuardDuty para que deje de generar hallazgos a partir de sus fuentes confiables y genere hallazgos de fuentes maliciosas conocidas a partir de sus listas de amenazas. GuardDuty sigue siendo compatible con las listas de direcciones IP antiguas y amplía el soporte a las listas de entidades (recomendado) que pueden contener direcciones IP, dominios o ambos. 

**Topics**
+ [Comprender las listas de entidades y listas de direcciones IP](#guardduty-threat-intel-list-entity-sets)
+ [Consideraciones importantes para GuardDuty las listas](#guardduty-lists-entity-sets-considerations)
+ [Formatos de las listas](#prepare_list)
+ [Explicación de los estados de las listas](#guardduty-entity-list-statuses)
+ [Configuración de requisitos previos para las listas de entidades y las listas de direcciones IP](guardduty-lists-prerequisites.md)
+ [Añadir y activar una lista de entidades o una lista de IP](guardduty-lists-create-activate.md)
+ [Actualización de una lista de entidades o una lista de direcciones IP](guardduty-lists-update-procedure.md)
+ [De-activating lista de entidades o lista de direcciones IP](guardduty-lists-deactivate-procedure.md)
+ [Eliminar la lista de entidades o la lista de direcciones IP](guardduty-lists-delete-procedure.md)

## Comprender las listas de entidades y listas de direcciones IP
<a name="guardduty-threat-intel-list-entity-sets"></a>

GuardDuty ofrece dos enfoques de implementación: listas de entidades (recomendadas) y listas de IP. Ambos enfoques le ayudan a especificar fuentes confiables, que dejan GuardDuty de generar hallazgos y las amenazas conocidas, que GuardDuty utilizan para generar hallazgos.

**Las listas de entidades** admiten direcciones IP, nombres de dominio y códigos hash de SHA-256 archivos. Utilizan el acceso directo a Amazon Simple Storage Service (Amazon S3) con un único permiso de IAM que no afecta a los límites de tamaño de las políticas de IAM en múltiples regiones.

Las **listas de IP** solo admiten direcciones IP y utilizan [GuardDuty rol vinculado a un servicio (SLR)](slr-permissions.md) (SLR), por lo que es necesario actualizar las políticas de IAM por región, lo que puede afectar a los límites de tamaño de las políticas de IAM.

Las listas de confianza (tanto listas de entidades como listas de direcciones IP) incluyen entradas en las que puede confiar para una comunicación segura con su AWS infraestructura. GuardDuty no genera resultados para las entradas incluidas en fuentes confiables. En un momento dado, solo puede añadir una lista de entidades de confianza y una lista de direcciones IP de confianza Cuenta de AWS por región.

Las listas de amenazas (tanto listas de entidades como listas de direcciones IP) incluyen entradas que haya identificado como fuentes maliciosas conocidas. Cuando GuardDuty detecta una actividad relacionada con estas fuentes, genera resultados que le avisan de posibles problemas de seguridad. Puede crear sus propias listas de amenazas o incorporar fuentes de inteligencia de amenazas de terceros. La inteligencia sobre amenazas de terceros puede ofrecer esta lista, que también se puede crear específicamente para su organización. Además de generar hallazgos debido a una actividad potencialmente sospechosa, GuardDuty también genera hallazgos basados en una actividad que implica entradas de sus listas de amenazas. En cualquier momento, puede cargar hasta seis listas de entidades de amenazas y listas de direcciones IP de amenazas Cuenta de AWS por región.

**nota**  
Para migrar de las listas de direcciones IP a las listas de entidades, siga [Requisitos previos para las listas de entidades](guardduty-lists-prerequisites.md#guardduty-entity-list-prerequisites) y, a continuación, añada y active la lista de entidades requerida. Después de esto, puede optar por desactivar o eliminar la lista de direcciones IP correspondiente.

## Consideraciones importantes para GuardDuty las listas
<a name="guardduty-lists-entity-sets-considerations"></a>

Antes de comenzar a trabajar con listas, lea las siguientes consideraciones:
+ Las listas de IP y de entidades se aplican únicamente al tráfico destinado a dominios y direcciones IP enrutables públicamente.
+ En una lista de entidades, las entradas se aplican a CloudTrail los registros de flujo de VPC en Amazon VPC y a los resultados de los registros de consultas DNS de Route53 Resolver.

  En una lista de direcciones IP, las entradas se aplican a CloudTrail los hallazgos de los registros de flujo de VPC en Amazon VPC, pero no a los hallazgos de los registros de consultas de DNS de Route53 Resolver.
+ Si incluye la misma dirección IP o dominio en las listas de confianza y de amenazas, prevalecerá esta entrada de la lista de confianza. GuardDuty no generará ningún resultado si hay una actividad asociada a esta entrada.
+ En un entorno con varias cuentas, solo la cuenta de GuardDuty administrador puede administrar las listas. Esta configuración se aplica automáticamente a las cuentas de los miembros. GuardDuty genera hallazgos basados en una actividad que involucra direcciones IP (y dominios) maliciosos conocidos de las fuentes de amenazas de la cuenta de administrador, y no genera hallazgos basados en actividades que involucran direcciones IP (y dominios) de las fuentes de confianza de la cuenta de administrador. Para obtener más información, consulte [Varias cuentas en Amazon GuardDuty](guardduty_accounts.md).
+ Solo se aceptan direcciones IPv4. No se admiten direcciones IPv6.
+ SHA-256 Los hashes de archivos solo se admiten en las listas de entidades amenazantes. No puede incluir los hashes de archivos en las listas de entidades de confianza ni en las listas de direcciones IP.
+ Tras activar, desactivar o eliminar una lista de entidades o una lista de direcciones IP, se estima que el proceso se completará en 15 minutos. En algunos casos, este proceso puede tardar hasta 40 minutos en completarse.
+ GuardDuty utiliza una lista para detectar amenazas solo cuando el estado de la lista pasa a ser **Activo**.
+ Siempre que añada o actualice una entrada en la ubicación del bucket S3 de la lista, debe volver a activar la lista. Para obtener más información, consulte [Actualización de una lista de entidades o una lista de direcciones IP](guardduty-lists-update-procedure.md).
+ Las listas de entidades y las direcciones IP tienen cuotas diferentes. Para obtener más información, consulte [GuardDuty cuotas](guardduty_limits.md).

## Formatos de las listas
<a name="prepare_list"></a>

GuardDuty acepta varios formatos de archivo para sus listas y listas de entidades, con un máximo de 35 MB por archivo. Cada formato tiene requisitos y capacidades específicos. 

### Texto sin formato (TXT)
<a name="guardduty-list-format-plaintext"></a>

Este formato admite direcciones IP, rangos de CIDR, nombres de dominio y hashes de SHA-256 archivos. SHA-256 Los hashes de archivos solo se admiten en las listas de entidades de amenazas. Cada entrada debe aparecer en una línea independiente.

**Example **Ejemplo de lista de entidades****  

```
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
```

**Example **Ejemplo de lista de entidades de amenazas con hashes de archivos****  

```
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3
```

**Example **Ejemplo de lista de direcciones IP****  

```
192.0.2.0/24
198.51.100.1
203.0.113.1
```

### Structured Threat Information Expression (STIX)
<a name="guardduty-list-format-stix"></a>

Este formato admite direcciones IP, bloques CIDR, nombres de dominio y hashes de SHA-256 archivos. STIX le permite incluir contexto adicional en su inteligencia sobre amenazas. GuardDuty procesa las direcciones IP, los rangos de CIDR, los nombres de dominio y los hashes de SHA-256 archivos a partir de los indicadores STIX. SHA-256 Los hashes de archivos solo se admiten en las listas de entidades de amenazas.

**Example **Ejemplo de una lista de entidades****  

```
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:cyboxCommon="http://cybox.mitre.org/common-2"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:indicator="http://stix.mitre.org/Indicator-2"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:DomainNameObj="http://cybox.mitre.org/objects#DomainNameObject-1"
    id="example:Package-a1b2c3d4-1111-2222-3333-444455556666"
    version="1.2">
    <stix:Indicators>
        <stix:Indicator
            id="example:indicator-a1b2c3d4-aaaa-bbbb-cccc-ddddeeeeffff"
            timestamp="2025-08-12T00:00:00Z"
            xsi:type="indicator:IndicatorType"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
            <indicator:Title>Malicious domain observed Example</indicator:Title>
            <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">Domain Watchlist</indicator:Type>
            <indicator:Observable id="example:Observable-0000-1111-2222-3333">
                <cybox:Object id="example:Object-0000-1111-2222-3333">
                    <cybox:Properties xsi:type="DomainNameObj:DomainNameObjectType">
                        <DomainNameObj:Value condition="Equals">bad.example.com</DomainNameObj:Value>
                    </cybox:Properties>
                </cybox:Object>
            </indicator:Observable>
        </stix:Indicator>
    </stix:Indicators>
</stix:STIX_Package>
```

**Example **Ejemplo de lista de entidades de amenazas con hashes de archivos****  

```
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:cyboxCommon="http://cybox.mitre.org/common-2"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:indicator="http://stix.mitre.org/Indicator-2"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:DomainNameObj="http://cybox.mitre.org/objects#DomainNameObject-1"
    xmlns:FileObj="http://cybox.mitre.org/objects#FileObject-2"
    id="example:Package-a1b2c3d4-1111-2222-3333-444455556666"
    version="1.2">
    <stix:Indicators>
        <stix:Indicator
            id="example:indicator-a1b2c3d4-aaaa-bbbb-cccc-ddddeeeeffff"
            timestamp="2025-08-12T00:00:00Z"
            xsi:type="indicator:IndicatorType"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
            <indicator:Title>Malicious domain observed Example</indicator:Title>
            <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">Domain Watchlist</indicator:Type>
            <indicator:Observable id="example:Observable-0000-1111-2222-3333">
                <cybox:Object id="example:Object-0000-1111-2222-3333">
                    <cybox:Properties xsi:type="DomainNameObj:DomainNameObjectType">
                        <DomainNameObj:Value condition="Equals">bad.example.com</DomainNameObj:Value>
                    </cybox:Properties>
                </cybox:Object>
            </indicator:Observable>
        </stix:Indicator>
        <stix:Indicator
            id="example:indicator-a1b2c3d4-eeee-ffff-0000-111122223333"
            timestamp="2025-08-12T00:00:00Z"
            xsi:type="indicator:IndicatorType"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
            <indicator:Title>File hash for malware variant</indicator:Title>
            <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">File Hash Watchlist</indicator:Type>
            <indicator:Observable id="example:Observable-4444-5555-6666-7777">
                <cybox:Object id="example:File-4444-5555-6666-7777">
                    <cybox:Properties xsi:type="FileObj:FileObjectType">
                        <FileObj:Hashes>
                            <cyboxCommon:Hash>
                                <cyboxCommon:Type xsi:type="cyboxVocabs:HashNameVocab-1.0">SHA256</cyboxCommon:Type>
                                <cyboxCommon:Simple_Hash_Value condition="Equals">a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3</cyboxCommon:Simple_Hash_Value>
                            </cyboxCommon:Hash>
                        </FileObj:Hashes>
                    </cybox:Properties>
                </cybox:Object>
            </indicator:Observable>
        </stix:Indicator>
    </stix:Indicators>
</stix:STIX_Package>
```

**Example **Ejemplo de una lista de direcciones IP****  

```
<?xml version="1.0" encoding="UTF-8"?>
<stix:STIX_Package
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:stixCommon="http://stix.mitre.org/common-1"
    xmlns:ttp="http://stix.mitre.org/TTP-1"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:AddressObject="http://cybox.mitre.org/objects#AddressObject-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:example="http://example.com/"
    xsi:schemaLocation="
    http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd
    http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.2/campaign.xsd
    http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd
    http://stix.mitre.org/TTP-2 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd
    http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd
    http://cybox.mitre.org/objects#AddressObject-2 http://cybox.mitre.org/XMLSchema/objects/Address/2.1/Address_Object.xsd"
    id="example:STIXPackage-a78fc4e3-df94-42dd-a074-6de62babfe16"
    version="1.2">
    <stix:Observables cybox_major_version="1" cybox_minor_version="1">
        <cybox:Observable id="example:observable-80b26f43-dc41-43ff-861d-19aff31e0236">
            <cybox:Object id="example:object-161a5438-1c26-4275-ba44-a35ba963c245">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Valuecondition="InclusiveBetween">192.0.2.0##comma##192.0.2.255</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-b442b399-aea4-436f-bb34-b9ef6c5ed8ab">
            <cybox:Object id="example:object-b422417f-bf78-4b34-ba2d-de4b09590a6d">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>198.51.100.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="example:observable-1742fa06-8b5e-4449-9d89-6f9f32595784">
            <cybox:Object id="example:object-dc73b749-8a31-46be-803f-71df77565391">
                <cybox:Properties xsi:type="AddressObject:AddressObjectType" category="ipv4-addr">
                    <AddressObject:Address_Value>203.0.113.1</AddressObject:Address_Value>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
    </stix:Observables>
</stix:STIX_Package>
```

### CSV de Open Threat Exchange (OTX)TM
<a name="guardduty-list-format-open-threat-exchange-csv"></a>

Este formato admite el bloqueo CIDR, las direcciones IP individuales, los dominios y el tipo de `SHA256` indicador de los hashes de los archivos. SHA-256 Los hashes de archivos solo se admiten en las listas de entidades de amenazas. Este formato de archivo tiene valores separados por comas.

**Example **Ejemplo de lista de entidades****  

```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
```

**Example **Ejemplo de lista de entidades de amenazas con hashes de archivos****  

```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
SHA256, a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3, example
```

**Example **Ejemplo de lista de direcciones IP****  

```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
```

### FireEyeTM iSight Threat Intelligence CSV
<a name="guardduty-list-format-fireeye-sight-threat-intel"></a>

Este formato admite el bloqueo CIDR, las direcciones IP individuales, los dominios y los hashes de SHA-256 archivos de la columna. `sha256` SHA-256 Los hashes de archivos solo se admiten en las listas de entidades de amenazas. En las siguiente listas de ejemplo se utiliza un formato de CSV de `FireEyeTM`.

**Example **Ejemplo de lista de entidades****  

```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

 01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
```

**Example **Ejemplo de lista de entidades de amenazas con hashes de archivos****  

```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400

 01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400

01-00000005, Malicious file hash, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000005, https://www.example.com/report/01-00000005, , , , , , , , , , , , , , , a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3, , , , , , , , , , , , Related, , , , , , network, , Ursnif, 9b9a6ea0-3cbf-4e12-bd3e-0c1d7b4e5f6a, , , 1494944400
```

**Example **Ejemplo de lista de direcciones IP****  

```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime

01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400

01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400

01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
```

### CSV de ProofpointTM ET Intelligence Feed
<a name="guardduty-list-format-proofpoint"></a>

En formato ProofPoint CSV, puede añadir direcciones IP o nombres de dominio en una lista. En la siguiente lista de ejemplo se utiliza el formato de CSV de `Proofpoint`. Proporcionar un valor para el parámetro `ports` es opcional. Si no lo proporciona, deje una coma (,) al final.

**Example **Ejemplo de lista de entidades****  

```
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```

**Example **Ejemplo de lista de direcciones IP****  

```
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01, 
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```

### AlienVaultFuente de reputación de TM
<a name="guardduty-list-format-alien-vault-reputation-feed"></a>

En la siguiente lista de ejemplo se utiliza el formato `AlienVault`. Este formato también admite los hash de los SHA-256 archivos en la columna del indicador. SHA-256 Los hashes de archivos solo se admiten en las listas de entidades de amenazas.

**Example **Ejemplo de lista de entidades****  

```
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
```

**Example **Ejemplo de lista de entidades de amenazas con hashes de archivos****  

```
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3#4#2#Malicious Hash###0.0,0.0#3
```

**Example **Ejemplo de lista de direcciones IP****  

```
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
```

## Explicación de los estados de las listas
<a name="guardduty-entity-list-statuses"></a>

Al añadir una lista de entidades o una lista de direcciones IP, GuardDuty muestra el estado de esa lista. La columna **Estado** indica si la lista está en vigor y si es necesario realizar acciones. En la lista siguiente se describen los valores de estado válidos:
+ **Activa**: indica que la lista se está utilizando actualmente para la detección personalizada de amenazas.
+ **Inactiva**: indica que la lista no está en uso actualmente. GuardDuty Para utilizar esta lista para detectar amenazas en su entorno, consulte el paso 3: Activar una lista de entidades o una lista de direcciones IP en[Añadir y activar una lista de entidades o una lista de IP](guardduty-lists-create-activate.md).
+ **Error**: indica que hay un problema con la lista. Pase el cursor sobre el estado para ver los detalles del error. 
+ **Activación**: indica que GuardDuty se ha iniciado el proceso de activación de la lista. Puede seguir supervisando el estado de esta lista. Si no hay ningún error, el estado debería actualizarse a **Activa**. Mientras el estado siga siendo **Activación**, no podrá realizar ninguna acción de esta lista. El estado de la lista puede tardar unos minutos en pasar a **Activo**.
+ **Desactivar**: indica que se GuardDuty ha iniciado el proceso de desactivación de la lista. Puede seguir supervisando el estado de esta lista. Si no hay ningún error, el estado debería actualizarse a **Inactivo**. Mientras el estado siga siendo **Desactivación**, no podrá realizar ninguna acción de esta lista.
+ **Eliminación pendiente**: indica que la lista está en proceso de eliminarse. Mientras el estado siga siendo **Eliminar pendientes**, no podrá realizar ninguna acción de esta lista.